点击欺诈 (Click Fraud) 是指机器人或恶意用户对广告和链接进行不正当点击的行为。短链接服务也会受到点击数虚增、访问分析数据污染、对重定向目标的 DDoS 攻击等各种形式的点击欺诈影响。根据 Juniper Research 2023 年报告,数字广告中点击欺诈的损失金额达到年 840 亿美元,全部广告点击中约 22% 被推定为不正当点击。
介绍点击欺诈的 4 种主要手法。第一是机器人自动点击。远程操控感染恶意软件的终端 (僵尸网络),对大量短链接自动产生点击。高级机器人会伪装浏览器的 User-Agent,模拟鼠标移动和滚动,简单的过滤难以检测。第二是点击农场 (Click Farm)。大量雇佣低薪劳动者手动点击链接的手法。由于是人工操作,容易绕过机器人检测工具。第三是竞争对手的妨碍点击。以消耗竞争对手广告预算为目的,反复点击竞争对手的广告链接。第四是广告堆叠 (Ad Stacking)。将多个广告重叠显示,一次点击记录多个广告的点击。
对短链接服务的影响是严重的。不正当点击污染访问分析数据后,营销策略的效果衡量会变得不准确。例如,实际用户点击为 1000 次的地方混入 5000 次机器人点击,点击率和转化率的计算会大幅偏差,导致错误的决策。此外,大量机器人流量涌入短链接的重定向目标时,服务器负载增大,可能影响正常用户的访问。
防御策略之一是实现速率限制 (访问频率限制)。当同一 IP 地址在短时间内产生大量点击时,在一定时间内阻止访问。具体来说,设置同一 IP 在 1 分钟内超过 10 次点击则阻止 15 分钟等规则。但在企业代理服务器或 NAT 环境中,多个用户共享同一 IP,仅基于 IP 的速率限制存在误阻正常用户的风险。结合 IP 地址和 User-Agent 的组合或浏览器指纹可以提高精度。
防御策略之二是机器人检测。为区分机器人和人类访问,结合以下指标进行判定:User-Agent 字符串的异常 (已知机器人 User-Agent、空 User-Agent)、JavaScript 执行有无 (大多数机器人不执行 JavaScript)、鼠标事件和触摸事件的有无、访问模式的规律性 (人类访问是随机的,机器人是等间隔规律性的)、TLS 指纹 (JA3 哈希) 的异常等。综合评分这些指标,将超过阈值的访问判定为机器人。
防御策略之三是引入 CAPTCHA。检测到可疑访问模式时,在重定向前显示 CAPTCHA (reCAPTCHA、hCaptcha 等) 排除机器人。但 CAPTCHA 会损害用户体验,因此不应对所有访问应用,而应限定于可疑访问。Google 的 reCAPTCHA v3 在后台计算风险分数,无需用户操作即可判定机器人,可以将对 UX 的影响降至最低。此外,在 Amazon 搜索不正当点击对策书籍也可作为参考。
防御策略之四是 Referrer 验证。确认短链接访问的 Referrer (来源页面),过滤来自非预期来源的访问。例如,邮件营销用的短链接如果出现大量来自邮件客户端以外来源的访问,可以判断为不正当点击的可能性较高。
作为不正当点击的检测方法,统计异常检测很有效。将正常的点击模式 (各时段分布、设备比例、地区分布) 作为基线记录,检测大幅偏离基线的访问为异常。例如,通常日本国内访问占 95% 的链接突然海外访问超过 80% 时,可以怀疑是僵尸网络攻击。
缺点方面,点击欺诈对策过于严格会增加误阻正常用户 (假阳性) 的风险。特别是 VPN 用户和企业代理环境的访问容易被误判为机器人。需要持续调优假阳性率和检测率的平衡,在不损害正常用户体验的范围内应用防御策略。此外,高级机器人会学习防御策略并进行规避,检测规则的定期更新不可或缺。
相关书籍:如果您想系统学习 Web 安全和不正当访问对策,推荐在 Amazon 搜索相关书籍。