Скликивание рекламы в Яндекс Директе: как защититься от кликфрода в 2026

Запустили рекламу в Директе, бюджет тает в 2-3 раза быстрее ожидаемого, а заявки приходят пустые или вовсе не приходят? По телеметрии BotHunt, в 2026 году от 8 до 35% кликов в РСЯ — это кликфрод: скликивание конкурентами, ботами и недобросовестными площадками. На дорогих тематиках вроде юриспруденции, медицины и доставки доля «мусора» доходит до 40-50% бюджета.

Антифрод Яндекса часть кликов отбивает и возвращает деньги, но работает постфактум и закрывает не все типы атак. Ручное скликивание через резидентные прокси, мобильные DSP-партнёры с накрученным трафиком, новые AI-боты — всё это утекает через фильтры платформы и продолжает жечь бюджет.

В этой статье разберём, что такое защита от скликивания Яндекс Директ на практике: чем кликфрод отличается от обычного мусорного трафика, кто и зачем скликивает рекламу, как распознать атаку за 10 минут и какие 9 методов реально работают, не убивая конверсию реальных пользователей.

Кликфрод и скликивание: что это и в чём разница

Кликфрод (англ. click fraud) — это любые недействительные клики по рекламе: автоматические, целенаправленно искусственные или совершённые ради вознаграждения. Скликивание — это частный случай кликфрода, когда атакующий намеренно кликает по объявлению, чтобы выжечь рекламный бюджет конкурента или площадки.

В русскоязычном комьюнити термины часто используются как синонимы, но в нашей продуктовой практике мы различаем три понятия:

• Кликфрод — общий термин. Включает всё нецелевое от ботов до случайных «толстых пальцев» на мобильных.

• Скликивание — намеренная атака на конкретный рекламный бюджет. Главный признак — таргетированность.

• Мусорный трафик — не клики, а визиты-зомби: открыли страницу, не взаимодействовали, ушли. Часть мусорного трафика — следствие кликфрода, часть — самостоятельный feature недобросовестных площадок.

Подробно про распознавание мусорного трафика мы рассказываем в статье «10 признаков мусорного трафика в Яндекс Метрике». Здесь же сосредоточимся именно на скликивании — самой агрессивной форме фрода в Директе.

Кто скликивает рекламу: 5 типов атакующих

В наших данных за 2025-2026 годы мы видим пять категорий источников фрод-кликов в Директе. Они отличаются мотивацией, технической сложностью и тем, насколько хорошо с ними справляется встроенный антифрод Яндекса.

1. Прямые конкуренты. Самый массовый сценарий в B2B и нишах с высоким CPC. Конкурент или его агентство заказывают «прогрев» — кликают по объявлениям через прокси, биржи кликов или прокачанные ботнеты. Цель — выжечь дневной бюджет до того, как объявление наберёт реальные заявки.

2. Автоматизированные сети. Промышленные ботнеты, которые «жмут» рекламу за деньги или ради монетизации трафика в РСЯ. Часто живут на заражённых пользовательских устройствах — реальные домашние IP, реальные браузеры, никаких признаков сервера.

3. Мотивированные пользователи. Реальные люди, которые кликают по рекламе в обмен на вознаграждение в играх, приложениях или биржах заданий. Технически они не боты, но конверсия их трафика близка к нулю.

4. Недобросовестные веб-мастера РСЯ. Площадки-партнёры Директа, которые накручивают клики на своём же сайте, чтобы получить выплаты. Антифрод Яндекса банит таких регулярно, но новые появляются быстрее, чем старые уходят.

5. DSP-сетки сомнительного качества. Реклама в мобильных приложениях через DSP-партнёров, где боты «крутят» баннеры в фоне или мотивированный трафик кликает за виртуальные монеты в играх.

Каждый тип требует своего подхода: с одними справляется антифрод Яндекса, с другими — только защита на стороне сайта.

