Кликджекинг что это такое
Новые виды атак на основе технологии кликджекинга
Классическое применение кликджекинга – рапространение ссылок через Facebook
В классическом сценарии кликджекинга злоумышленник прячет кнопку «Like» или «Share» в прозрачном iframe. Этот iframe располагается над элементом страницы, на который должен нажать пользователь, также iframe может перемещаться за курсором мыши. При нажатии на элемент клик перенаправляется на невидимую кнопку «Like» или «Share». Такие действия не ограничивается Facebook’ом, злоумышленнику только нужно иметь возможность спрятать элементы другого сайта в iframe.
Ниже приведено типичное сообщение, которое можно увидеть в сети Facebook, если одно из ваших соединений было перехвачено с помощью кликджекинга:
Пройдя по ссылке, расшаренной вашим другом, вы попадете на сайт с видео YouTube. Однако, вы не увидите кнопок «Like», которые я выделил на приведенном ниже скриншоте:
Кнопки «Like» расположены там, куда пользователь обычно нажимает, чтобы просмотреть видео: в середине окна и в левом нижнем углу. Жертва не увидит эти кнопки, потому что они находятся в невидимом прозрачном iframe. Запустив это видео пользователь нажмет кнопку «Like», увеличивая популярность сайта на Facebook.
Новые вариации техник кликджекинга
В работе Clickjacking Attacks Unresolved, Линь-Шунг Хуанг (Lin-Shung Huang) и Коллин Джексон (Collin Jackson) рассмотрели более хитрые вариации кликджекинга. Например, они продемонстрировали, как злоумышленник может идентифицировать пользователя вредоносного сайта, запрашивая его информацию у Facebook.
Я записал демонстрационное видео деанонимизации пользователя. На видео показана кнопка «Like», которая перемещается за курсором жертвы, но в реальной атаке кнопка была бы невидимой. Когда пользователь неумышленно нажмет эту кнопку, он станет другом злоумышленника на Facebook (прошу прощения за возможную неточность в терминах Facebook, сам Facebook’ом не пользуюсь – прим. перев.).
Затем страница злоумышленника через FB.Event.subscribe(‘edge.create’, …) узнает, что жертва нажала кнопку «Like», передает сообщение серверу злоумышленника, который получает список друзей и идентифицирует нового друга. Сервер запрашивает публичную информацию пользователя через Facebook Graph API, и удаляет пользователя из списка друзей.
Эти действия позволяют злоумышленнику получить публичные данные пользователя, включая id пользователя. Авторы работы демонстрируют эту атаку, проведя ее с помощью кнопки Твиттера «Follow»:
Кликджекинг и timing атаки
Хуанг и Джексон описали click-timing атаку, называемую двойным кликджекингом, в которой пользователь через запрос злоумышленника перенаправляется на авторизацию у OAuth-провайдеров. Согласно документу, этот подход работает даже если на сайте предприняты такие меры против кликджекинга с помощью iframe, как X-Frame-Options.
Хотя злоумышленник не может вставить iframe на таких сайтах, он может загрузить страницу OAuth в pop-under окне. Pop-under окно после открытия скрывается за окном браузера. С тех пор, как браузеры стали блокировать всплывающие окна, которые открываются без участия пользователя, для этой атаки требуется большое количество кликов, чтобы обойти блокирование всплывающих окон.
Чтобы увидеть концептуальный код атаки двойного кликджекинга, пройдите по ссылке Clickjacking Attacks Unresolved.
Что такое кликджекинг и как снять фильтр в Яндекс за него
В декабре 2015 года Яндекс ввел новый фильтр, который наказывал за так называемый «кликджекинг». В 2016 году вебмастерам и владельцам сайтов пришлось выводить свои сайты из-под фильтра. В статье мы дадим подробные рекомендации по диагностике и снятию этого фильтра.
Что такое кликджекинг
В Рунете одним из распространенных проявлений кликджекинга стал так называемый «соцфишинг».
