Боты в Яндекс Директ достигли промышленного масштаба

Начну с конца. В статье приведена доказательная база, что в Директе зарабатывает огромная бото-ферма, которая ходит через антидетект браузеры с использованием сессий РЕАЛЬНЫХ Android-устройств. Эти сверх-боты имеют аккаунты в соц. сетях, умеют решать разнообразные челленджи (капчи) и совершать конверсии за которые мы платим.

Я, Григорий Мельников, создатель сервиса защиты от ботов KillBot, до последнего думал что, схема, описанная ниже не характерна для ботов. Но оказалось, что нет - клики идут НЕ от мотивированных пользователей, НЕ от «странных» юзеров - а именно от ботов. Причем это сложные и составные конверсии, которые несут за собой явный злой умысел.

Я решил привлекать подписчиков в Telegram через Яндекс.Директ

Да, у меня есть Telegram-канал. И я решил попробовать классическую схему - привлекать подписчиков через Яндекс.Директ.

Как это делалось через ЕПК-кампанию, я написал в другой статье (вот ссылка, она довольно грузная, поэтому рекомендую посмотреть потом): https://habr.com/ru/articles/980676/

Но, так же, я решил проверить, как эта же схема будет работать в Мастер-кампаний. Вроде как Мастер-кампаний - это полностью автоматизированная штука: запустил и не паришься. Именно так я и слышал про этот тип кампаний в рекламе.

Напомню свою схему привлечения подписчика в Telegram:

1. Пользователь кликает по рекламе.

2. Попадает на страницу с капчей (на этом шаге сохраняется ClientID).

3. После решения капчи пользователь перебрасывается в Telegram-канал на целевой пост.

4. Если пользователь подписывается (число подписчиков увеличилось), для ClientID отправляется офлайн-конверсия.

То есть обучение рекламной кампании происходило по, на первый взгляд, надежной схеме:
решил капчу → перешел в Telegram → подписался

Я запустил рекламу, и на первых порах она привлекала подписчиков по 250₽. Подписки росли — меня это устраивало. В настройки Мастер-кампаний я не лез от слова «совсем». У меня и так дел много. Зачем лезть? Схема же надежная.

Я был очень рад: стоимость подписчика упала аж до 90 рублей. Реально рад за то, за то, что Мастер-кампаний реально круто обучается на целевом трафике. Вот, посмотрите скриншот работы кампании за апрель 2026г. (цифры конверсий - это фиксация реальных подписчиков в телеграм):

А вот само рекламное объявление и целевая ссылка: https://killbot.ru/red_old.html?kbdest=aHR0cHM6Ly90Lm1lL0tpbGxCb3RSdXMvNjE= :

Через 3 месяца работы кампании я решил чекнуть трафик

Так как подозрения уже закрадывались. Ниже скриншот конверсий по регионам. И из России всего 14 конверсий((( , всё остальное это конверсии из стран СНГ:

А я-то думал: как круто Директ подбирает аудиторию в условиях блокировок. Telegram же блокируют, а он показывает тем, у кого VPN включен - стратегия же обучается, подписки же идут. Фух, хорошо хоть в настройки залез и глаза себе открыл.

Тут важное уточнение: регион изначально я выбрал «Россия». Узбекистан, Таджикистан и другие страны - Директ подставляет сам при первом сохранении - их потом нужно удалять вручную. Я, к сожалению, увидел это поздно.

295000 тысяч рублей суммарно было потрачено на эту кампанию

Изначально я подумал, что это реальные мотивированные пользователи. Все-таки и аккаунт в телеграм у них есть, и капчу они решили, и на канал они подписались - крутовато для ботика будет. Поэтому изначально я начал писать пользователям в личку, сразу же в момент подписки. Решил выяснить откуда они взяли рекламную ссылку и почему подписались, ниже один из примеров обращения:

И, как результат, было два сценария:

• или человек вообще не отвечал;

• или мои сообщения моментально удалялись.

Выглядит странно: пользователь только что перешел в канал, пролистал посты, подписался, я тут же написал - и НОЛЬ ответов. Очень странно. Но все же, это еще не доказательство «битости» трафика.

Кто подписывается? Мотив? или Боты?

Возможны такие варианты источников битого трафика:

1. Реальный мотивированный трафик (кликают за деньги).

2. Ботовский нагул трафика, но с оператором на последнем шаге (это популярный кейс для бурж трафика, Fake Leads - это боль англоязычных маркетологов).

3. Чисто ботовский трафик.

