Как распознать фрод у поставщика прокси: подмены, “миксы”, фальшивые гео

Если вы покупаете мобильные или резидентские прокси для рекламных кабинетов, парсинга, управления маркетплейсами или тестирования креативов, вы уже знаете: стоимость «грязного» IP измеряется не рублями, а часами потерянной аналитики, сожжёнными бюджетами и репутацией бренда. Честный провайдер прокси — это предсказуемая конверсия, стабильная антифрод‑скоринг‑модель и спокойные менеджеры. Нечестный — «миксы» из датацентров вместо мобильных IP, подмена гео, нестыковки ASN с заявленным оператором и внезапные баны на площадках. Проблема в том, что фрод у поставщика часто маскируется под «оптимизацию» или «экспериментальные пулы», а реальные признаки заметны только в метриках и тонкостях сетевых трасс. В этой статье я, Стеценко Денис, разложу по полочкам, как распознать обман до того, как он разрушит вашу юнит‑экономику, и дам чек‑лист с инструментами, чтобы вы могли самостоятельно провести аудит любой витрины прокси.

Главные схемы, с которыми сталкивается рынок, — это подмена источника IP (выдают датацентровые адреса под видом мобильных или резидентских), «миксы» (сборная солянка из сетей разного класса внутри одного пула), и фальшивые геоданные (заявлен «Берлин», а фактически — соседний регион или вообще другая страна). На практике это выглядит ровно так: в описании вы видите «мобильные прокси операторов МТС/Tele2», а при проверке ASN всплывает автономная система крупного хостера; скорость ротации не соответствует типичной для мобильной сети (фиксированная по расписанию вместо событийной), а задержки до региональных IX сильно ниже, чем у сотового доступа — явный признак датацентра. «Миксы» же удобны для продавца: покупается оптом всё, что «ходит», а клиентам скармливается под красивыми словами. Для вас это означает нестабильный риск‑профиль: сегодня вам достался «чистый» резидентский IP, а завтра — IP из чёрного списка массового парсинга, с чужими «репутационными долгами». Фальшивое гео — третий столп. Вы запрашиваете города, где ваша воронка исторически конвертит лучше, настраиваете локальный креатив, а платформа видит расхождение: MaxMind/DB‑IP указывают один город, tz‑оффсет — другой, а реальная задержка до регионального ядра сети намекает на третий. В итоге алгоритмы площадок повышают риск‑скоринг, частят ручные проверки, растёт CPA и падает выкуп. И да, всё это — «тонкие» симптомы, которые опытный поставщик скрывает с помощью «красивых» дашбордов. Поэтому важно знать признаки по слоям: сеть (ASN, трассировка, TTL), поведение (паттерны ротации, резкие скачки задержек), репутация (списки абьюзов, стоп‑слова в rDNS), юридические следы (WHOIS, RIPE/ARIN записи).

• Подмена источника: датацентровые IP выдаются за мобильные/резидентские, ASN и rDNS не совпадают с заявленным оператором.
• «Миксы» в пуле: внутри одной подписки — смесь мобильных, резидентских и DC‑адресов без маркировки и гарантий.
• Фальшивое гео: несовпадения GeoIP‑баз, time‑zone, задержек до региональных узлов и реального местоположения.

Честный мобильный IP почти всегда «сидит» в ASN конкретного мобильного оператора, имеет характерные диапазоны rDNS (динамические пулы, нередко с шаблонами msisdn/pppoe/dyn), и демонстрирует плавающий маршрут с несколькими L3‑хопами внутри радиодоступа. Если вместо этого вы видите: ASN крупного датацентра или облака; rDNS вида ip‑123‑45‑67‑89.hosting.tld; стабильный, предсказуемый TTL и одинаковый набор хопов по traceroute — перед вами подмена. Отдельно обратите внимание на скорость ротации: у мобильных прокси ротация часто завязана на событие в сети (смена вышки, перерегистрация, переинициализация модема), поэтому интервалы неровные. Ровная «по секундомеру» смена IP каждые 10 минут типична для программной ротации в датацентре. Ещё один маркер — плотность IP в подсети и «соседи»: через PeeringDB/RIPEstat видно, кто ещё анонсирует эти префиксы и для чего они используются. Если префикс засвечен в антиспам‑базах, а количество жалоб в AbuseIPDB за 30 дней превышает 5‑7 на один и тот же адрес — это повод задуматься.

