Google Ads Tıklama Dolandırıcılığı: Bot Trafiği Nasıl Tespit Edilir ve Engellenir?

Ayda 10.000₺ Google Ads bütçeniz var. Analytics'e bakıyorsunuz: 1.000 tıklama, 10 dönüşüm, %1 CR. Normal mi? Belki. Ya da belki 300 tıklama bot'tan geldi ve gerçek CR'niz %1.4. Bu 3.000₺ çöpe gitti. Tıklama dolandırıcılığı dijital reklamcılığın en büyük gizli maliyetlerinden biri. Bu rehberde bot trafiği nasıl tespit edeceğinizi, engelleyeceğinizi ve Google'dan paranızı nasıl geri alacağınızı öğreneceksiniz.

Tıklama dolandırıcılığı (click fraud), reklam bütçesini tüketmek amacıyla bot veya kötü niyetli kullanıcılar tarafından yapılan sahte tıklamalardır. Rakipler, publisher'lar veya bot ağları tarafından gerçekleştirilir. Google Ads bütçesinin %15-20'si click fraud'a gidebilir.

Juniper Research'e göre 2024'te global click fraud kaybı $100 milyarı aşacak. Her 5 tıklamadan 1'i sahte. KOBİ'ler büyük şirketlere göre daha fazla etkileniyor çünkü koruma araçlarına yatırım yapamıyorlar.

Click Fraud Nedir? Kim Yapıyor, Neden?

Tıklama dolandırıcılığı 3 ana kaynaktan gelir: Rakipler (bütçenizi tüketmek için), yayıncılar (reklam geliri artırmak için) ve bot ağları (organize suç). Motivasyonlar farklı ama sonuç aynı: Boşa harcanan bütçe.

Rakip dolandırıcılığı: En yaygın tür. Rakip şirket çalışanları veya kiralanan kişiler reklamlarınıza sürekli tıklar. Amaç: Günlük bütçenizi tüketmek, gerçek müşterilerin reklamınızı görmesini engellemek. Özellikle yüksek CPC sektörlerde (hukuk, sigorta, finans) yaygın.

Publisher dolandırıcılığı: Display Network'te yayıncılar kendi sitelerindeki reklamlara tıklar veya tıklattırır. Amaç: Google'dan aldıkları reklam gelirini artırmak. Google bu türü daha iyi tespit ediyor ama hala %10-15 kaçak var.

Bot ağları (Botnets): Organize siber suç. Binlerce virüslü bilgisayar (zombie) otomatik tıklama yapar. Dağıtık yapı tespit edilmesini zorlaştırır. En sofistike ve tehlikeli tür. Human-like davranış simüle edebilirler.

Büyüklük ve etki: Juniper Research: 2024'te $100+ milyar kayıp. ClickCease: Her 5 PPC tıklamasından 1'i sahte. University of Baltimore: 2020'de $35 milyar, yılda %50+ büyüme. KOBİ'ler orantısız etkileniyor — bütçelerinin %20-30'u fraud'a gidebilir.

Tespit Yöntemleri: Bot Trafiği Nasıl Anlaşılır?

Bot trafik 5 ana belirtiyle tespit edilir: Anormal CTR artışı, düşük oturum süresi (<10sn), yüksek bounce rate (>90%), coğrafi tutarsızlık ve tekrarlayan IP'ler. Google Analytics ve reklam panellerinde bu metrikleri düzenli izleyin.

Anormal CTR değişimleri: Normalde %2 olan CTR'niz bir günde %8'e çıktı? Kırmızı bayrak. Belirli saatlerde spike'lar (gece 3-5 arası yüksek tıklama), belirli günlerde ani artışlar. CTR yükselirken conversion rate düşüyorsa fraud olasılığı yüksek.

Düşük oturum kalitesi: Analytics'te kontrol edin: Ortalama oturum süresi <10 saniye, Bounce rate >90%, Sayfa/oturum = 1.0, Event tetikleme = 0. Bot'lar tıklar ama site ile etkileşime girmez. Gerçek kullanıcılar en azından birkaç saniye bakar.

Coğrafi anomaliler: Türkiye hedefli kampanyada Bangladeş, Vietnam, Nijerya trafiği? Şüpheli. VPN ve proxy kullanımı yaygın ama coğrafi dağılım hala ipucu veriyor. Özellikle 'click farm' ülkelerinden gelen trafik dikkatle incelenmeli.

IP analizi: Aynı IP'den tekrarlayan tıklamalar, data center IP aralıkları (AWS, Google Cloud, DigitalOcean), bilinen proxy/VPN IP'leri. Google Ads'te IP'leri göremezsiniz ama 3. parti araçlar (ClickCease, ClickGuard) gösterir. 500+ tıklama aynı IP? Kesin fraud.

Cihaz ve davranış analizi: Bot'lar genelde: Eski browser user-agent kullanır, JavaScript disabled, cookie kabul etmez, mouse movement yok (direct click), form doldurma süresi <1 saniye. Bu sinyalleri analiz eden araçlar fraud tespitinde kritik.

Kırmızı Bayraklar: Şu kombinasyon gördüğünüzde alarm: CTR ↑ + Conversion ↓ + Bounce ↑ + Avg. Session ↓ + Belirli saatlerde spike. Bu pattern neredeyse kesin click fraud göstergesi.