В третий вариант, в ботов, я верил меньше всего - потому что я уже пробовал разные челленджи, и все они были решены.

на КИТАЙСКИЙ я подменил контент, который стоит за рекламным объявлением

Так как трафик не целевой, то ему безразлично куда кликать:

• я подменил свой Telegram-канал на новый канал (создал новый канал без подписчиков);

• на КИТАЙСКОМ написал название канала

• на КИТАЙСКОМ оставил всего одно сообщение в телеграм канале;

• описание капчи (решите капчу, чтобы перейти в Telegram) тоже сделал на китайском.

Вот, посмотрите каким стал путь пользователя после нововведений:

https://killbot.ru/red.html?kbdest=aHR0cHM6Ly90Lm1lL0tpbGxCb3RSdXMvNjE= - а вот и сама рекламная ссылка, которая идет на китайский канал, можете чекнуть.

В итоге получается схема:

• рекламное объявление на русском показывается только в Узбекистане;

• совершается клик;

• пользователь не из РФ попадает на страницу капчи на китайском;

• читает иероглифы, понимает что это капча и решает капчу;

• переходит на китайский Telegram-канал без контента и подписчиков;

• подписывается

Вот напишите в комментариях. Достаточен ли этот шаг для доказательства того, что трафик битый, и что платить за такой трафик не нужно? Вот вы бы подписались на китайский канал?

Кампания была возобновлена 24 мая 2026 года (номер кампании 707774675)

В этот день работал только китайский канал. Поэтому все конверсии за этот день — гарантированно и 100% битые.

И каков был первый результат? Пользователи китайсткую капчу решают, подписки есть. За пару часов на канал подписалось 20 подписчиков! Вот как это выглядело:

Из этого сразу следуют два варианта:

1. Или это боты.

2. Или это один оператор бот-сети, который просто знает что это за капча - она ему уже встречалась ранее и без разницы что за иероглифы там написаны - он знает что делать на этой странице.

Opacity: 0.29 - Глаз бота, или на чём бот прокололся.

Наличие жесткого порога там, где у живого наблюдателя должен быть плавный переход, - это признак дискретной (цифровой) системы. Это традиция современной физики: если мы находим абсолютный, непреодолимый предел там, где ожидается плавность, - это сигнал о том, что система дискретна, а не аналогова (Планковская длина - минимальный “пиксель” пространства, или Предел Бекенштейна - максимальное количество информации в заданном объеме.)

На этом шаге найдем жесткий порог и поймём, что по объявлению кликает бот!

Делаем капчу прозрачной и смотрим, будет ли решение.

Если капча прозрачная, то даже оператор не сможет её решить. А для бота это будет не проблема.

Как только я сделал капчу прозрачной, то не получил ни одного решения капчи и ни одного вступления.

Круто, т.е. это или умный бот, или реальный пользователь, который просто не видит, куда свайпать.

Идем дальше - проверяем глубину видимости, при которой капча еще решается. Для этого варьируем параметр opacity.

Кто не знает, opacity - это параметр прозрачности, если opacity=1 - то капча не прозрачна. Если opacity=0, то капча полностью прозрачна и сольётся с фоном.

И так, начинаем варьировать opacity:

• opacity = 0.5 (50% прозрачности) - решения капчи есть, подписчики пошли.

• opacity = 0.25 — подписчиков сразу не стало. Ноль решений капчи.

• opacity = 0.37 — вступления есть.

• opacity = 0.31 — вступления есть.

• opacity = 0.27 — вступлений НЕТ.

• opacity = 0.31 — вступления есть.

• opacity = 0.28 — вступлений НЕТ.

• opacity = 0.29 — вступления есть (сразу 5 за 20 минут).

• Контрольный opacity = 0.28 — снова вступлений НЕТ.

Финита ля комедия. Мы доказали: это клик сверхумного бота.

opacity = 0.29  - это глаз бота, если он выше или равен - то бот капчу видит и решает, а если opacity < 0.29, то бот становится слепым и капчу НЕ решает. Такое поведение характерно только для бота. Это не мотив, не оператор, это БОТ!

Т.е. это продуманные хорошо нагуленные боты с аккаунтами в соц. сетях, которые умеют заходить в приложение телеграм и подписываться на каналы. Респект, конечно тем, кто поддерживает подобную архитектуру.

Но это злой умысел. За это нужно наказывать. Парни (маркетологи) работают, с кем-то из-за отсутствия живых конверсий разрывают сотрудничество - а тут просто ничего не сделать!