Как это работает. Владелец сайта или вебмастер регистрируется в одном из сервисов, использующих соцфишинг, получает код этого сервиса и ставит на свой сайт.
На сайте появляется невидимый слой (фрейм), куда загружается кнопка «Мне нравится» от ВКонтакте, которая следует за курсором. Как только вы где-то кликнете, то автоматически нажмете эту невидимую кнопку. Если вы в браузере авторизованы в социальной сети ВКонтакте, то такое действие поможет сервису определить ваш профиль и получить общедоступные данные профиля (адрес профиля, имя, а также телефон и мейл, если они общедоступны).
После чего эти данные передаются сервису, а он уже продает их владельцу сайта, установившему код. Используя их, вы можете связаться с людьми, которые заходили к вам на сайт. Стоит ли говорить, что они этого не ожидают, ведь они не передавали вам никакие персональные данные?
Результат действия подобного сервиса примерно такой: вам в личные сообщения пишет неизвестный человек и предлагает услугу.
Во всех случаях, что мы видели, подобные сервисы используют именно кликджекинг и Яндекс с этим согласен.
Будьте внимательны! Авторы подобных сервисов могут утверждать, что их скрипт «дружит» с Яндексом, поэтому внимательно изучайте, как работают скрипты, которые устанавливаете себе на сайт. Если сервис предлагает что-то похожее на описанное выше – подумайте и почитайте отзывы о нем.
При этом обычные виджеты соцсетей, конечно же, не являются кликджекингом:
Кликджекинг или нет?
Фильтр Яндекса за обманные технологии
Как говорят, знал бы прикуп, жил бы в Сочи. Однако это уже будет не красивая игра, а мухлеж с краплением карт. К чему все это? Да все просто. Каждый бизнесмен не откажется узнать ценную информацию о своих потенциальных клиентах, которую можно будет использовать для повышения продаж. Скажем, профиль ВКонтакте, телефон, почту или что-то еще.
Но далеко не каждый посетитель согласится оставить такую информацию о себе. И тут на помощь предпринимателям всегда готовы прийти сторонние сервисы по получению информации. Как оказывается, не все такие методы работы с клиентами в глазах поисковых систем, а в частности Яндекса, законны.
Не хочет клиент оставлять вам данные – силой их брать не стоит (и обманом тоже). Эти действия называются страшно красивым словом «кликджекинг», они караются санкциями с понижением позиций в органике.
На самом деле, кликджекинг явление не новое.
Яндекс порадовал мир санкциями за серые методы выуживания информации у посетителей сайта (именно это и называется кликджекингом) еще в декабре 2015 года. Вскользь об этой технологии мы уже писали.
Но, как показывает практика, до сих пор далеко не все владельцы сайтов знают, что такое кликджекинг и как он может навредить сайту. Что ж, давайте разбираться, что это такое, чем опасно, как проверить и с какими сервисами лучше не дружить.
Что такое кликджекинг?
Цитирую, как написано в Яндекс.Блоге для вебмастеров: «Кликджекинг – механизм обмана, связанный с размещением на сайте невидимых элементов, взаимодействие с которыми пользователь осуществляет, не подозревая этого».
Что значит «невидимые элементы» – это такие элементы, которые невозможно увидеть на сайте, скажем, потому что они расположены на специальном прозрачном слое, поверх основных, видимых деталей сайта. Обычно поверх кнопок, форм, видеороликов. Т.е. там, где пользователи предположительно будут взаимодействовать с сайтом. Нажимает пользователь на видеоролик, а на самом деле попутно тыкает на кнопку «соглашаюсь поделиться информацией о себе» – ну это если утрированно объяснять.
Чем опасен кликджекинг?
Как таковая технология кликджекинга для сайта не опасна. Ну стоит код, который подгружает данные о пользователях, самому сайту от этого ни холодно ни жарко. Проблема не в коде, проблема в том, что с таким поведением активно борется Яндекс. За кликджекинг предусмотрены санкции с понижением позиций от 20 – 30 пунктов и более.
