Привет, друзья. Сегодня хотел бы поговорить об кликджекинге и об одном «черном» методе получения данных о пользователе с использованием этой технологии, порассуждать на эту тему и поделиться своим мнением.
Кроме того, было бы интересно узнать, что думаете по этому поводу вы, какую позицию занимаете, был ли у вас опыт использования кликджекинга на сайте для получения контактов пользователя, как это повлияло на прибыль и позиции сайта.
Для тех, кто впервые сталкивается с этим термином и технологией сбора информации о пользователях расскажу кратко в чем его суть, но сначала небольшое введение.
Наверное, многие из вас сталкивались с ситуацией, когда вы заходите на сайт, например, интернет-магазин. Посмотрели товары, возможно, даже что-то кинули в корзину, но потом, по какой-то причине не купили и закрыли сайт.
Через некоторое время с вами связывается менеджер этого магазина по телефону или в социальных сетях и говорит: «вы были на сайте, интересовались тем-то и тем-то, даже в корзину добавили смартфон, вот вам скидка 10% и бесплатная доставка. Возвращайтесь и закончите оформление заказа». При этом вы могли не оставить вообще никаких контактных данных магазину.
С одной стороны - прикольно. Вы получили скидку и бесплатную доставку, а с другой…
- Как магазин узнал ваши контактные данные?
- Откуда он знает номер мобильного?
- Что еще ему известно о вас?
- Не нарушает ли он закон и сборе персональных данных?
- Как данные используются?
- Кому передаются?
Особенно часто это можно встретить в финансовой сфере, во всяком случае жалоб в интернете больше всего из этой области. Когда банк или другая финансовая организация перезванивает с предложение выпустить карту, получить кредит или оформить займ, хотя вы никому не передавали свои контакты.
Налицо все признаки кликджекинга или, как его еще называют, соцфишинга, используемого на сайте. Я не знаю откуда появилось второе названия, видимо от одного из популярных сервисов, оказывающих подобные услуги Socfishing. О нем мы еще поговорим позже.
Что такое кликджекинг (clickjacking) и в чем заключается технология?
Кликджекинг — это такой механизм обмана пользователей на сайте, когда размещаются невидимые элементы, с которыми пользователь взаимодействует, не подозревая об этом.
Самым простым примером может быть реклама, которая расположена по верх ролика или кнопки на сайте. Человек жмет кнопку и ожидает одного действия, а его, например, перекидывают на другой сайт или предлагают посмотреть рекламу.
Это безобидный вариант кликджекинга, который просто раздражает, но что, если при подобном клике сервис узнает о вас гораздо больше, чем передает браузер. Например ФИО, дату рождения, чем интересуетесь, на какие группы в социальных сетях подписаны, номер телефона, email и многое другое…
Вот безобидный пример с полупрозрачным предложением вступить в группу. Хотя пользователь хочет нажать на текст «click here»
Кстати, сейчас если нажать, то появится уведомление, что приложение запрашивает доступ к данным, но раньше всего этого не было.
В реальности делается это все при помощи невидимого фрейма, например, с лайком от социальной сети, который следит за курсором. И когда вы хотите кликнуть на какой-то элемент, то происходит клик не по нему, а виджету с лайком или присоединением в друзья.
Таким образом вы становитесь жертвой злоумышленника, и он может из соцсети достать всю информацию про вас, конечно, в рамках той, которая там указана. При этом, дело не ограничивается только 1 социальной сетью. Если удалось выудить email, то специальные программы начинают пробивать вас везде и отовсюду добывать крупицы информации.
Вариантов развития событий множество, например, вас могут незаметно добавить в группу, а потом получить данные из профиля или, сейчас существуют и такие сервисы, когда клик вообще не требуется, например, когда одной из открытых вкладок в браузере является социальная сеть. То есть в одной вкладке магазин, в другой ВК.
