Всем привет, я основатель конструктора квизов Matomba, и вот уже три года мы с командой активно боремся со спамом и фродом. Это не история про «поставил капчу — и всё прошло». Это хроника гонки, в которой каждая сторона постоянно учится.
Начиналось всё с обычных роботов, которые парсили страницу и оставляли заявки в найденные поля формы. Тогда нас спасла архитектура: перевод на Vue помог на время решить проблему за счет динамического создания страниц. Бот не видит формы — не может отправить заявку. Простое и элегантное решение.
Но через некоторое время спам возобновился. Умные спамеры нашли способ отправлять заявки напрямую по адресу, который принимает данные. Они прошерстили весь интернет, научились добавлять скрытые поля, подделывать данные пользователя, браузер, устройство, разрешения экрана. К тому моменту классические методы уже не работали — боты создавали всё на лету.
Следующим шагом стали специальные JWT-метки, уникальные для каждого посетителя. Они проверялись на сервере. В паре с Яндекс Капчой это снова обнулило поток нежелательных заявок.
Но спам — это не только технологии. В сфере недвижимости и других высококонкурентных нишах возник новый способ: заказные заявки. Появились сервисы для голосований, где за 30 рублей можно купить заполнение и отправку формы. Зачем это нужно? Конкуренты, у которых стоимость лида достигает космических сумм, таким образом сбивают оптимизацию конверсий. Это один из методов грязной конкуренции: заявки отправляются не роботом, а живым человеком за вознаграждение.
Мы пошли дальше. Внедрили временные метки при прохождении квиза: если вопросы просто «прощелканы» без вдумчивого времени на ответ — заявка отклонялась. Добавили проверку по всей базе заявок и аналитики на поиск всплесков по цифровому следу пользователя, а также на наличие одного и того же контакта в больших количествах. Спам снова ушел.
Но вернулся. Теперь уже более замотивированный. Очистка cookie, динамические IP, прохождение формы «до победного» — всё это стало частью арсенала тех, кто делает заказные заявки. Снова придется попотеть.
В ответ мы придумали новую систему — и она работает иначе, чем раньше.
Смена парадигмы: от жесткой блокировки к управлению
Раньше смысл защиты был в том, чтобы не пустить спамера дальше входа. Но в условиях, когда заявки отправляют живые люди за деньги, простая блокировка перестала быть эффективной. Спамер, видя отказ, просто пробует снова или меняет тактику.
Теперь мы переходим к системе смягчения. Её логика проста: заявка всегда принимается, спамер видит успешную отправку и остается удовлетворен. Однако дальнейшая судьба этой заявки определяется одним из трех сценариев:
Полное отсутствие — заявка не отправляется никуда: ни в CRM, ни в интеграции, ни в уведомления. Она просто не появляется в системе, как будто её никогда не было.
Черная метка — заявка попадает в базу с пометкой «спам», но не передается в интеграции (CRM, почта, мессенджеры).
Призрачная конверсия — заявка уходит в интеграции с пометкой «спам», но при этом не отправляет конверсию в аналитику (Яндекс.Метрику, Google Analytics и т.д.), чтобы не искажать статистику рекламных кампаний.
Такой подход лишает смысла саму механику заказных заявок: если спамер не получает обратной связи в виде отказа, он не понимает, что его усилия бесполезны. При этом бизнес защищает чистоту лидогенерации, не тратя ресурсы на обработку мусора.
Мы уже начали переход к этой системе. Какой из трех алгоритмов окажется наиболее эффективным — покажет практика. Но одно можно сказать точно: борьба со спамом больше не про «закрыть дверь». Это про интеллектуальное управление потоками, где главная цель — не просто отсечь, а сделать сам спам нецелесообразным.
Буду признателен обратной связи, как вы боретесь со спамом, что еще нужно учесть и как усилить оборону?