Примечательно то, что в настоящее время вебмастера не получают уведомлений о том, что на сайте используется запрещенная технология и за это могут быть наложены санкции. Поставил ты себе код какого-нибудь новомодного счетчика в маркетинговых целях, сайт оказывается под санкциями, а ты и не догадываешься об этом.
Как говорят яндексовцы, в ближайшее время появится такое предупреждение, но пока только постфактум вы можете получить сообщение с ай-яй-яй о применении к сайту санкций за установку и использование запрещенного кода.
Как оказывается, несмотря на значительный срок существования санкций, часть собственников до сих пор не знают, что это такое. Подтверждение тому – небольшой опрос, который мы провели на днях в группе (на фото фрагмент поста, где видны результаты голосования)
Что принимают за кликджекинг?
Пользователи не до конца разбираются в том, что за зверь этот кликджекинг. Поэтому на практике возникает много вопросов. Даже если посмотреть на скрин выше (там речь идет о коде для ретаргетинга из ВКонтакте, который устанавливается на сайте), видно, что мнения разделились. И часть людей считают это кликджекингом. Чисто теоретически код для ретаргетинга из ВКонтакте вполне можно отнести к кликджекингу. Но пока прецедентов не случалось.
Таргетированная реклама по коду из соцсетей, как я уже писала, – это, пожалуй, самый волнующий вопрос, да оно и понятно. Если рассматривать принцип работы, то он вполне вписывается в схему кликджекинга. Смотрите сами: вы ставите код на сайт, пользователь заходит, смотрит нужные разделы, в это время система подхватывают о нем информацию и собирают его в специальные базы. После чего за пользователем начинает гоняться реклама холодильника, ну или что он там смотрел.
Яндекс напрямую ничего не говорит про код из ВК:
Судя по всему, код ретаргетинга может рассматриваться как кликджекинг, но, скорее всего, для него сделано исключение.
С этим же вопросом я обратилась в службу поддержки ВКонтакте.
Что делать? Использовать спокойно, пока санкций за это не замечено.
Что еще может быть под подозрением:
Конечно, это отнести к кликджекингу нельзя, ведь посетитель сразу видит условия и сам принимает решение, делиться информацией или нет. Да и потом, система не собирает данные о пользователях, вы просто улучшаете шаринг своего контента, не совершая ничего незаконного. Использовать можно.
Всплывающее окно видно, его практически всегда легко закрыть. Пользователь видит форму и сам принимает решение, что делать: оставить контактные данные или закрыть форму и смотреть контент.
У всплывающего окна могут быть несколько другие проблемы: мешает и раздражает, сложно найти кнопку, чтобы закрыть, всплывает несколько раз. Но это не относится к кликджекингу. Использовать можно.
Здесь больше вопросы к юзабилити и удобству сайта. Делайте все гармонично, смотрите, чтобы пользователям было комфортно и интуитивно просто на вашем сайте. Не обманывайте, пусть покупка будет желанной, а не случайной (чтобы гаденького осадочка не осталось). Но в целом лучше не использовать.
Никаких данных в этих случаях о пользователе не собирается дополнительно. К минусам, разве что назойливость можно отметить. Использовать можно, но не для всех тематик подойдет.
Страхи и мифы мы рассмотрели. Теперь коротко скажу, чего стоит опасаться.
Итак, если код, который вы ставите на сайт, будет получать от пользователей данные, которые они самостоятельно не предоставляют (телефон, почту и т.д.), провоцировать действия, которые пользователи не планировали делать и все в таком духе – здесь можно бить в колокола и срочно удалять такие системы увеличения продаж с сайта. В противном случае слетите в органике по всем направлениям.
Каких сервисов точно стоит опасаться?
Пока изучала материалы для статьи, в Сети нашла много упоминаний о сервисах-вредителях, которые доставили использующим их людям массу неприятностей в виде санкций Яндекса.
Делюсь самыми распространенными, чтобы вы не наступили на грабли:
Ну разве заподозришь здесь обманную технологию? На первый взгляд все чинно-благородно и попробовать бесплатно очень хочется. Кстати, приведенный выше список сервисов – далеко не исчерпывающий. Просто посмотрите их, изучите и сторонитесь похожих.
