Скам на имитации трафика: виртуальные игроки и управляемые депозиты

В редакцию PressAff обратились представители двух партнерских программ (назовем их X и Y) и CEO продукта. На условиях анонимности они поделились кейсом о том, как с поличным был пойман «коварный» фродер.

Запуски без KPI — это всегда риск. С одной стороны, такие запуски дают быстрый фидбек по ГЕО и источникам трафика. С другой — именно в тестах без четких рамок чаще всего пытаются «протащить» сомнительный трафик, прикрываясь форматом теста. Этот кейс начался именно так.

Когда «слишком хорошо» — уже тревожный сигнал

Партнерская программа Х согласовала с продуктом тестовый запуск по ГЕО Испания, без KPI, но с жесткими условиями:

• только слотовый подход,
• минимальный депозит и игровая активность.

Запуск сделали быстро, в позднее вечернее время — чтобы не тянуть и посмотреть первые цифры. И цифры действительно появились. Слишком быстро!

Первые сигналы: когда метрики выглядят «подозрительно хорошо»

Практически сразу после старта команда заметила:

• массовый поток регистраций;
• синхронные всплески, не характерные для органического или даже агрессивного платного трафика.

Примерно через час пошли первые депозиты.

На первый взгляд — позитив. Но один показатель сразу бросился в глаза: Click-to-Reg был нереалистично высоким. Не «хорошим». Не «выше среднего». А таким, который в реальном трафике практически не встречается.

Первая гипотеза была относительно мягкой — возможно, партнер льет чистый краш-подход, нарушая договоренности. Менеджер продукта оперативно отреагировал:

• сообщил о необходимости срочно остановить трафик;
• предупредил партнера, что оплачен он не будет.

На этом этапе ситуацию еще можно было списать на агрессивную тактику.
Но дальше стало интереснее.

Повторение сценария: другая партнерка, те же паттерны

Почти идентичная ситуация возникла с партнеркой Y. Тот же формат:

• тестовый запуск,
• ГЕО — Испания,
• быстрый старт.

И — абсолютно такое же поведение трафика.

В какой-то момент в рабочем чате появляется фраза, после которой сомнений почти не остается: «Весь трафик на СТОП! Новые потоки тоже не запускайте». Это уже не гипотеза. Это реакция на критическую аномалию.

Ключевая проблема: подозрение на фрод/скам-трафик

На этом этапе в процесс плотно включаются менеджеры с обеих сторон (партнерки и продукта). Саппорт партнерки сразу формулирует главный вопрос: «Тоже подозрение на фрод?».

И дальше по диалогу это подозрение не просто подтверждается, а усиливается деталями, которые складываются в четкий паттерн.

Поведение трафика — что именно выглядело подозрительно

Регистрации начали приходить не равномерно, а массовыми синхронными волнами: вместо плавного распределения по времени фиксировались резкие всплески — десятки аккаунтов создавались практически одновременно. Такое поведение нетипично для живых пользователей и больше похоже на работу автоматизированного или централизованно управляемого процесса, в котором действия запускаются по сигналу.

Не менее странно выглядела и логика прохождения регистрации. Пользователи сразу и последовательно проходили 4–6 этапов ввода данных, включая те шаги, которые не являются обязательными и часто пропускаются реальными людьми. Заполнение происходило механически, без пауз и отклонений, что создавало ощущение заранее прописанного сценария. Такая воронка действий больше напоминает работу скрипта, чем естественный UX-путь живого игрока.

Еще одним аномальным признаком стал платежный профиль. Весь трафик — без единого исключения — использовал только кредитные карты. Реальные пользователи всегда используют разные платежные методы: карты, электронные кошельки, локальные решения. Получается микс, отсутствие которого указывает на искусственно сформированное поведение.

Самый тревожный паттерн — депозиты

Отдельное внимание привлекло поведение игроков на этапе депозита. Первый депозит появлялся не сразу, а с заметной задержкой — в среднем, через 1–2 часа после регистрации. Это выглядело странно: если человек уже решил зарегистрироваться и попробовать продукт, он чаще всего вносит депозит сразу или в течение нескольких минут. Здесь же складывалось ощущение, что депозит делается не по внутреннему желанию, а по таймеру или команде.

Еще более показательной была сама логика депозита. Это был «депозит для галочки» — минимальная сумма, один-единственный платеж и практически полное отсутствие игры после него. Игроки не крутили слоты, не проявляли интереса к процессу, не возвращались за повторными сессиями. Депозит выглядел как формальное действие — просто чтобы он был зафиксирован в системе.

Критическим сигналом стало и полное игнорирование бонусов. В реальном трафике бонусы — один из главных триггеров. Игроки почти всегда кликают их, изучают условия, пробуют отыграть. Здесь же бонусная часть продукта как будто не существовала — никакого интереса, никаких попыток взаимодействия. В совокупности это окончательно подтвердило, что депозиты делались не ради игры, а ради имитации активности.

Странные суммы депозитов — ключевой триггер

Отдельным и очень показательным моментом стали суммы депозитов. Они постоянно крутились вокруг одного и того же диапазона — от 21 до 23 евро. На первый взгляд может показаться, что это мелочь и что люди просто случайно выбирают похожие суммы. Но именно такая «аккуратность» и насторожила команду.

