Когда риск-менеджер говорит «у нас ATO», а маркетолог слышит «непонятное слово» — бизнес теряет деньги. Не потому что нет защиты, а потому что команды не говорят на одном языке.
Этот глоссарий закрывает базовый пробел: ключевые термины, которые должен знать каждый, кто работает с цифровым трафиком, рекламными бюджетами или онлайн-платежами.
🔐 Финансовый и транзакционный фрод
Бин-атака (BIN Attack)
Что это: автоматизированный перебор номеров банковских карт.
BIN — это первые 6 цифр карты, которые идентифицируют банк и тип продукта. Они не секретны: их базы есть в открытом доступе. Мошенник знает BIN и с помощью скриптов подбирает оставшиеся цифры, срок действия и CVV — тысячами комбинаций в минуту.
Как выглядит на практике: интернет-магазин внезапно получает сотни микротранзакций на 1–2 рубля от разных карт одного банка. Это не покупатели — это перебор. Цель атаки — найти активные карты для последующего вывода средств.
Чем опасно для бизнеса: помимо прямых потерь, BIN-атака ведёт к штрафам от платёжных систем за превышение допустимого процента неудачных транзакций.
Чарджбэк (Chargeback)
Что это: принудительный возврат средств покупателю через платёжную систему — в обход продавца.
Механизм создавался как защита потребителя: если товар не пришёл или карту использовали без ведома владельца, банк возвращает деньги. Продавец при этом теряет и товар, и сумму, и ещё платит комиссию за сам чарджбэк.
Тёмная сторона — Friendly Fraud: покупатель получил товар, остался доволен, но звонит в банк и говорит «я это не заказывал». Банк встаёт на сторону клиента. Продавец остаётся ни с чем. По данным Chargebacks911, до 86% чарджбэков в e-commerce — это именно дружественный фрод, а не реальные случаи мошенничества третьих лиц.
Ботнет (Botnet)
Что это: сеть заражённых устройств, которой дистанционно управляет злоумышленник.
В неё могут входить тысячи компьютеров, смартфонов и IoT-устройств — их владельцы зачастую не подозревают, что их гаджет выполняет чужие команды.
Применений у ботнетов несколько: DDoS-атаки, credential stuffing, и — особенно актуально для рекламных экосистем — клик-фрод. Ботнет кликает по баннерам, рекламодатель платит за каждый клик, отчёт выглядит прилично — а за трафиком нет ни одного живого человека.
Скимминг и Шимминг (Skimming & Shimming)
Что это: физические методы кражи данных карт.
Скиммер — накладка на картоприёмник банкомата, считывающая данные магнитной полосы. Шиммер — микрочип толщиной с человеческий волос, вставляемый внутрь слота и перехватывающий данные чипа.
В онлайне их аналог — Magecart-атаки: внедрение вредоносного JavaScript-кода на страницу оформления заказа. Пока покупатель вводит данные карты, скрипт тихо копирует их и отправляет мошеннику.
📢 AdTech-фрод: рекламные схемы
Рекламный фрод — отдельная экосистема, где деньги утекают тихо и методично. Бюджеты списываются, метрики выглядят в норме, отчёты радуют — но за цифрами нет реальных покупателей.
Клик-фрод (Click Fraud)
Что это: имитация кликов по рекламным объявлениям с помощью ботов или ферм устройств.
Самый распространённый вид рекламного мошенничества. Рекламодатель платит за каждый клик — и платит за пустоту. Современные боты умеют воспроизводить человеческое поведение: случайные паузы, скроллинг, движение мыши. Простая проверка по IP уже не работает — нужен анализ поведения на уровне всей сессии.
Click Injection (Инъекция кликов)
Что это: мобильный фрод, при котором вредоносное приложение «вставляет» свой клик в последний момент перед установкой — и забирает атрибуцию.
Схема работает так: зловредное приложение, установленное на смартфон пользователя, отслеживает сигналы о загрузке других приложений из магазина. В нужный момент оно генерирует фиктивный клик с реального устройства — система атрибуции решает, что именно этот источник привёл пользователя, и выплачивает комиссию мошеннику.
Почему это опасно: жертва — реальный пользователь, устройство — реальное, установка — настоящая. Обнаружить фрод без анализа временны́х паттернов между кликом и установкой практически невозможно.