7 сценариев атаки конкурентов в Яндекс Директе

За последние два года мы зафиксировали 7 повторяющихся паттернов скликивания именно конкурентами. Если вы узнаёте свою ситуацию — поздравляем, вы один из примерно 35% рекламодателей в дорогих тематиках, кто сталкивается с целевой атакой.

1. Точечная атака на дорогие ключи. Конкурент покупает у антибиржи 200-500 кликов в день по фразам с CPC 200-1500 ₽. Бюджет дня выгорает за 1-2 часа, ваше объявление пропадает из показа.

2. Скликивание в первый час суточного бюджета. Атака стартует в 00:01 по МСК или в 09:00 — как только вы включаете кампанию. К полудню бюджет израсходован, и реальные клиенты в обед уже не видят рекламы.

3. Атака на конкретное объявление. Если у конкурента в выдаче доминирует одно объявление по дорогому запросу, оно становится мишенью. По нему «стучат» через прокси, остальные объявления не трогают.

4. Гео-скликивание. Атака идёт из городов, на которые у вас включён таргет. Видно по неестественному распределению: 60% кликов из Москвы при равномерной географии раньше.

5. Брендовое скликивание. Кликфрод по запросам с вашим брендом. Сильно бьёт по статистике, потому что брендовый трафик обычно высококонверсионный — его «обвал» виден сразу.

6. Резидентные прокси. Боты идут с IP-адресов жилых провайдеров — Билайн, МТС, Ростелеком. Антифрод Яндекса в моменте не блокирует, потому что IP «человеческие» и принадлежат реальным абонентам.

7. Серый слив через DSP. Не прямая атака, но похожая по эффекту: бюджет утекает в мобильные приложения с накрученным трафиком. Часто конкурент платит DSP-сетке, чтобы она «приземлила» поток ботов на ваши объявления.

В нашей телеметрии 5 из 7 сценариев приходятся на ниши с CPC выше 150 ₽: юр.услуги, ремонт, медицина, инфобизнес, B2B-SaaS. На массовом e-com со средним CPC до 50 ₽ целевое скликивание встречается реже — там доминирует автоматический мусорный трафик и недобросовестные DSP-партнёры.

Отдельная категория — автоматизированные сервисы скликивания, которые продают атаку как услугу. Цена варьируется от 0.5 ₽ до 5 ₽ за клик в зависимости от региона и пула прокси. На бирже легко заказать «100 кликов по тематике X в Москве» с разнесением во времени — антифрод Яндекса такие заказы видит частично, но не на 100%. Поэтому при наблюдении системных атак почти всегда речь идёт о коммерческой услуге, а не о ручном кликере с одного телефона.

8 признаков скликивания: таблица для быстрой диагностики

Если хотите за 10 минут понять, скликивают ли вашу рекламу, откройте Яндекс Метрику, выберите источник «Яндекс.Директ» за последние 7 дней и пройдитесь по таблице ниже. Каждый признак сравните по трём диапазонам — норма, подозрение, явная атака.

Если 3+ признаков попадают в столбец «Атака» — это скликивание, а не статистическая погрешность. Подробный алгоритм поведенческой диагностики мы разбираем в статье «8 признаков того, что ваш сайт атакуют поведенческие боты».

Встроенный антифрод Яндекса: что он умеет

Антифрод Директа — это первый рубеж защиты, встроенный в платформу. По официальной документации Яндекса, он анализирует более 250 параметров каждого клика: IP, fingerprint браузера, поведение на странице, источник, время между кликами. Подозрительные клики помечаются как «недействительные», деньги за них возвращаются автоматически — обычно в течение 24-72 часов, в редких случаях до 30 дней.

Что антифрод закрывает хорошо:

• Грубые ботнеты с одинаковым User-Agent и IP-пулом.

• Массовое скликивание скриптами без рандомизации поведения.

• Подозрительные DSP-площадки в РСЯ — частично, по сигналам репутации.

• Случайные double-клики и «толстые пальцы» на мобильных устройствах.