«Миксы» — это когда в одной подписке поставщик мешает адреса из разных источников: сегодня вы получаете резидентский IP реального абонента, завтра — «сборку» из парящего датацентра, послезавтра — мобильный адрес с изношенной репутацией. Для машин антифрода это выглядит как «скачущая личность устройства»: footprint меняется слишком резко и часто. Результат — рост проверок, падение отклика кампаний, нестабильная частота открутки. Если вы ведёте активные A/B‑тесты, миксы бьют по валидности: выборка «шумит», часть данных дискредитирована. В честных пулах вам всегда дают ярлыки: Mobile RU‑MTS, Mobile KZ‑Tele2, Residential PL‑UPC — с понятной долей в пуле, SLA на ротацию, прозрачные префиксы и статистику инцидентов. Во «фродовых» витринах вам говорят «у нас 3 миллиона мобильных IP по миру» без списка ASN, без разреза по операторам и без гарантий уникальности.

Проверка поставщика — это не магия и не «инсайд», а последовательность шагов, доступных любому маркетологу или техническому специалисту. Соберите небольшой бенч‑набор (10–50 IP из заявленного пула), прогоните через независимые источники (ipinfo, MaxMind, IP2Location, DB‑IP), проверьте ASN и префиксы через RIPEstat/ARIN, оцените трассировки, задержки до локальных IX, ротацию и репутацию (AbuseIPDB, собственные логи отказов). Обязательно сравните заявленное гео с временной зоной и средним ping до ближайших облачных регионов — это простой способ поймать «фальшивый город». Итог оформите как таблицу: «обещали — факт — отклонение — риск». Ниже — чек‑лист и метрики, которые я рекомендую использовать.

• Сверка ASN/оператора и GeoIP по независимым базам: совпадение не ниже 95%.
• Анализ ротации и стабильности маршрутов: событийность против таймерной подмены.
• Репутация и жалобы: динамика по 30‑дневному окну, доля «шумных» адресов в пуле.

Начните с простого: получите текущий IP через публичный чекер, снимите ASN (ipinfo/asn), сверяйте с заявленным оператором. Далее — гео: сравните данные MaxMind, DB‑IP и IP2Location, посмотрите тайм‑зону (offset) и локаль браузера/системы, задержки до региональных облачных узлов (например, ближайшие к городу регионы публичных облаков). Разброс в 1–2 соседних города допустим для мобильных сетей, но другая область/страна — красный флаг. Для мобильных прокси типична средняя задержка 40–120 мс внутри страны и более высокий джиттер; для датацентров — 3–25 мс и низкий джиттер. Если вы фиксируете «мобильный» IP с пингом 5–8 мс до вашего офиса и нулевым джиттером — почти наверняка это DC.

Снимите логи смены адресов на протяжении 24–48 часов: отметьте интервалы, сравните со «случайностью» распределения. Ровные ступеньки — программный таймер, «рваный» график — ближе к реальной мобильной сети. TTL сам по себе не «доказательство», но стабильный TTL и идентичные хопы три раза подряд намекают на датацентр. Для резидентских сетей характерны более длинные маршруты и «шумящие» промежуточные узлы, для мобильных — вариативность маршрутов и частая смена CGNAT‑адресов на промежуточных хопах. Отдельно проверьте reverse DNS: подсказки в именах (dsl, mobile, pool, dyn, cgnat) часто раскрывают правду быстрее любой рекламы.

Соберите выборку из 100–300 адресов в разные дни и проверьте: сколько из них встречаются в антиспам‑базах; есть ли повторяющиеся жалобы по одному и тому же вектору; как быстро «отмываются» IP после инцидента. Честные поставщики дают метрики: доля «зашумлённых» адресов не выше 2–3%, среднее время замены по тикету — до 60 минут, прозрачные правила «списания» дней за простой. Если вам говорят «всё чисто», но 10–15% пула попадает в чёрные списки — это не ваш поставщик. Добавьте к этому ваши внутренние метрики: отклонения CR/CTR при смене пула, рост отказов в регистрации, аномальные скачки в скоринге платформ — это ранние индикаторы фрода на стороне IP.

Техническая часть — половина успеха. Вторая половина — договор, SLA и поддержка. Именно здесь «прячутся» формулировки, позволяющие легализовать миксы и подмены. Вас должно насторожить: отсутствие явного перечисления источников IP (мобильные операторы/страны/ASN), пустые обещания «3 млн IP по миру», отказ фиксировать метрики в SLA (uptime, время реакции поддержки, долю замены проблемных IP). Поддержка — ещё один индикатор: честный поставщик охотно делится списками префиксов по запросу под NDA, предоставляет пилот с верификацией, признаёт инциденты и компенсирует простой. «Серые» поставщики уходят в общие фразы: «у нас всё стабильно», «такие показатели в индустрии» — без цифр и ответственности.