Как видите, не всем это может понравится, поэтому, при всей привлекательности способа получения таким образом контактных данных для предпринимателя, многие люди и сервисы выступили против. Например Яндекс еще в 2015 году призвал всех владельцев сайтов отказаться от кликджекинга и сейчас даже существует фильтр за использование этой технологии.
Поэтому, с тех пор сервисы предоставляющие услуги подобного рода начали быстро «умирать». Казалось бы «не поиском единым». Есть контекст и много других способов привлечь на сайт, но со временем люди стали получать отклонения рекламных компаний по причине кликджекинга.
Конечно и социальные сети добавили ограничения и начали бороться с подобной технологией, так и не признавая ее уязвимостью, но часть похожих «дыр» все же существует, раз кликжекинг и соцфишинг до сих пор распространены.
Одним из таких сервисов, предоставляющих идентификацию пользователей в социальных сетях является вышеупомянутый SocFishing.com, который и привлек мое внимание. Они красиво расписывают свой продукт и выгода от такой услуги конечно же очевидна, в случае позитивной реакции пользователей и поисковиков.
Я попытался выяснить у техподдержки как происходит процесс идентификации, но они сказали, что это коммерческая тайна, а на вопрос требуется ли от пользователя какое-то взаимодействие с сайтом посредством клика, они утвердительно ответили, что нет.
По поводу кликджекинга так и не ответили, хотя я прямо спрашивал не он ли в основе работы сервиса, при этом заверили, что при наличии пользовательского соглашения, никаких проблем с законом не будет по поводу сбора персональных данных.
По поводу гарантий того, что наличие их скрипта не навредит продвижению их поддержка не дала. При этом честно предупредили, что обращения от пользователей по поводу санкций со стороны Яндекса были.
Интервью с основателем сервиса на SeoPult
Вот такой неоднозначный сервис.
Как видите, все на грани законности, здравого смысла, честности и порядочности. С одной стороны, они предупреждают, что нужна политика. А как о ней заявить пользователю это дело наше с вами. И вроде как правильно, их сервис снял с себя ответственность, при этом, насколько я понял, SocFishing начинает собирать информацию о нас до того, как мы прочтем соглашение либо кликнем не глядя на уведомление о принятии этого соглашения.
Как же тогда быть с отказавшимися. Как передать эту информацию в систему и удалить из нее пользователя, без личного письма администратору с просьбой удалить себя из базы, ведь если я отказался и не принял политику со сбором и обработкой моих данных, я ожидаю, что она не будет производиться. Видимо нам придется сделать так, чтобы скрипт загружался только после того, как пользователь согласился на обработку и сбор данных.
Посмотрите, что у них в предложенной политике написано:
Перечень действий с персональными данными Посетителя Сайта, на совершение которых дается согласие. Обработка персональных данных Посетителя, в соответствии с настоящей Политикой обработки данных, может включать в себя следующие действия (операции): сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Как вам такое соглашение? При этом: «взаимодействуя с сайтом вы даете согласие» на обработку персональных данных. Это как вообще? Тем что я зашел на сайт, я даю согласие… Бред… Но насколько я понял, это вполне «нормальная» практика.
Вот, например, у «LPTracker» в предложенной политике конфиденциальности:
Обработка персональных данных Посетителя, в соответствии с настоящей Политикой обработки данных, может включать в себя следующие действия (операции): сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Может, конечно, кто-то скажет, что я параноик, но мне бы не хотелось попадать на сайты с такой политикой, особенно, если в случае ее неприятия данные не удаляются, а просто хранятся.
Многие оправдывают сервисы тем, что можно написать в личку потенциальному клиенту, пока он находится на сайте и предложить что-то, но для этого давно есть онлайн-консультанты, которые не вызовут столько вопросов у пользователя по поводу того, откуда вы получили информацию о них.
С другой стороны, есть возможность попытаться вернуть потерянного клиента… Не знаю, смотря с какой стороны посмотреть, но мне все же кажется, что нужно быть честным до конца и без явного согласия пользователя не использовать подобные методы.
