Özgül Yavuz Kaddoura

IP Engelledim, Koruma Yazılımı Denedim, Ama Bütçem Yine 1 Saatte Bitiyor , Çözüm Ne?

Google Ads Bütçem Neden Her Sabah 1 Saatte Bitiyor?

Kullanıcılarımızdan gelen mesajlar birbirine o kadar benziyor ki artık bir şablon oluştu:

"Sabah 9'da kampanyayı açıyorum, 10'da bakıyorum bütçe neredeyse sıfırlanmış. Tıklama var ama tek bir arama yok. IP'leri tespit edip engelliyorum , ertesi gün bambaşka IP'lerden aynı saldırı geliyor."

"Bir tıklama koruma programı aldık. İlk birkaç gün iyi gibiydi, sonra saldırganlar adapte olmuş gibi yine aynı yerden devam etti."

"Google destek ekibi 'geçersiz tıklamalar otomatik filtreleniyor' diyor ama Analytics'te 40 tıklamanın 35'i sıfır saniye oturumla çıkmış. Google tam olarak neyi filtrelemiş?"

Eğer bu cümlelerden biri kendinizi anımsattıysa, yalnız değilsiniz. Ve büyük ihtimalle yanlış bir şey de yapmıyorsunuz , karşınızdaki saldırı yöntemi, kullandığınız savunma araçlarının tasarlandığı kapasiteyi aşmış durumda.

Manuel IP Engelleme Neden İşe Yaramıyor?

500 IP Limitiyle Milyonluk Saldırıyı Durduramazsınız

On yıl önce sahte tıklama yapanlar genellikle birkaç veri merkezi IP'si kullanırdı. Bunları tespit edip Google Ads'in hariç tutma listesine eklemek sorunu çözerdi. Ama bugünkü saldırganların bir çoğu veri merkezi kullanmıyor.

2026'da profesyonel tıklama sahtekarlığı operasyonları konut proxy ağları kullanıyor. Bunlar gerçek evlerdeki internet bağlantıları üzerinden yönlendirilen IP adresleri. Ev sahipleri çoğu zaman küçük ödemeler karşılığında "bant genişliği paylaşım" uygulamalarına kaydoluyor ve farkında olmadan internet bağlantılarını saldırganlara kiralıyor.

Bu ağlardaki IP havuzu devasa: Büyük sağlayıcılar 400 milyonun üzerinde konut IP'sini alenen satışa sunuyor. IPv6 protokolüyle bu sayı pratik olarak sonsuz hale geldi.

Google Ads ise kampanya başına en fazla 500 IP hariç tutmaya izin veriyor.
Matematik ortada: Saldırgan saatte binlerce yeni konut IP'si arasında geçiş yapıyor, siz ise toplamda 500 IP engelleyebiliyorsunuz. Engellediğiniz IP'ler zaten birkaç saat sonra işe yaramaz çünkü saldırgan çoktan yeni bir IP havuzuna geçmiş oluyor. Manuel IP engelleme, akan suyu avuçlarınızla tutmaya çalışmak gibi , enerji ve zaman harcıyorsunuz ama sonuç alamıyorsunuz.

Tıklama Koruma Yazılımları Neden Yetmiyor?

Çoğu Tıklama Koruma Programı Neden Bu Saldırıları Durduramıyor?

Birçok reklamveren haklı olarak bir adım öteye gidip tıklama koruma programı satın alıyor. Ama sonuç beklentilerin çok gerisinde kalıyor. Sebebi basit:

Çoğu koruma aracı da özünde IP'ye dayanıyor

Sahte tıklamayı tespit edince o IP'yi Google Ads hariç tutma listesine otomatik ekliyor , ama saldırgan zaten sonraki tıklamada başka bir konut IP'sinden geliyor. İşlem hızlanıyor ama sonuç değişmiyor: yine aynı kedi fare oyunu.

Konut IP'leri geleneksel kara listelere düşmüyor

Veri merkezi IP'lerini tanımak kolay , bilinen IP aralıkları var. Ama konut IP'leri gerçek bir evin, gerçek bir internet sağlayıcısından aldığı adres. Aynı IP gerçek bir müşteriye de ait olabilir. Bu durumda kara liste yaklaşımı temelden çöküyor.

Sadece "engelle ve unut" yaklaşımı var

Çoğu araç kötü trafiği engeller ve işi bitirir. Ama Google'ın Smart Bidding (Akıllı Teklif) algoritması bu sahte tıklamaları zaten "gerçek ilgi" olarak kaydetmiş olur.