Что делать, если опасаетесь за судьбу своего сайта?
У вас на сайте стоит код стороннего сервиса, и вы не уверены, что это не приведет к последствиям? Яндекс рекомендует смотреть, делает ли сервис обращение к социальным сетям во время работы или нет.
Как проверить? Заходите на сайт, кликаете правой кнопкой мыши, и из выпавшего списка выбираете «исследовать элемент» (Firebug). В открывшимся окне выбираете вкладку «сети» (network) и в формирующемся списке окна проверяем, чтобы не было обращения к соцсетям:
Опасность в том, что часто сервисы, обещающие увеличение продаж («удержим посетителей, догоним ушедших» и т.п.), не распространяются о том, что используют обманную технологию, за которую ваш сайт может попасть под санкции.
Проверяйте! Не будем забывать, что незнание не освобождает от ответственности, а санкции накладываются не на сервис, который вам предоставил код, а на ваш сайт, потому что вы его используете.
Будьте внимательнее к своему бизнесу. Повышайте конверсию честными способами, работайте комплексно над продвижением сайта, уделяйте должное внимание юзабилити и будет вам счастье.
Кликджекинг
Кликджекинг (clickjacking) – обманная технология, основанная на размещении вызывающих какие-то действия невидимых элементов на сайте поверх видимых активных (кнопки, воспроизведение видео и т. д.). В результате пользователь, сам того не зная, совершает что-то, что не входило в его планы. Например, собирается воспроизвести видео, но подписывается на чью-то рассылку.
Цель кликджекинга может быть любой – от более-менее безобидной накрутки лайков в социальных сетях или подписчиков до скрытого получения персональных данных, совершения покупок за чужой счет и т. д. Чаще всего идет взаимодействие через социальные сети: лайки, вступления в сообщества, кражу личных данных из профиля.
Отношение поисковых систем
Яндекс относит кликджекинг к факторам, негативно влияющим на ранжирование сайта, потому что технология в той или иной степени наносит вред пользователям.
При обнаружении использования обманной технологии позиции сайта в органической выдаче Яндекса понизятся, пока не прекратится использование кликджекинга.
Отмечают проседание позиций на 20–30 пунктов и заметное снижение поискового трафика по брендовым запросам.
Ограничения в ранжировании снимаются в течение двух неделей после устранения проблемы. В редких случаях нужен срок немного больше.
Наложение санкций за кликджекинг отображается в разделе «Безопасность и нарушения» в Яндекс.Вебмастере.
В Яндекс.Браузере сайт будет показываться с предупреждением, что может заметно сказываться на кликабельности.
Решение о наложении санкций применяется только по актуальным данным. То есть использование кликджекинга, например, месяц назад не сказывается на его сегодняшнем положении в выдаче Яндекса.
Если код обманной технологии есть, но неактивен, ограничения в ранжировании на поиске Яндекса не будет.
Google официально не понижает позиции сайта в выдаче, но замеченные в использовании ресурсы исключаются из контекстно-медийной сети, их владельцы не смогут зарабатывать на размещении рекламы от Гугла.
Риски
Не все владельцы сайтов знают, что на их ресурсе используется кликджекинг. Он может быть добавлен незаметно вместе с любым кодом неизвестного происхождения.
Разработчики не афишируют, что применяют кликджекинг. А результат его работы, например кражу персональных данных, могут выдавать как цель, достигаемую другими методами.
Так, например, кликджекинг используют некоторые сервисы, обещающие повысить продажи с сайта с помощью идентификации посетителей через профили в социальных сетях. Контакты пользователя сохраняются в системе и употребляются для рассылки спама, осуществления навязчивых звонков и т. д.