Кроме того, есть более-менее честные способы и сервисы, которые, по моему мнению достойны внимания. Например, Carrot Quest. Пока собирал информацию о кликджекинге наткнулся на их статью в Spark и заинтересовался сервисом.
Суть в том, что они идентифицируют пользователей по социальным сетям, но только тех, кто уже оставил вам свой email, то есть заполнил и отправил контактную форму или подписался на рассылку. При этом, у посетителя есть возможность ознакомиться с политикой конфиденциальности до того, как о вас узнают информацию.
По сути, сервис делает все то, что вы можете сделать сами. Например, вы получили от пользователя письмо через форму обратной связи на сайте. Взяли его email и вбили в поиске по людям в Facebook. Нашли его профиль, а у него там имя, фамилия, телефон и другие данные. Все это делает и Carrot Quest, только быстрее, автоматически и по нескольким социальным сетям.
При этом, у пользователя есть возможность ознакомится и принять политику конфиденциальности, без автоматического согласия при присутствии на сайте.
Вообще у сервиса это не основная специализация, там есть онлайн-чат, собственная eCRM система, конструктор всяких поп-апов и т.д, и, когда-то давно, я даже упоминал о нем на блоге. Так-что, судя по всему, сервис надежный, так как держится на плаву уже несколько лет.
Думаю, что это более-менее честно. А как вы относитесь к такому вида кликджекинга и подходу, который предлагает Carrot Quest? Был ли у вас опыт использования таких инструментов? Каких именно? Напишите пожалуйста в комментариях.
19 комментариев
Ошалеть, нужно попробовать на каком-нибудь второсортном проекте этот фишинг, если бан не схвачу, реально полезная штука. Хотя, как я понял, дела обстоят нормально у них. То обращение, по поводу блокировки сайта яндексом, ведь блокировка могла быть и не по вине сервиса. Может владелец еще 25 способов идентификации подключал, которые использовали кликджекинг. У них, как я понял, другой способ.
В любом случае, спасибо за статью. Я бы не называл способ черным, больше серенький. Буду пробовать )))
Даня, привет. Ну да, ошалеть)) Окей, если это не кликджекинг и, если после принятия соглашения, наверное, он действительно светлосеренький.
А по поводу сервиса, что было обращение с жалобой о санкциях со стороны Яндекса - это ты здорово! Я не подумал даже, что на сайте могли быть подключены и другие скрипты. Они же и в письме написали, что причину не установили.
Я согласен с таким методом, только не во всём. Действительно - я выкладываю свои данные в соцсетях открытыми, и по сути, человек или программа могут найти их для обратной связи, если я сделал какие-то манипуляции на сайте, но не закончил их. Программа это сделает быстрее. Но я не согласен, когда эти данные передаются третьим лицам, и мне начинают названивать различные подозорительные личности с предложением купить отпариватель белья или увеличить челн. Так что двояко так. Если на сайте такое стоит, и потом мне позвонят и сделают красивое предложение, которое меня убедит - почему бы и нет. Если просто для спама побомбить - то нет, спасибо.
Ты можешь почитать, кстати, статью на РБК (не знаю, пропустит ли ссылку) - __https://www.rbc.ru/newspaper/2017/03/02/58b6934f9a7947dc0fc13939
Для большего понимания ситуации - статья рекламная, если что) А потом прочитай про Шиянова и Вонтрезалт в формате "отзывы" - и поймешь, чем зарабатывают эти компании.
Алексей, окей, спасибо посмотрю. Да вот и я о том же. С одной стороны, не стоит вдаваться паранойю, с другой стороны все зависит от порядочности владельцев сайта и сервиса. Вообще, удобная вещь для предпринимателя и для пользователя, если все делать по уму.
"Я не знаю откуда появилось второе названия, видимо от одного из популярных сервисов, оказывающих подобные услуги Socfishing"
Всё очень просто. Fish - это переводитс как рыба. Fishing - рыбалка, ловля рыбы. Soc - объяснять не надо. То есть, соцфишинг - это ловля рыбы в социальных сетях (образно, конечно же, так как на самом деле речь идёт о контактах людей, а не о рыбе.