Давайте посмотрим, с каких именно площадок были клики. Ниже площадки, с которых были конверсии именно 24 мая:

Смотрим площадки, уличенные в 100% ботовских конверсиях за 24 мая.

В топе - dsp.yandex.ru. Все по умолчанию блокируют эту площадку. А вот и явное доказательство: это просто ботоферма. Это НЕ площадка Яндекса, это суммарный трафик из внешних (партнерских) рекламных сетей. Яндекс закупает там показы для рекламы в РСЯ.

А вот еще, ниже схожая таблица, но за апрель (тип трафика, стратегия, обучение, пользователи из Узбекистана - тут все то же):

Конверсии были только с Android!

Вот, сами гляньте за 24 мая:

Ниже скриншот по устройствам, но за весь период работы кампании (так же клики только с андроид):

Это значит, что кликают не через примитивный BAS, а именно через Антидетект-браузеры, где можно арендовать сессию реального Android-устройства - и бот будет выглядеть почти как живой пользователь.

С iOS всё сложнее. Apple душит такие схемы на корню:

• Нет нативных антидетект-браузеров под iOS в том виде, в котором они существуют для Android. Те, что есть, работают через облачные сессии на удаленных Mac (дорого и неудобно).

• WebKit на iOS жестко ограничивает автоматизацию - синтетические клики и эмуляция касаний работают только в пределах одного origin, и обойти это системно гораздо сложнее.

Если бы кликали и реальные пользователи из Узбекистана, то там были бы и айфоны: НО, их нет.

Что делать и кто виноват?

Виноват тот, кто получил деньги за эти клики. Тут всё очевидно.

Если на твой сайт заказали DDoS - злоумышленника найти сложно. Но возможно, сейчас я работаю со следователем из Камчатского края, личность гражданина кто осуществлял ДДоС на инфраструктуру моей кампании вычислена. Как его возьмут, я напишу отдельную статью и расскажу где именно и как он прокололся - там всё сложнее чем в этом кейсе.
А если твою рекламную кампанию злостно накликали в РСЯ - всё просто: кто получил деньги, тот и виновен.

Яндекс может собрать все эти клики в одну аудиторию, найти похожих, и наказать тех, кто получал оплату за осуществление таких конверсий. Просто кто бы этим занялся.

В плане работы антифрода, это кейс из ряда того, что полностью автоматический антифрод, без оператора, сможет допустить и как фильтрацию фейковых, так и реальных кликов.

Как самостоятельно, для своей рекламной кампании повторить этот кейс.

Фильтровать таких ботов БЕЗ проблем, просто я этим не занимался от слова совсем, я не думал что боты будут конвертировать именно на уровне приложения. Это моя наивность. Ботность по этой кампании >80% , я на это забивал: кампания же конвертит, это главное.

Можно усложнять кейсы доказательной базы, варьировать, придумывать свои. Суть - нужно придумать челлендж, который бот не сможет осознать - ему без разницы куда кликать.

Идея, как это делается, написана в моей другой статье на хабре: https://habr.com/ru/articles/851698/

Если кто хочет готовое решение, то вот готовый скрипт, можно развернуть свой сервер под ключ и ковырять сколько влезет: https://killbot.ru/node/46

И закончу: как нужно относится к стратегиям в Яндекс.Директ

Если ты выбрал стратегию "Максимум кликов", помни:
«ПРОДАЖ НЕ будет. Если ты думаешь, что по твоей рекламе будут кликать и покупать - ты наивный. Ты заказал клики - получишь клики, ты их сам выбрал.»

Если ты выбрал "Максимум конверсий", и у тебя конверсия это НЕ продажа (НЕ живые деньги), то:
«ПРОДАЖ может и НЕ быть. Если у тебя конверсия отправка формы, то ты получишь отправку форм. И тебе просто повезет, если тот, кто отправил форму, купит у тебя. А если ты выбрал конверсию „вовлеченность“ (30 минут на сайте, 30 страниц посмотрел и т.п.) - то о продажах и не мечтай, как и в стратегии за клики»

Если хочешь продажи - это только офлайн-конверсия.
Пришла заявка, - ты связался с клиентом, убедился, что он целевой, и только потом отправил офлайн-конверсию.

Если ты не используешь офлайн-конверсии - будь готов работать с битым трафиком. битый совершил конверсию - реклама будет показана другому битому.

Не надо критиковать дизайн капчи этого кейса

Лучше предложите как фиксировать вступление группу, которое будет гарантировать, что вступил настоящий, НЕ мотивированный пользователь. Вот такому совету цены не будет.