<b>Трекер врёт не там, где кликают, а там, где ему подсовывают ложный payload</b>
Давайте поднимем логи и посмотрим правде в глаза. Большинство подмен начинается не с “магии”, а с дырок в цепочке: открытый postback без HMAC, слабая привязка click_id к session, доверие к любому referrer и отсутствие сверки server-side данных с сырыми HTTP-параметрами.
Типовые векторы просты и скучны:
— подстановка чужого click_id в postback и вывод конверсии на другой источник;
— повторная отправка запроса с теми же параметрами, если нет nonce/TTL;
— фальшивый user-agent/ip-профиль, когда трекер верит заголовкам без аномалий;
— расхождение между client-side и server-side event_id, которое никто не валидирует.
Защита строится не на “антиботе”, а на связности цепочки. Подписывайте postback HMAC-сигнатурой, храните click_id только с TTL и одноразовым статусом, сверяйте IP/ASN/UA/Accept-Language с историей сессии, а все конверсии гоните через server-to-server валидацию. Если параметр можно подменить в URL — считайте, его уже подменили.
Отдельно режьте аномалии по времени: клик через 2 секунды после показа, конверсия без промежуточных событий, одинаковые fingerprint’ы на разных лидов, всплески одинаковых referer chain. Ботнеты эволюционируют, но паттерны их поведения остаются прежними.
Не ищите “идеальный трекер”; стройте недоверенную модель, где каждый входящий параметр считается враждебным до доказательства обратного.
Защита от фрода в рекламе
@ad_fraud_shield_arb
<b>Трекер врёт не там, где кликают, а там, где ему подсовывают ложный payload</b>
Этот пост опубликован в Telegram-канале Защита от фрода в рекламе. Подписаться можно по ссылке: @ad_fraud_shield_arb.