Мне как раз более привычно такое название, а не кликджекинг. Кликджекинг наоборот непонятно как переводится. Jacking - это, судя по всему "домкрат".
Михаил, кликджекинг - это именно когда ты кликаешь по какому-то месту сайта, куда хотел кликнуть, а на том месте форма авторизации вконтакте, например, чтобы авторизовать тебя и получить твои данные (форма скрытая, конечно, и так было раньше). Т.е. это когда кликаешь куда-то, а тебе подсовывают вместо куда-то что-то и получают от тебя действие, которые ты не хотел делать (потому что просто не знал об этом).
И в этом да, отличие. Соцфишинг - когда манагер вручную пишет клиенту в соцсеть, а кликджекинг - когда компания получает твои данные от твоих действий на их сайте. Второе может выходить из первого после получения данных.
Михаил, Алексей прав. Кликджекинг - это именно механизм(технология) обмана, когда ты совершаешь, путем клика на сайте, действие, которое не собирался делать. А то, что научились при помощи кликджекинга собирать данные о пользователе в социальных сетях, как я понял, это уже соцфишинг.
dimadv7, даже немного не так:) Не подсматривая в гугол, я могу предположить с большой долей вероятности, что соцфишинг - это как раз когда в соцсети обрабатывают клиента. Т.е. имея данные о социальной сети, клиенту можно написать и уже там "рыбачить", пытаясь продать услугу или продукт.
Алексей, вполне возможно. Просто вот на Спарке ребята из КэротКвест вообще поставили равно между этими понятиями. Я думаю, это неправильно.
Я что-то не понял. Эта статья типа рекламирует сервисы, но не рассказывает ничего о том, как сделать самому бесплатно?
Артур, типа да. Можешь сделать бесплатно, давай разместим гостевой пост. Я только за. А вообще, это статья, для того, чтобы обсудить отношение людей к подобным сервисам, узнать кто пользовался ими, какой был опыт и т.д. Но да, 2 сервиса, которыми заинтересовался, я упомянул. Даже рефку разместил.
Лично я не против такого использования. Как писали выше, мне было норм если бы мне сделали предложение со скидкой и тд. Собственно, мы на своем проекте успели протестировать когда это только было в зародыше.
Но, буквально через месяц яндекс выдал этот перл и пришлось отказаться.
Помню на триале даже успели кого-то закрыть на покупку ))
Васёчек, понял. Спасибо за отзыв. Сейчас эти все сервисы утверждают, что они не используют кликджекинг.
Когда мне так звонят - просто посылаю на х%й!
А вообще разглашение персональных данных - подсудное дело!
Максим, если только ты сам, согласно политике о данных, не разрешил этого...
Читаю про возмущения Яндекса и у меня появился вопрос: а Яндекс и Гугл не тем же самым занимается-собирает информацию о всех и вся ?!
Александр, конкурентов вытесняют и боятся публичной шумихи по этим вопросам. Так как тот же соцфишинг просит соглашение на сайте, с которым посетитель должен быть согласен, если заходит на сайт. Так что я не вижу нарушения. Аналогично у соц. сетей доступ к авторизации, только всплывает окно.
Можно поставить соглашение и только после клика по нему запоминать посетителя и всегда загружать ему скрипт соцфишинг. Не вижу нарушений в этом плане. Другой вопрос, что пользователи мало задумываются о том, что они выдают свои логины. С другой стороны, эти логины не имеют какой-то приватной информации, они равносильны номеру автомобиля, которой владелец магазина списал стоят у окна. Не стоит забывать, что крупные - яндекс рекламные сети и прочие компании, которые тайно собирают информацию про миллионы человек - имеют огромные возможности и прямое взаимодействие с соц. сетями, вот они это основная угроза неких массовых сливов персональных данных. Что же касается каких-то в сравнении мелких сошек, то они попросту вскрывают личину крупняка и крупняку это не нравится.
Сергей, по идее да...