• Нет списка источников IP и операторов в договоре — повышенный риск «миксов».
• SLA без метрик (99.9% uptime, TTR/MTTR, проценты замены) — юридический дым.
• Поддержка «доступна в рабочие часы» и отвечает через 12 часов — риск простоя.

Минимальный набор: доступность прокси не ниже 99.9% в мес. (не более 43 минут простоя), время первой реакции поддержки — до 15 минут, среднее время решения (MTTR) — до 2 часов, гарантия замены проблемного IP — до 60 минут, доля «шумных» адресов в пуле — не выше 3% в скользящем 30‑дневном окне. Отдельно — стабильность гео: не более 5% адресов с расхождением базы GeoIP от заявленного региона. Важна прозрачность ротации: либо вы сами управляете, либо провайдер фиксирует интервалы и не меняет правила без уведомления.

Ищите конкретику: «мобильные IP операторов X/Y/Z, список ASN в приложении №1, ротация событийная/по запросу, скорость порта не ниже 100 Мбит/с на поток, лимит параллельных соединений — N, гео‑таргетинг — по списку городов». Фразы «источники могут различаться» допустимы только при явной маркировке пулов (Mobile, Residential, DC) и разной цене. Настаивайте на пилоте 7–14 дней с правом одностороннего расторжения при выявлении подмены: это дисциплинирует и экономит ваши деньги.

Задайте неудобные вопросы до оплаты: попросите список ASN и префиксов под NDA, спросите о доле проблемных IP в прошлом месяце, попросите статистику MTTR и кейсы инцидентов. Посмотрите на прозрачность: дают ли выделенного менеджера, есть ли статус‑страница с историей аварий, готовы ли дать временный доступ к мониторингу. Если вместо ответов вам присылают презентацию на 20 слайдов без цифр — это плохой знак. Хорошая поддержка работает как инженерный отдел, а не как отдел обещаний.

Рынок прокси взрослеет, и вместе с ним растёт изобретательность мошеннических схем. Но арифметика выбора проста: прозрачные источники + проверяемая география + измеримый SLA = предсказуемая воронка и экономия бюджета. По моим оценкам, переход с «серых» пулов на честные мобильные/резидентские IP снижает долю ручных проверок на платформах на 18–35%, повышает стабильность CR на 7–12% и сокращает время запуска кампаний на 20–40%. Эти цифры — разница между «сжечь квартальный план» и «уложиться в CAC». Что делать на практике:

1) Всегда просите список ASN/операторов и делайте перекрёстную валидацию по трем независимым GeoIP‑базам; 2) Запускайте пилот минимум 7 дней, собирайте логи ротаций и трассировок; 3) Фиксируйте SLA с метриками: uptime, TTR/MTTR, замена IP, доля жалоб; 4) Внутри компании связывайте изменения пула с метриками маркетинга (CR, CTR, ревокации), чтобы видеть причинно‑следственные связи; 5) Не гонитесь за «миллионами IP»: лучше «короткий список, но честный». Чистый прокси — это не про «магию», а про инженерную дисциплину. И да, проверка занимает не больше дня — зато экономит месяцы нервов и бюджетов.

Вопрос: Как быстро можно выявить подмену мобильного IP на датацентровый?
Ответ: За 30–60 минут: снимите ASN через ipinfo/RIPEstat, сравните GeoIP по 2–3 базам, измерьте ping/jitter и проверьте rDNS. Совпало 3 из 4 маркеров с DC — это подмена.

Вопрос: Какая доля «миксов» в пуле допустима без риска для кампаний?
Ответ: Для стабильных воронок — не более 5%, лучше 0%. Любая неопределённость в источниках IP повышает риск‑скоринг и «шумит» A/B‑тесты.

Вопрос: Нормально ли, что города в разных GeoIP‑базах расходятся?
Ответ: Для мобильных сетей допустим «сдвиг» на 1–2 соседних города. Другая область или страна — повод требовать замену или расторгать пилот.

Вопрос: Какие целевые значения SLA считать адекватными?
Ответ: Uptime 99.9%+, первая реакция ≤15 минут, MTTR ≤2 часа, замена проблемного IP ≤60 минут, доля адресов с жалобами <3% за 30 дней.

Вопрос: Можно ли полностью доверять красивым дашбордам провайдера?
Ответ: Нет. Используйте независимые проверки: свои логи, внешние базы GeoIP/ASN, трассировки и метрики маркетинга. Доверяй, но проверяй.