Click Fraud (Sahte Tıklama) Nedir?

Tanım: Click Fraud nedir, ne değildir?

Click fraud, dijital reklam ekosisteminde, gerçek bir alıcı veya bilgi arayan kullanıcı niyeti olmadan PPC (pay-per-click) reklamlara yapılan tıklamaların tümünü kapsayan bir üst kategoridir. Türkçede en yaygın karşılığı "sahte tıklama" veya "tıklama sahtekarlığı"dır.

Click fraud, reklam ağlarının kendi terminolojisinde daha geniş olan Invalid Traffic (IVT) kategorisinin alt kümesidir. IAB ve MRC (Media Rating Council) standartlarına göre IVT iki katmana ayrılır:

• GIVT (General Invalid Traffic): Açık bot trafiği, bilinen datacenter IP'leri, header'larıyla tanımlanan otomasyon — Google Ads otomatik filtreleri bunun büyük kısmını yakalar ve faturadan otomatik düşürür.
• SIVT (Sophisticated Invalid Traffic): Residential proxy ile insanı taklit eden botlar, tıklama çiftlikleri, headless tarayıcılar, koordineli rakip saldırıları. Bu kategori klasik filtreleri geçer ve manuel iade talepleri veya üçüncü taraf koruma araçları gerektirir.

Click fraud her alışılmadık tıklama anlamına gelmez. Örneğin meraklı bir ziyaretçinin reklamınıza tıklayıp hemen kapatması "düşük kaliteli trafiktir" ama fraud değildir. Fraud için kasıt ve sistemli bir patern gerekir: bot otomasyonu, organize tıklama çiftliği veya rakip tarafından kasıtlı saldırı.

Click Fraud nasıl çalışır?

Click fraud aktörleri ve motivasyonları farklı olsa da temel mekanizma aynıdır: reklam ağına gerçek bir tıklamaymış gibi görünen bir HTTP isteği gönderilir ve reklam ağı bunu reklamveren faturasına yansıtır. Modern saldırı türleri şöyledir:

1. Bot ve otomasyon saldırıları

Headless Chrome, Puppeteer veya Selenium gibi araçlarla otomatize edilmiş tarayıcılar reklam tıklar. Gerçek tarayıcı motoru kullandıkları için JS çalıştırır, çerez tutar ve klasik filtrelerden büyük ölçüde kaçar. Tespit için cihaz parmak izi, davranışsal sinyaller (mouse hareketi, scroll) ve TLS fingerprint kullanılır.

2. Tıklama çiftlikleri (click farms)

Güney Asya ve bazı Doğu Avrupa ülkelerinde, yüzlerce hatta on binlerce gerçek cihazda (çoğunlukla ucuz Android telefonlar) düşük ücretli işçilerin organize bir şekilde reklam tıklamasıdır. Botlardan ayırmak en zor click fraud türüdür çünkü cihaz, ağ ve davranış insan kaynaklıdır. Davranışsal kümeleme (binlerce cihazın aynı mekanik tıklama paterniyle farklı sitelere gitmesi) tespit ipucudur.

3. Rakip click fraud saldırıları

Bir rakip firmanın, sizin reklamınıza sistemli şekilde tıklayarak günlük bütçenizi tüketmesi veya teklif sıralamasını bozmasıdır. Hukuk, sigorta, sağlık ve lokal hizmet gibi yüksek CPC sektörlerinde çok yaygındır. Tespit için: aynı IP/cihazdan tekrarlı tıklama, sıfıra yakın dönüşüm, kısa session süresi ve aynı /24 alt ağdan yoğunlaşma sinyalleri kullanılır.

4. Yayıncı fraudu (publisher fraud)

Display ağındaki bazı yayıncıların, paylaştıkları reklam komisyonunu artırmak için kendi sayfalarında bot trafiği üretmesi veya aldatıcı yerleşim ("accidental click") tasarımı kullanmasıdır. Display-only kampanyalarda daha sık görülür; Search ağında neredeyse imkansızdır çünkü Google Search trafiğin tek üreticisidir.

Click Fraud'un Finansal Etkisi

Juniper Research'in 2024 tahminine göre, click fraud'un global yıllık maliyeti 84 milyar doları aşıyor. Bu rakam tek başına büyük olsa da, daha önemli olan reklamveren perspektifinden mikro etki:

• Korunmasız Google Ads kampanyalarında bütçenin %20-%40'ı tipik olarak sahte trafiğe gider (wall.click 37 müşteri ortalaması).
• Aylık 50.000 TL reklam bütçesi olan bir işletme için bu, yıllık 120.000 - 240.000 TL arası net kayıp demektir.
• Fraud sadece bütçeyi yemekle kalmaz: Smart Bidding modelinizi kirletir, gerçek CR (dönüşüm oranı) ve ROAS metriklerini bozar, raporlama kararlarını yanlış yönlendirir.

Click Fraud nasıl tespit edilir?