Koruma Stratejileri: Proaktif Önlemler

Click fraud koruması 4 katmanlı: 1) IP exclusion (şüpheli IP'leri engelle), 2) Placement exclusion (düşük kaliteli siteleri çıkar), 3) Hedefleme daraltma (coğrafi, cihaz, saat), 4) 3. parti araçlar (otomatik tespit ve engelleme).

IP exclusion: Google Ads'te 'IP exclusions' listesi oluşturun. Manuel olarak: Server loglarından şüpheli IP'leri belirleyin. Otomatik olarak: ClickCease gibi araçlar anlık engelleme yapar. Limit: Google Ads'te max 500 IP. Düzenli temizlik ve güncelleme gerekli.

Placement exclusion: Display ve YouTube kampanyalarında kritik. Düşük kaliteli siteler, MFA (Made For Ads) siteler, oyun/çocuk uygulamaları (yanlışlıkla tıklama). Google Ads > Placements > Exclusions. Performance verilerine göre düzenli temizlik. Categories exclusion da kullanın.

Hedefleme optimizasyonu: Coğrafi hedefleme daraltın (fraud yoğun bölgeleri çıkarın). Saat dilimi ayarı (bot'ların aktif olduğu saatleri kapatın). Device bid adjustment (mobile bot'lar yaygın — mobil CPC düşürün veya kapatın). Audience targeting kullanın.

3. parti koruma araçları: ClickCease (en popüler), ClickGuard, PPC Protect, Lunio. Özellikler: Gerçek zamanlı tespit, otomatik IP engelleme, Google ile entegrasyon, raporlama. Maliyet: $50-500/ay. ROI: Genellikle bütçenin %15-20'sini korurlar — maliyetini çıkarır.

Google'dan İade Alma: Invalid Click Credit

Google, tespit ettiği geçersiz tıklamalar için otomatik kredi verir ('Invalid Clicks' metriği). Otomatik algılanmayan fraud için manuel 'Invalid Click Contact Form' ile başvuru yapılır. Kanıt sunulması iade şansını artırır.

Otomatik iade sistemi: Google, fraud tespiti için ML kullanır. Tespit ettiği geçersiz tıklamalar için otomatik kredi verir. Google Ads > Campaigns > Modify columns > Invalid clicks. Bu sayı gördüğünüz 'Clicks' sayısına dahil değil — zaten düşülmüş.

Manuel başvuru süreci: Otomatik sistem her şeyi yakalamaz. Manuel başvuru için: Google Ads Help > Contact Us > 'Click quality' seçin. Gerekli bilgiler: Hesap ID, kampanya ID, tarih aralığı, şüphelenme nedeni, kanıtlar (Analytics screenshot, IP logları).

Başarılı başvuru için kanıtlar: Analytics verileri (düşük engagement pattern'leri), IP analizi (tekrarlayan veya data center IP'leri), click/conversion tutarsızlığı, 3. parti araç raporları. Ne kadar detaylı kanıt, o kadar yüksek iade şansı.

Beklentiler: Google her başvuruya olumlu yanıt vermez. Ortalama iade oranı: Başvuruların %30-40'ı onaylanır. Iade miktarı: Genellikle başvurulan dönemin %5-15'i. Süre: 2-4 hafta. Düzenli başvuru yapmak (aylık) pattern oluşturur ve ciddiye alınırsınız.

Pratik İpucu: Google'a fraud bildirirken 'şüpheleniyorum' yerine somut veri sunun. 'X tarihinde Y IP'den Z adet tıklama geldi, ortalama oturum süresi 2 saniye, bounce rate %98' gibi. Veri odaklı başvurular daha hızlı işlenir.

Sonuç: Sürekli Vigilance Şart

Click fraud %100 engellenemez ama minimize edilebilir. Düzenli izleme, proaktif önlemler ve hızlı müdahale ile bütçe kaybı %5'in altına indirilebilir. Koruma araçları yatırım değil, zorunluluk.

Checklist — bugün yapılacaklar: Google Ads'te 'Invalid Clicks' kolonunu ekleyin, Analytics'te bot trafiğini filtreleyin, son 30 günün CTR/Bounce/Session verilerini inceleyin, ilk 10 IP'yi analiz edin (server logs), şüphe varsa Google'a başvurun.

Haftalık rutin oluşturun: Her hafta: CTR ve conversion trend analizi, placement report inceleme (Display), coğrafi dağılım kontrolü, yeni IP exclusion ekleme. Ayda bir: Kapsamlı fraud audit, Google başvurusu (gerekirse), koruma aracı değerlendirmesi.

Yatırım perspektifi: $100/ay koruma aracı + 2 saat/hafta manuel izleme = Bütçenin %15-20'si korunur. 10.000₺/ay bütçe için: 1.500-2.000₺/ay tasarruf. ROI: 5-10x. Koruma 'maliyet' değil, 'yatırım koruma'.

Son söz: Tıklama dolandırıcılığı dijital reklamcılığın karanlık yüzü. Görmezden gelmek cebinizden para çıkması demek. Ama abartılı panik de gereksiz — sistemli yaklaşımla risk yönetilebilir. Veriye bakın, önlem alın, düzenli izleyin. Bütçeniz sizin, koruyun.