Что антифрод закрывает плохо или не закрывает:

• Скликивание через резидентные прокси с уникальными IP жилых сетей.

• Мотивированный трафик — живые люди технически не отличаются от обычных.

• AI-боты с реалистичным поведением: GPT-агенты, продвинутые headless, эмуляторы.

• Конкретные DSP-партнёры с «отбелённым» трафиком — где боты прокликивают только редкие рекламные позиции.

• Брендовое скликивание из ограниченного пула IP — попадает в общий «человеческий» поток.

Поэтому даже после антифрода Яндекса средний рекламодатель продолжает терять 8-25% бюджета. Эту дельту закрывают либо ручной чисткой, либо сторонними сервисами уровня BotHunt, BotFAQtor, Antibot.Cloud, ClickFraud.

Узнайте, сколько вы реально теряете на ботах в Директе. Подключите BotHunt бесплатно на 14 дней →

9 методов защиты от скликивания без потери реальных кликов

Главное правило защиты Директа — не отрезать ничего лишнего. Любой метод, который блокирует реальных пользователей, бьёт по конверсии сильнее, чем боты по бюджету. Поэтому мы выстроили список от самых безопасных и быстрых методов к более глубоким.

1. Корректировки ставок -100% по сегментам Метрики. В Метрике создаёте сегмент с фильтрами «отказы + 1 страница + источник Директ». В Директе → «Корректировки ставок» → «Целевая аудитория» → добавляете сегмент → коэффициент -100%. Боты перестают видеть ваши объявления через 1-2 часа, реальные пользователи не страдают.

2. Чёрный список площадок РСЯ. Раз в неделю заходите в Мастер отчётов, сортируете площадки по CTR и отказам. Площадки с CTR >30% и отказами >70% — в бан. Особое внимание к dsp-*, smaato-*, com.* (мобильные приложения).

3. Стратегии с оплатой за конверсию. В Директе доступны автостратегии «Оплата за конверсию» и «Целевая доля рекламных расходов». Платите только за заявки — кликфрод становится головной болью Яндекса, а не вашей. Минус: подходит не всем нишам и требует накопленной статистики.

4. Дневные и часовые лимиты бюджета. Базовый лимит ставит каждый, но мало кто использует часовые корректировки: в 00:00-07:00 коэффициент -100%, в часы атак — -50%. Помогает против скликивания в первый час и ночных ботнетов.

5. JS-агент антибот-сервиса на сайте. Скрипт встроенного агента (например, BotHunt) анализирует движения мыши, ритм клавиатуры, fingerprint браузера, JA3-отпечаток сети. Бот опознаётся за 4-12 мс и помечается до того, как Метрика успела засчитать визит. Это позволяет «не кормить» Директ статистикой по ботам.

6. Honeypot-поля в формах. Скрытое поле, которое заполняют только боты. Реальный пользователь его не видит, конверсия не страдает. Заявки от ботов отсеиваются прямо на уровне формы, до попадания в CRM.

7. ASN-блокировка прокси-сетей. Опытные защиты блокируют запросы от ASN с плохой репутацией — серверные провайдеры, hosting-сети, известные прокси-фермы. Точечные блокировки не задевают реальных пользователей с обычных провайдеров.

8. Поведенческая аналитика и ML. На больших объёмах включается машинное обучение: модель смотрит на 40+ сигналов и присваивает каждой сессии bot-score. Если score ≥ 0.85, сессия не доходит до Метрики и помечается в антифрод-логах.

9. Капча только на критических шагах. Не на каждой странице, а на отправке формы или входе в личный кабинет. SmartCaptcha от Яндекса или невидимые альтернативы режут конверсию заметно слабее, чем reCAPTCHA с картинками.

Комбинация методов 1-2 (внутри Директа) + 5-7 (на стороне сайта) даёт точность 97-99% при околонулевом влиянии на конверсию. Капчу и стратегии с оплатой за конверсию лучше тестировать по сегментам — они подходят не всем нишам.