Точно подмечена суть ситуации:

И в этом есть логика. Когда суммы выглядят слишком «правильными», это сразу бросается в глаза. В живом трафике игроки ведут себя хаотично: кто-то вносит 10 €, кто-то 25 €, кто-то округляет до 20 €, а кто-то вообще закидывает странные суммы вроде 17,40 € или 33 €.

Здесь же картина была совсем другой. Все депозиты словно под копирку — небольшой разброс, одни и те же цифры, без случайности. Это выглядело не как выбор человека, а как заранее заданное правило — определенный лимит, который «можно» вносить, чтобы депозит выглядел естественно, но при этом оставался минимальным.

Именно такие детали чаще всего и выдают фрод. Попытка «не выделяться» через почти одинаковые осторожные суммы в итоге срабатывает наоборот — создает четкий, повторяющийся паттерн, который не соответствует живому поведению игроков.

Повторяемость 1:1 у разных партнеров

Решающим аргументом в этом кейсе стала повторяемость поведения, буквально один в один. Совпадало все:

• одинаковый сценарий регистрации,
• те же задержки перед первым депозитом,
• те же странные суммы,
• та же минимальная активность после депа,
• та же логика действий по времени.

И при этом речь шла о разных партнерках, которые формально не должны иметь ничего общего. В реальном трафике так не бывает. Даже если источники похожи, даже если ГЕО одно и то же, поведение людей всегда немного отличается. Здесь же различий не было вообще.

В этот момент стало очевидно — это не случайность и не совпадение. Это одна и та же схема, просто заведенная через разных партнеров. Именно эта повторяемость 1:1 окончательно сняла все вопросы и превратила подозрения в уверенность.

Техническое подтверждение фрода

Финальной точкой в этом кейсе стало техническое подтверждение, после которого сомнений уже не осталось. Команда пошла глубже и проверила трафик через платежные системы — именно там лучше всего видно, с каких устройств и в каких условиях совершаются депозиты.

Результат оказался максимально показательным — депозиты шли не с реальных устройств, а с эмуляторов. То есть это были не живые телефоны, не обычные браузеры реальных людей, а программная среда, в которой можно полностью контролировать поведение «пользователя». Именно поэтому весь трафик выглядел таким ровным, аккуратным и одинаковым.

Дальше все подтвердилось на практике. Как только техническая команда ограничила работу эмуляторов, депозиты просто перестали проходить. Не стало задержек, не стало новых платежей — поток оборвался.

Именно этим объясняются все предыдущие странности: 

• 100% депозиты по кредитным картам — потому что так проще работать в эмуляторах;
• «идеальные» и повторяющиеся паттерны поведения — потому что ими управляет скрипт;
• полная предсказуемость действий — потому что процесс контролируется от начала и до конца.

После этого стало окончательно ясно — это был не просто плохой или слабый трафик, а техническая имитация живых игроков.

Кто стоит за трафиком

Итак, за этим трафиком стоит не случайность и не чья-то ошибка. Это была осознанная и выстроенная схема, сделанная людьми, которые хорошо понимают, как работают партнерки и антифрод. Не один веб и не «кривой» источник, а именно команда.

Трафик создавался как имитация — аккуратные действия, контролируемые депозиты, понятная логика шагов. Цель — выглядеть безопасно на старте, пройти проверки и холд. Но именно эта излишняя управляемость и выдала, что перед продуктом не живые игроки, а искусственно собранный поток.

Почему это опасно для продукта

Опасность такого трафика для продукта кроется в том, что он внешне выглядит рабочим, но на деле полностью фейковый.

Например, могут подумать, что игроки плохо вовлекаются из-за слабого UX или бонусов, что retention низкий, и начать исправлять «ошибки», которых на самом деле нет. Могут даже увольнять людей из отделов, которые якобы плохо справляются, или тратить ресурсы на оптимизацию процессов, которые реально не влияют на поведение настоящих игроков.

Финал: принудительная остановка и санкции

Реакция саппорта партнерки была максимально жесткой и быстрой. Когда все факты сложились в одну картину, обсуждений «а вдруг показалось» уже не было.

На практике это означало сразу несколько решений.

Во-первых, весь трафик был мгновенно остановлен — без доработок, тестов и попыток что-то «понаблюдать еще».

Во-вторых, оба партнера были удалены из партнерской программы, то есть лишены возможности дальше лить трафик на продукт. По сути, это был полный разрыв сотрудничества и фактический бан.

Со стороны продукта реакция была такой же однозначной.

На этом кейс был закрыт — быстро, жестко и без лишних компромиссов.

Резюме и выводы по кейсу

Если подвести итог, картина сложилась предельно ясная. На продукт зашел не просто некачественный трафик, а заранее организованный фрод. Пользователи создавались и управлялись через эмуляторы, действия шли по одному сценарию, а депозиты были строго контролируемыми — по суммам, времени и количеству. Это была не игра и не интерес к продукту, а программная имитация активности.

Трафик остановили не из-за плохих цифр или слабого ретеншена. Его остановили потому, что эмулированное поведение полностью не совпадало с поведением реальных игроков.

Окончательно все подтвердилось на техническом уровне — через платежные системы. Стало очевидно, что продолжение работы с этим трафиком несет прямые риски: финансовые потери, искаженная аналитика и ошибочные управленческие решения. Именно поэтому было принято жесткое, но единственно правильное решение — полностью остановить трафик и закрыть вопрос. Финансовые и репутационные потери в этом случае понес только скамер — справедливость восторжествовала.