Как Яндекс определяет накрутку ПФ

Яндекс активно работает над детекцией накруток с 2009 года, и за это время антифрод-система стала достаточно сложной. В этой статье — технический разбор того, какие сигналы алгоритм использует для отделения «честных» сигналов от искусственных.

Антифрод как ML-модель

Антифрод Яндекса — это не одна формула, а семейство ML-моделей, обученных на больших датасетах размеченных «накруточных» и «органических» сессий. Базовая модель работает на признаках сессии: длительность, движения курсора, глубина просмотра, время до возврата в поиск. Более продвинутые слои анализируют корреляции между сессиями: если 100 сессий с одного диапазона IP делают одно и то же на сайте — это явный паттерн.

Модель часто пересматривается: примерно раз в квартал алгоритм получает новый чекпоинт с обновлёнными весами и новыми признаками. Это означает, что схемы накрутки, работавшие в 2023 году, к 2026 уже неактуальны — антифрод научился их распознавать. Но новые методы накрутки появляются быстрее, чем алгоритм успевает их детектировать.

Шинглы фингерпринтов

Каждая сессия в Яндексе имеет уникальный fingerprint: User-Agent, разрешение экрана, шрифты, плагины, timezone, language, WebGL-сигнатура, Canvas-сигнатура. Если 1000 сессий имеют идентичный fingerprint — это явный fraud. Поэтому современные сервисы накрутки генерируют уникальные fingerprint-профили для каждой сессии.

Алгоритм Яндекса хранит шинглы (5-граммы) от features fingerprint'а в специальном кэше. Если новая сессия совпадает по 4 из 5 шинглов с предыдущими накруточными — она помечается как подозрительная и не учитывается в ранжировании.

PF-MONSTR использует пул из десятков тысяч уникальных fingerprint-профилей, обновляемый ежедневно. Сборка профиля включает все ~200 признаков, по которым Яндекс может различать пользователей.

IP-кластеризация

Если задача накрутки выполняется с одного датацентра или одного диапазона прокси — это сразу видно. Антифрод считает дисперсию IP в кластере «подозрительных» сессий, и если она низкая — все эти сессии отбрасываются.

Резидентные прокси (IP реальных домашних провайдеров) гораздо труднее кластеризовать: они выглядят как разные пользователи в разных сетях. Современные сервисы (включая PF-MONSTR) работают только на резидентных прокси.

Дополнительный сигнал — корреляция IP с регионом запроса. Если пользователь делает запрос «{город}» с IP в другом регионе — алгоритм понимает несоответствие и снижает доверие к сессии. Поэтому критически важно использовать прокси именно того региона, в котором ведётся продвижение.

Поведенческие паттерны

Реальный пользователь в среднем тратит 90–180 секунд на коммерческой странице, делает 2–5 движений мышкой, прокручивает страницу. Бот без эмуляции — открыл страницу и через 3 секунды закрыл. Антифрод видит этот паттерн моментально.

Современные накрутки эмулируют поведение через headless-браузеры с реальной обработкой JS, движением курсора, скроллингом. Качество эмуляции — критично. PF-MONSTR использует BAS (BrowserAutomationStudio), один из лучших на рынке инструментов для имитации реального поведения.

Что не палится в 2026 году

Резидентные прокси нужного региона + уникальный fingerprint + реалистичное поведение (2–4 минуты на сайте, переходы между страницами, движение мыши) — этот набор не отличим от живого пользователя на уровне сессии.

Что палится: датацентровые прокси, повторяющиеся fingerprint'ы, моментальные посещения без скролла, всплески объёма (1000 кликов за час против обычных 50), слишком короткие или слишком одинаковые сессии.

Частые вопросы