Отдельно скажем про blacklist по IP. В Директе можно занести в чёрный список не более 25 IP-адресов на кампанию, поэтому метод эффективен только против примитивного скликивания с фиксированных адресов. Современные атаки идут через сотни и тысячи IP резидентных прокси, и закрыть их 25-ю бан-записями физически невозможно. Это история про точечную защиту от назойливого скликера, не про защиту от организованной атаки.

Защита внутри Директа vs защита на стороне сайта

Многие рекламодатели выбирают между двумя слоями защиты, хотя правильный ответ — использовать оба. Внутри Директа вы режете уже понятный мусор по сегментам и площадкам, на стороне сайта — не даёте новым ботам испортить статистику в Метрике.

Полноценная защита — это оба слоя одновременно. О том, как настроить чистку Директа пошагово, мы написали в гайде «Как очистить Яндекс Директ от ботов и мусорного трафика». А ниже — короткий план, как добавить защиту на стороне сайта.

Как защитить Директ с помощью BotHunt: 5 шагов

Если вы хотите запустить защиту от скликивания за 10 минут без правки кода и серверной интеграции, вот рекомендованная последовательность:

1. Зарегистрировать аккаунт и добавить сайт. Заведите аккаунт на bothunt.ru, укажите домен. Получите код агента — одну строку JavaScript или готовый WordPress-плагин.

2. Установить агента. Вставьте код перед </body> или активируйте плагин в WordPress, Bitrix, Modx. Никаких изменений в DNS, серверах или CDN — агент работает на стороне сайта.

3. Связать Метрику и Директ. В личном кабинете BotHunt подключите счётчик Метрики и рекламный аккаунт Директа. Агент начнёт автоматически передавать в Метрику параметр bothunt_bot_score для каждой сессии.

4. Создать сегмент и корректировку. В Метрике сегмент по условию bothunt_bot_score >= 0.8 → в Директе корректировка ставок -100% во всех кампаниях. Через 1-2 часа боты перестают видеть рекламу.

5. Мониторить дашборд. В кабинете BotHunt видно динамику атак, ASN-источников, типы ботов, экономию бюджета. Раз в неделю — 5-минутный обзор, никакой ручной работы.

Защитите Директ от скликивания за 10 минут. Установить агента BotHunt → — бесплатные 14 дней, без привязки карты.

Что делать, если скликивание уже идёт

Если вы видите признаки атаки в реальном времени — расход растёт, заявок нет, CTR подскочил до 20% — действуйте быстро, но не паникуйте.

1. Поставьте кампанию на паузу на 30 минут. Это собьёт график атаки и даст время на диагностику без выгорания бюджета.

2. Посмотрите Мастер отчётов. Какие площадки и регионы дают аномалию — там и фокус атаки.

3. Заблокируйте конкретные площадки и поставьте корректировки. По подозрительным сегментам — коэффициент -100%, площадкам dsp-* и com.* — в чёрный список.

4. Зафиксируйте паттерн. Если атака повторится через 24 часа в то же время — это организованная кампания. Нужна антибот-защита на стороне сайта.

5. Подайте обращение в техподдержку Директа. С примерами кликов и таблицей аномалий. Яндекс возвращает деньги за повторяющиеся аномалии, которые антифрод проглядел.

И главное — не отключайте РСЯ навсегда. Даже после массовых атак средний возврат недействительных кликов составляет 1.5-4% от расхода. Без РСЯ вы теряете не только мусор, но и качественный тематический трафик, который приносит клиентов в 1.5-2 раза дешевле поиска.

Если атака продолжается несколько дней и стандартные методы не помогают, имеет смысл собрать «досье» на атакующего: IP-адреса, фрагменты User-Agent, временные паттерны, ключевые фразы, по которым шёл скликинг. Эти данные пригодятся в обращении к Яндексу и помогут антибот-сервису быстрее построить точный профиль атаки. По нашим клиентам — после такой подачи фактуры срок возврата средств сокращается с 30 дней до 5-7.

