Bot trafiğinin anatomisi: 4 tür ve her birine karşı savunma

"Bot trafiği" tek bir şey değildir. Davranış olarak benzeyen ama altyapı olarak çok farklı olan en az 4 ana tür var. Her birinin ekonomisi, teknik imzası ve savunma yaklaşımı farklıdır. Bu yazıda her birini ayrı ayrı tanıyacağız.

Tür 1: Datacenter botları

Nedir?

AWS, Google Cloud, DigitalOcean, OVH, Hetzner gibi bulut sağlayıcılarının IP havuzlarından çalışan otomatik script'ler. Headless browser (Puppeteer, Playwright) çalıştırırlar; her biri saniyede yüzlerce istek gönderebilir.

Kim çalıştırır?

Üç ana grup: (1) İçerik scraping yapan veri şirketleri (yan ürün olarak reklamlara da tıklayabilir), (2) Rakip web sitelerini izleyen monitoring araçları, (3) Doğrudan rakip sahtekarlığı yapan kötü niyetli aktörler.

Tespit zorluğu: Düşük

Datacenter ASN'leri kamuya açık. IP'nin hangi sağlayıcıya ait olduğunu ipinfo.io, ipdata.co gibi API'lerden anında öğrenirsiniz. Bu yüzden tespit kolay; ama tüm datacenter IP'lerini hariç tutmak da legal ziyaretçileri (örneğin VPN üzerinden gerçek kullanıcı) etkileyebilir.

Savunma

• Tüm bilinen datacenter ASN'lerini risk skoru +60 ile işaretleyin
• Datacenter IP + headless imza eşleşmesinde otomatik blokla
• VPN providers'ın IP havuzlarını ayrı tutun (kullanıcı VPN'i meşru olabilir)
• Şüpheli ASN'leri Google Ads IP exclusion listesine ekleyin

Tür 2: Residential proxy ağları

Nedir?

Gerçek kullanıcıların ev IP'leri üzerinden çalışan bot trafiği. Operatörler ya bilinçli olarak (proxy satan kullanıcılar) ya da farkında olmadan (kötü amaçlı yazılım bulaşmış cihazlar) IP'lerini paylaşır. Bu sayede botlar normal bir Türk Telekom veya Vodafone IP'sinden gelir gibi görünür.

Kim çalıştırır?

Bu pazar Bright Data, Smartproxy, Oxylabs gibi şirketlerle profesyonelleşti. Click fraud için kiralanan proxy ağları aylık 500-5000 USD'ye reklamverenleri hedefler. Genelde rekabetçi sektörlerde (avukat, sigorta, finans, e-ticaret) görülür.

Tespit zorluğu: Yüksek

ASN bilgisi sizi ele vermez (gerçek ISP IP'si). Coğrafi konum tutarlı (Türkiye → İstanbul). Bu yüzden tespit, davranış sinyallerine ve frekans desenine bağımlıdır.

Savunma

• Aynı IP'den anormal frekansta tıklama (1 saatte 5+) takibi
• Cihaz fingerprint tekrarı (aynı hash, farklı IP)
• Sıfır mouse / scroll davranışı + kısa oturum süresi
• Bilinen residential proxy listelerini abone olarak takip etmek (paid threat-intel feed'leri)
• TLS fingerprint (JA3 hash) — çoğu proxy ağı tipik bir TLS imzası bırakır

Tür 3: Click farm — insan operatörlü

Nedir?

Düşük maliyetli bir lokasyonda (Bangladeş, Pakistan, Vietnam, Filipinler) gerçek insanların düzinelerce telefondan manuel olarak reklam tıklamasıyla yapılan operasyon. Tıklama başına 0.01-0.05 USD ücretle çalışır, mikro-iş platformları üzerinden organize edilir.

Kim çalıştırır?

Genelde "daha fazla site trafiği vaat eden" hizmet satıcıları. Ama bazen rakipler de bu yolu kullanır — özellikle hedef kampanyanın bütçesi tükensin diye.

Tespit zorluğu: Orta

Çok belirgin bir coğrafi imza var: tıklamalar Türkiye hedefli kampanyada Bangladeş veya Pakistan'dan geliyorsa, neredeyse kesin bir click farm. Davranış da farklı: gerçek bir el dokunuşu var (mouse hareketi var, scroll var) ama oturum süresi çok kısa (3-7 saniye, sayfayı okumadan kapatma).

Savunma

• Geo-restriction: kampanyanızı sadece hedef ülkeye kilitleyin
• Hedef ülke dilini tek seçenek olarak ayarlayın (Türkçe-only)
• 10 saniyenin altında oturum süresine sahip ülke-dışı IP'leri otomatik flag'leyin
• Telefon-IP havuzlarını (mobil ISP, prepaid SIM) takip edin — click farm'lar tipik olarak bu havuzlardan gelir

Tür 4: Rakip manuel tıklaması

Nedir?

Rakip bir firmanın çalışanının bilerek sizin reklamlarınıza tıklayarak bütçenizi tüketme girişimi. En düşük hacimli ama en sinsi türdür çünkü tek tek tıklamalar gerçek bir kullanıcıdan ayırt edilemez.

Tespit zorluğu: Çok yüksek

Tek bir tıklama tek başına suçlayıcı değildir. Ancak desen analizi ile yakalanabilir: bir kullanıcı haftada 5 farklı gün ve hep iş saatleri içinde reklamınıza tıklıyor ama hiç dönüşüm üretmiyorsa, ya bir araştırmacı ya da rakip. Aynı IP/cihaz hash'inden 7 günde 5+ tıklama eşik değer olarak iyidir.

Savunma

• Frekans bazlı sınırlama: aynı IP'den 7 gün içinde 3+ tıklamayı flag'le
• Cihaz fingerprint kalıcılığı: rakip bilerek IP değiştirse de tarayıcı parmak izi büyük olasılıkla aynı kalır
• İş saatlerinde yoğunlaşan, dönüşüm üretmeyen IP'leri çıkarın
• Coğrafi olarak rakibin ofisine yakın IP'leri ayrıca izleyin (rakibinizin lokasyonunu biliyorsanız)

Hangi türle daha çok karşılaşıyorsunuz?

Sektöre göre dağılım dramatik şekilde değişir. Hukuki hizmetler ve sigorta'da rakip manuel tıklamasının payı yüksektir. E-ticaret ve perakende'de datacenter ve residential proxy hakimdir. Mobil uygulama yüklemeleri ise click farm'larla bombardıman edilir.

wall.click her tıklamayı 4 türden hangisine ait olduğunu skorlayarak işaretler. Bu sayede sadece "engellendi" değil, "hangi tür saldırıya maruz kalıyorsunuz" sorusunun da cevabını alırsınız. Kampanyanızı buna göre stratejik olarak yeniden yapılandırabilirsiniz.