SDK Spoofing (Спуфинг SDK)
Что это: имитация установок мобильных приложений без реальной инсталляции.
Мошенник перехватывает трафик между мобильным приложением и системой атрибуции (MMP: AppsFlyer, Adjust, Branch) и воспроизводит сигналы легитимных установок в промышленных масштабах. Реальных пользователей нет — есть только поток фальшивых событий, за каждое из которых рекламодатель платит. Масштаб угрозы: один заражённый сервер способен генерировать тысячи фиктивных установок в час.
Ad Stacking (Стекинг объявлений)
Что это: несколько рекламных баннеров наложены один на другой в одном рекламном блоке.
Пользователь видит только верхний баннер, но показ засчитывается всем слоям одновременно. Каждый рекламодатель в стопке платит за «показ», который его объявление никто не видел. Простая схема с большим ущербом.
Domain Spoofing (Подмена домена)
Что это: продажа дешёвого рекламного инвентаря под видом премиальных площадок.
Мошенник участвует в RTB-аукционах, указывая в bid request авторитетный домен — например, forbes.com. Рекламодатель платит по ставкам топового медиа, а реально объявление показывается на анонимном сайте с накрученной аудиторией.
Pixel Stuffing (Пиксельный стаффинг)
Что это: рекламный баннер размером 1×1 пиксель — невидимый пользователю, но засчитывающий показ.
Технически объявление присутствует на странице, счётчик показа срабатывает, CPM-бюджет расходуется. По факту реклама не видна никому. Используется на сайтах с большим объёмом страниц.
Geo Masking (Геомаскировка)
Что это: подмена геолокации трафика — дешёвый трафик из одной страны выдаётся за дорогой из другой.
Рекламодатель покупает аудиторию из США или Западной Европы по соответствующим ставкам. По факту получает трафик из регионов с низкой стоимостью — через прокси, VPN-фермы или заражённые устройства. Конверсий нет.
Куки-стаффинг (Cookie Stuffing)
Что это: мошенническая подмена или скрытое добавление партнёрских cookie в браузер пользователя без его ведома.
Партнёрские программы работают по принципу «последнего клика»: кто последним привёл покупателя — тот получает комиссию. Куки-стаффер встраивает свой партнёрский идентификатор в браузер жертвы в фоне. Когда пользователь самостоятельно делает покупку, система «думает», что его привёл мошенник.
Invalid Traffic / IVT (Невалидный трафик)
Что это: любой трафик в рекламных системах, не являющийся реальным взаимодействием живого пользователя с объявлением.
IAB и MRC разделяют IVT на два уровня:
- General IVT (GIVT) — известные боты, поисковые краулеры, мониторинговые сервисы.
- Sophisticated IVT (SIVT) — продвинутые схемы: ботнеты, имитирующие человека, фермы устройств, инъекции кликов.
🛡️ Инструменты защиты: термины, которые стоит знать
Device Fingerprinting (Цифровой отпечаток устройства)
Что это: технология идентификации устройства по совокупности его характеристик — без использования cookie.
Система собирает параметры: версия браузера, шрифты, разрешение экрана, часовой пояс, поведение GPU. В сумме они дают уникальный «отпечаток», позволяющий узнать устройство даже после смены IP или очистки cookies.
Фишинг-как-услуга (Phishing-as-a-Service, PhaaS)
Что это: готовая инфраструктура для фишинговых атак в аренду.
За несколько десятков долларов в месяц мошенник получает точную копию интерфейса банка или маркетплейса, панель управления жертвами и автоматическую рассылку. Технических знаний не нужно. Это стало главным драйвером роста атак на захват аккаунтов (ATO).
Почему это важно знать
Антифрод — не только техническая задача. Это общий язык между маркетингом, безопасностью и финансами. Когда команда понимает, чем куки-стаффинг отличается от клик-фрода, а SDK Spoofing — от Click Injection, становится возможным выстроить реальную защиту: не реагировать на последствия, а предотвращать потери на входе.
«Понимание антифрод-терминологии позволяет бизнесу перейти от реактивной защиты к проактивной. Когда специалист отличает классический кардинг от синтетической идентичности — он может точечно настраивать правила и сохранять конверсию».