Algoritma kirli veriyle çalışmaya devam eder, siz de farkında olmadan giderek yanlış kitleye reklam göstermeye başlarsınız. Tıklama başına maliyet (TBM) şişer, dönüşüm oranı düşer ve "reklam işe yaramıyor" dersiniz. Oysa sorun reklamda değil, veride.

Google'ın kendi filtreleri de yetersiz kalıyor

Google genel geçersiz trafiği (basit botlar, veri merkezi IP'leri) filtreler. Ama konut proxy saldırıları "gelişmiş geçersiz trafik" (SIVT) kategorisine girer.

Bağımsız denetimler, Google'ın bu tür sahte tıklamaların sadece %40-60'ını tespit edebildiğini gösteriyor. Geri kalanı fark bile etmeden kredi kartınıza yansıyor.

Rakibiniz Bunu Size Nasıl Yapıyor?

İlk Görünen Müşteriyi Kapar: Rekabet Mantığı Bu Kadar Basit

"Acil çilingir", "7/24 tesisatçı", "klima tamir" gibi anahtar kelimeleri Google'a yazan müşteri genellikle araştırma yapmaz. İlk 3 sonuca bakar, birini arar, işi halleder. Bu sektörlerde ilk kim görünürse müşteriyi o kapar. Karşılaştırma yok, teklif isteme yok — acil bir ihtiyaç var ve ilk çıkan firmaya gidiyor.

Rakibiniz bunu bildiği için amacı basit: sizi arama sonuçlarından düşürmek. Bütçeniz tükendiğinde reklamlarınız kapanır ve gün boyunca görünmezsiniz. Rakip ise tüm gün listenin tepesinde kalır ve sizin müşterilerinizi toplar.

Ve bu bir kerelik bir saldırı değil. Rekabetin yoğun olduğu sektörlerde bu her gün, otomatik olarak tekrarlanıyor. Siz "reklam çalışmıyor" derken, aslında her sabah sessizce bir sıralama savaşı kaybediyorsunuz.

Soru "bu saldırı var mı?" değil rekabetin yoğun olduğu her sektörde bu zaten oluyor. Soru, bunu durduracak doğru araca sahip olup olmadığınız.

ClickSambo IP'nin Ötesine Geçerek Ne Yapıyor?

IP Değişebilir Ama Cihaz ve Davranış Değişemez

ClickSambo'nun yaklaşımı temelden farklı: IP'yi birincil kimlik aracı olarak kullanmayı bıraktık. Çünkü saldırgan IP'sini saniyeler içinde değiştirebiliyor. Ama değiştiremediği şeyler var ve biz oraya bakıyoruz.

Katman 1 : Stabil Cihaz Kimliği (Device Fingerprinting). Her cihazın donanımı kendine özgü izler bırakır: ekran kartının çizim şekli (canvas/WebGL), ses kartının işleme biçimi, yüklü fontlar, TCP bağlantı davranışı... ClickSambo 300'den fazla cihaz sinyalini birleştirerek her ziyaretçiye değiştirilmesi imkânsız bir kimlik atıyor. Saldırganın IP'si değişse de, tarayıcısını sıfırlasa da, çerezlerini silse de aynı cihazı milisaniyeler içinde tanıyoruz.

Katman 2 : Davranış Analizi (Behavioral Analysis). Gerçek bir müşteri sayfanızda dolaşır: fareyi farklı yerlere götürür, metni okur, kaydırır, bazen geri döner. Bot trafiği ise mekanik bir düzen sergiler ; düz fare hareketi, sabit kaydırma hızı, anlık çıkış. Makine öğrenmesi bu farkı yüksek doğrulukla ayırt eder, bot konut proxy'si üzerinden gelse bile.

Katman 3 : Protokol Tespiti (Proxy Detection). Ziyaretçi tarayıcısında "Windows 11, Chrome" diyor ama TCP/IP bağlantı imzası Linux sunucu gösteriyorsa bu bir proxy'dir. IP ne kadar temiz görünürse görünsün, bu katmandaki uyumsuzluk kaçış yok demektir.