Hiçbir tek sinyal click fraud tespitinde yeterli değildir. Modern tespit motorları aşağıdaki sinyal kategorilerini bir arada kullanır:

1. Ağ sinyalleri: IP itibarı, ASN (datacenter mı, ISP mi?), proxy/VPN tespiti, geo tutarlılığı, /24 alt ağ yoğunluğu.
2. Cihaz sinyalleri: User-Agent, fingerprint hash, ekran çözünürlüğü, plugin listesi, canvas hash, WebGL renderer.
3. Davranışsal sinyaller: Mouse trajektorisi, scroll davranışı, klavye olayları, tıklama timing'i, sayfa süresi.
4. Oturum sinyalleri: Referrer, kampanya/anahtar kelime bağlamı, dönüşüm aksiyonu, geri dönüş, çapraz oturum tekrarı.
5. Tehdit istihbaratı: Bilinen bot ağları, residential proxy veritabanları, sektör paylaşımlı tehdit imzaları.

Bu sinyaller bir araya getirildiğinde her tıklama için bir risk skoru (0-100) üretilir. Belirli bir eşiğin üstündeki tıklamalar bot olarak değerlendirilir; aksiyon (engelle, uyar, izle) skor ve sektörün hassasiyetine göre yapılandırılır.

Click Fraud'dan nasıl korunulur?

Etkili bir korunma stratejisi üç katmanlıdır:

1. Otomatik filtre: Google Ads'in kendi GIVT filtreleri faturadan ortalama %10 oranında otomatik kredi düşürür. Bu en taban katmandır, ek bir şey yapmazsanız sadece bunu alırsınız.
2. Gerçek zamanlı koruma: wall.click gibi araçlar her tıklamayı 200ms altında skorlar ve şüpheli IP'leri otomatik olarak Google Ads exclusion listesine yazar. Bu SIVT'in büyük kısmını yakalar.
3. İade talebi: Engelleyemediğiniz veya zaten yapılmış olan sahte tıklamalar için Google Ads "Invalid Click Activity" formuna manuel başvuru yaparsınız. Detaylı davranışsal kanıt eklemeniz kabul oranını %25-30'dan %45-60'a çıkarır.

Yasal Boyut: Click Fraud Türkiye'de Suç mu?

Türk Ceza Kanunu'nda doğrudan "click fraud" tanımı yoktur; ancak organize bir rakip tıklama saldırısı, kasıtlı olarak rakibin malvarlığını zarara uğratma niteliği taşıdığında TCK 158 (nitelikli dolandırıcılık), TCK 244 (bilişim sistemlerine müdahale) ve haksız rekabet hükümleri kapsamında değerlendirilebilir. wall.click otomatik olarak tehdit kanıt arşivi (timestamp, IP, fingerprint, davranış imzası) tutar — bu arşiv gerektiğinde hukuki süreçte kullanılabilir niteliktedir.

AB tarafında ise, GDPR kapsamında bot tespiti için işlenen IP ve davranış verisi hukuki dayanak (genelde meşru menfaat) gerektirir; aynı zamanda KVKK kapsamında Türkiye'de veri sorumlusu kaydı ve aydınlatma yükümlülüğü vardır. wall.click bu çerçeveye baştan uyumlu olarak tasarlanmıştır.

Hangi sektörler en çok risk altında?

Yüksek CPC ve yüksek müşteri değeri olan sektörler click fraud'un en yoğun yaşandığı alanlardır. WordStream Google Ads benchmark verisine göre küresel ortalamada en yüksek CPC ve dolayısıyla fraud riski olan sektörler:

• Hukuk: ~$8.94 ortalama CPC, çok yoğun rakip click fraud
• Sigorta: ~$7.62 ortalama CPC, lead-gen fraud sık
• Sağlık: ~$6.85 ortalama CPC, yerel hizmet fraudu yoğun
• E-ticaret: Kampanya dönemlerinde bot trafiği 2-3 katına çıkar
• SaaS / B2B: Rakip B2B trafik düşürme saldırıları yaygın

Sonuç ve sonraki adım

Click fraud, dijital reklam ekosisteminin yapısal bir parçası. Tamamen ortadan kalkmayacak ama doğru araçlarla bütçenizden çekilen pay %20-40'tan tek haneye indirilebilir. Önemli olan: Tek başına Google Ads'in otomatik filtrelerine güvenmemek, sofistike trafik için gerçek zamanlı koruma kullanmak, ve yine de geçen tıklamalar için iade talebi sürecini sistematik işletmek.

İlgili kaynaklar

• Click Fraud Sözlüğü — 26 temel terim Türkçe tanımı
• Click Fraud İstatistikleri 2026 — kaynaklı veri seti
• PPC Dolandırıcılık Koruması — wall.click çözüm sayfası
• Sahte tıklamayı 7 sinyalle nasıl tespit edersiniz
• Google Ads iade talebi rehberi
• wall.click vs alternatifler — ClickCease, ClickGuard, CHEQ, Lunio