1
Проекты по набору на контракт в яндекс директе захлестывает спам в заполнении форм обратной связи
Основных проблем как обычно две: дураки и ......боты. Обычное дело при заполнении форм обратной связи на сайтах в тематике СВО:
Коротко: да — бот вполне может заполнять поля реальными-looking именами, фамилиями, отчествами и датами. И если это человек, он тоже может обойти Webvisor — причём способ обхода будет отличаться.
Ниже — чётко и по делу. Яндекс.Метрика — Webvisor фиксирует только клиент-side-сессии, где выполнен её JS. Если запись не прошла — заявка в Webvisor не появится, даже когда данные в форме выглядят «живыми».
1) Как бот делает «живые» поля Боты/автоматизированные скрипты/сервисы могут:
• Использовать базы имён/фамилий/отчеств и реалистичные даты (например, из CSV).
• Применять генераторы имён (Markov-chain / ML) или брать реальные комбинации из утёкших баз.
• Эмулировать человеческое поведение: рандомные задержки между нажатиями, имитация времени набора, рандомные user-agent и accept-headers.
• Работать через headless браузеры (Puppeteer/Selenium) с включённым JS — тогда они реально открывают страницу и могут инициировать Webvisor, если не блокируют подключение к mc.yandex.ru.
• Отправлять точные POST-запросы напрямую (без открытия страницы), просто заполняя поля и обойдя клиентский JS полностью — в этом случае Webvisor никак не увидит сессию.
Также существуют услуги «captcha solving» (авто-решатели и человеческие фермы), которые позволяют обходить капчю, поэтому наличие капчи само по себе не гарантирует стопроцентной защиты.
Нам пришлось разрабатывать сложную смесь из того что работало ранее, из того что есть сейчас, дополнительно кодить формы обратной связи.
Что может помочь быстро - на первичном этапе запуска рекламных кампаний:
• Обязательная серверная проверка капчи. Если токен невалиден — отклонять.
• Добавить скрытое поле с clientID Метрики и логировать его. Пример JS: (замените XXXXXX на ваш ID счётчика). На сервере проверяйте: если у заявки нет clientID — помечайте как подозрительную.
• Проверяйте Referer и наличие сессионной cookie. Если POST приходит без cookie и без referer — отклоняйте или ставьте в модерацию.
• Внедрите honeypot и проверку времени заполнения.
• Rate-limit и блокировка по IP/ASN для аномальных паттернов.
• Если заявки продолжатся — используйте «challenge» (reCAPTCHA v2 checkbox или interactive challenge), они сложнее для автоматических ферм.
Что ещё учитывать
• Если бот использует headless-браузер с реальными событиями — тогда Webvisor может увидеть сессию (если подключения к mc.yandex.ru не блокируются). Тогда сопоставление по clientID будет работать.
• Если у вас много заявок от «реалистичных» данных, но нет записей в Webvisor — вероятность серверного POST близка к 100%.
• Человеческая фабрика (outsourcing) — люди ручками вводят данные (например, купленная база), и это будет выглядеть «живым». Здесь единственный способ — бизнес-процедуры: верификация телефонов, звонок для подтверждения, антифрод-проверки.
Да, это весьма сложно, но нам пришлось углубиться в данную тематику, что бы серьезно снять уровень спам-заявок.
Сейчас трафик идет достаточно чистый и мы вернулись в хорошим объемам докризисного периода.
С уважением, команда grey zone. Тематика СВО.
Еще недолго мы в ТГ @snigur_smm
Так же в ВК https://vk.com/id7574662
Так же всегда здесь, на vc ру.
Комменты отключены, так как украина спамит. Но дело наше правое, победа будет за нами. Z.
Сообщение отредактировал Smm Snigur: 01.04.2026 - 16:15