Часто задаваемые вопросы

Как понять, что меня скликивают именно конкуренты, а не просто плохая площадка?

Главный маркер — повторяемость и таргетированность. Конкуренты бьют по конкретным дорогим ключам и одним и тем же объявлениям. Если в Мастере отчётов 80% «мусорных» кликов идут с 1-2 ключей с самым высоким CPC, и это повторяется день в день в одно и то же время — это организованная атака, а не случайная DSP-площадка.

Антифрод Яндекса полностью защищает от скликивания?

Нет. Антифрод закрывает 60-75% грубого фрода: ботнеты, dsp-мусор, мотивированный трафик с очевидными паттернами. Но он не справляется с резидентными прокси, продвинутыми AI-ботами и точечным скликиванием конкурентами через сети жилых IP. По нашим данным, даже после возврата недействительных кликов средний рекламодатель теряет 8-25% бюджета на нецелевой трафик.

Можно ли вернуть деньги за скликивание?

Частично — да. Яндекс автоматически возвращает деньги за клики, которые антифрод опознал как недействительные. Возврат отображается в Мастере отчётов в строке «Недействительные клики и конверсии», деньги поступают на баланс в течение 24-72 часов. То, что антифрод не распознал, вернуть напрямую нельзя, но можно подать обращение в поддержку Директа с доказательствами и логами.

Помогает ли бан IP в Директе против скликивания?

Помогает ограниченно. В Директе можно забанить максимум 25 IP-адресов на кампанию, а современные атаки идут с сотен и тысяч IP через резидентные прокси-сети. Бан работает только против примитивного скликивания с фиксированных адресов и не закрывает атаки через прокси. Для более масштабной фильтрации нужна ASN-блокировка на стороне сайта.

Сколько стоит защита от кликфрода?

Встроенный антифрод Яндекса — бесплатно, входит в платформу. Сторонние сервисы стоят от 990 до 15 000 ₽/мес. в зависимости от трафика и набора функций. BotHunt стартует с тарифа 990 ₽/мес. для малого бизнеса. На рекламных бюджетах от 30 000 ₽/мес. подключение антибот-сервиса окупается за 2-4 недели — за счёт экономии на ботах и роста конверсии очищенного трафика.

Влияет ли защита от ботов на охват реальных пользователей?

При грамотной настройке — нет. Все методы из нашего гайда — корректировки по сегментам, ЧС площадок, JS-агенты, ASN-фильтры — режут только ботов. Реальные пользователи продолжают видеть рекламу и заходить на сайт. Капча, если включить её на всех страницах, может «срезать» 5-15% конверсии — поэтому мы рекомендуем её только на критических шагах вроде отправки заявки или входа в личный кабинет.

Как защититься, если я работаю только с поиском Яндекса, без РСЯ?

В поиске уровень фрода ниже (1-3% по нашим данным), но скликивание конкурентами всё равно встречается, особенно по брендовым запросам. Установите JS-агент антибот-сервиса на сайт — он передаст в Метрику bot-score каждой сессии. Дальше создайте сегмент и корректировку -100% в поисковых кампаниях. Этого хватает в 95% кейсов скликивания по поиску.

Что делать, если Метрика не показывает ботов в стандартных отчётах?

Метрика «не любит» отдавать признаки ботов в обычных отчётах — там видны только базовые поля (источник, отказы, время). Для углублённого анализа нужен либо сторонний сервис, либо ручная работа с Logs API. В BotHunt мы автоматически прокидываем 40+ сигналов в Метрику через параметры визита, и вы видите ботов прямо в обычных отчётах Метрики, без отдельного интерфейса.

Хотите видеть свою картину скликивания, а не просто читать про неё? Подключите BotHunt бесплатно → и за 10 минут установите защиту, которая чистит и Директ, и Метрику, и формы на сайте.