Katman 4 : Google'a Geri Bildirim (Clean Signal API). Diğer tıklama koruma yazılımlarından en büyük fark: ClickSambo sadece engellemekle kalmıyor, Google'ın Smart Bidding algoritmasını aktif olarak eğitiyor. Sahte tıklamaları Google Ads çevrimdışı dönüşüm API'si üzerinden "negatif sinyal" olarak bildiriyoruz , algoritma bu kalıplardan kaçınmayı öğreniyor. Gerçek insan dönüşümlerini ise "pozitif sinyal" olarak iletiyoruz. Sonuç: Algoritmanız temiz veriyle çalışıyor, doğru kitleye ulaşıyor, TBM düşüyor, dönüşüm oranı artıyor.

(Detaylı teknik kurulum: ClickSambo Çevrimdışı Dönüşüm API Rehberi)

Bütçeniz Gerçek Müşterilere mi Gidiyor, Botlara mı?

Ücretsiz anomali raporuyla öğrenin.

Ücretsiz Tasarruf Raporu Al 7 Gün Ücretsiz

Bütçeniz Gerçek Müşterilere mi Gidiyor, Botlara mı?

Sıkça sorulan sorular

IP'leri tek tek engelliyorum ama ertesi gün yeni IP'lerden aynı saldırı geliyor. Neden?

Çünkü saldırganlar artık konut proxy ağları kullanıyor. Bu ağlar saatte binlerce farklı konut IP'si arasında geçiş yapıyor her biri gerçek bir evin internet bağlantısına ait. Google Ads kampanya başına 500 IP hariç tutmaya izin veriyor ama saldırganın havuzunda milyonlarca IP var. Dün engellediğiniz IP bugün zaten kullanılmıyor. IP bazlı engelleme artık kalıcı çözüm olmuyor.

Bir tıklama koruma yazılımı aldım ama o da çözemedi. Neden?

Çoğu koruma yazılımı da IP tabanlı çalışıyor sadece süreci otomatikleştiriyor. Sahte tıklamayı tespit edince IP'yi otomatik ekliyor, ama saldırgan sonraki tıklamada başka bir IP kullanıyor. Ayrıca çoğu araç sadece engeller ve geçer Google'ın algoritmasını kirlenmiş veriyle baş başa bırakır. ClickSambo farkı IP'nin ötesine geçmek: Cihaz parmak izi, davranış analizi ve protokol tespiti ile saldırganı IP'den bağımsız tanımak ve Google'a geri bildirimle algoritmayı temiz tutmak.

ClickSambo IP değişse bile saldırganı nasıl tanıyor?

IP yerine cihazın kendisine bakıyoruz. Her cihazın donanımı eşsiz izler bırakır — ekran kartı çizim farklılıkları, ses işleme biçimi, TCP bağlantı davranışı, yüklü fontlar ve yüzlerce sinyal. Bunları birleştirip cihaza özel, değiştirilmesi neredeyse imkânsız bir kimlik oluşturuyoruz. IP, tarayıcı veya çerez değişse de aynı cihazı milisaniyeler içinde tanıyoruz.

Google zaten sahte tıklamaları filtrelemiyor mu?

Google basit bot trafiğini ve bilinen veri merkezi IP'lerini filtreler ,bu doğru. Ama konut proxy saldırıları "gelişmiş geçersiz trafik" (SIVT) kategorisine giriyor ve Google'ın filtreleri burada çok daha temkinli. Çünkü konut IP'leri gerçek müşterilerden ayırt edilemiyor; çok sert filtreleme gerçek alıcıları da engelleyebilir. Bağımsız denetimler Google'ın bu trafiğin sadece %40-60'ını yakalayabildiğini gösteriyor.

"Google'a geri bildirim" ne demek? Neden önemli?

Çoğu koruma aracı sahte tıklamayı engelleyip işi bitirir. Ama Google'ın Smart Bidding algoritması o sahte tıklamaları zaten "gerçek ilgi" olarak kaydetmiş olur. ClickSambo bunu düzeltir: Sahte tıklamaları Google Ads API'si üzerinden "negatif sinyal" olarak algoritmaya bildirir , algoritma bu kalıptan kaçınmayı öğrenir. Gerçek dönüşümleri ise "pozitif sinyal" olarak iletir. Sonuç: Algoritma temiz veriyle çalışır, doğru kitleyi hedefler, TBM düşer.

Kurulum teknik bilgi gerektirir mi?

Hayır. Google Ads hesabınıza MCC erişimi vermeniz yeterli , kod ekleme, etiket kurma veya web sitesi değişikliği yok. 10 dakikadan kısa sürer. Rehberli kurulum akışı ve Müşteri Başarı Yöneticisi desteği dahil. KOBİ müşterilerimizin büyük kısmı aynı gün korumalı trafiğe geçiyor.