При решении вопроса о добавлении какого-либо кода на сайт должны насторожить следующие обещания разработчика:
Сервисы, оказывающие подобные услуги, необязательно используют кликджекинг, так как есть и другие, легальные технологии, не обманывающие пользователей и не вызывающие понижение в ранжировании в Яндексе. Но недобросовестные разработчики могут на самом деле применять и кликджекинг, выдавая за него другую методику. Поэтому нужно проверять работу всех добавляемых на сайт элементов.
Код может быть размещен осознанно или нет не только владельцем сайта. Технологию могут внедрить злоумышленники, взломав ресурс.
Как обнаружить кликджекинг
Если в Вебмастере Яндекса появилось сообщение, что сайт использует обманную технологию, нужно выявить элементы, содержащие вредоносный код.
Найти их можно с помощью специального софта или вручную.
Пример софта – расширение Clickjacking Reveal для браузера Google Chrome. Нужно произвести установку, на исследуемом сайте открыть Developer Tools (Ctrl + Shift + I), обновить страницу (Ctrl + F5). Расширение найдет вредоносный код. Если он есть, откроется вкладка Source. В ней будут указаны скрипты, использующие обманную технологию.
Чтобы найти кликджекинг вручную, нужно выявить скрытые элементы. Для этого используется консоль браузера. Во время проверки нужно быть авторизованным в какой-нибудь социальной сети.
Необходимо выполнить следующие действия:
Если найден код, являющийся причиной кликджекинга, его нужно удалить. Предварительно рекомендуется сохранять резервную копию сайта, чтобы случайно не нарушить работу каких-то необходимых и безопасных для пользователей элементов.
После устранения кода кликджекинга нужно зайти в раздел «Безопасность и нарушения» в Вебмастере Яндекса и нажать на кнопку «Я все исправил», чтобы быстрее произошла повторная проверка.
Что не относится к кликджекингу
Внедрение санкций со стороны Яндекса за кликджекинг вызвало много вопросов о некоторых размещаемых на сайтах элементах. Что не попадает под определение и может использоваться:
Не любое взаимодействие сайта с социальной сетью может относиться к кликджекингу. Обманная технология – это только та, которая работает без ведома пользователей, скрыта от них, тайно получает данные, которые они не собирались о себе сообщать, или заставляет неосознанно совершать незапланированные действия. За использование легальных технологий, обращающихся к соцсетям, со стороны Яндекса нет санкций.
Кликджекинг
Кликджекинг- сервисы для определения
контактов
Несмотря на то, что само по себе название «кликджекинг» мало кому знакомо, оно появилось достаточно давно. Но на массовом B2B рынке впервые такой сервис я заметил около 4-5 лет назад. Продвигался он достаточно спамным способом Вконтакте.
Была такая компания с синим логотипом. Сейчас даже не вспомню название. Они продавали определение данных пользователей Вашего сайта.
К примеру, на сайт перешло 100 человек, а они 10-12 контактов Вам определят (люди об этом не знают и не намерены получать звонок от Ваших сотрудников).
На момент, когда я тестировал такие сервисы для своих проектов- то из 10 определенных пользователей было штук 6-7 почтовых ящиков, один-два номера телефонов, остальное- аккаунты сервисов «мой мир» и «вк».
Компании, которые продают кликджек-сервисы
В общем в 14-15 годах таких контор появилось очень много, но опять же они все давно закрылись из-за отсутствия пользы. Точнее, из-за вреда, который они приносят пользователям этих сервисов. Но об этом ниже расскажу.
Выделялись тогда одни перцы, которые превратили этот спам-похититель контактов в хайп. Они упаковали сервис во франшизу и продавали ее по 100-200 тысяч новоявленным стартапперам- любителям высоких технологий.
Эта компания сдохла, но переродилась с другим логотипом и названием и сейчас они активно пиарятся, прикрываясь партнерством с крупнейшими федеральными и транснациональными компаниями.🤣 Это новое их название я знаю, но не буду использовать, чтобы не проиндексироваться по этому ключевому запросу)))
В общем, статья посвящена тому, чтобы Вы не устанавливали на свой сайт этот скрипт, так как он является вредоносным да и экономического эффекта от этого Вы не получите.
По эффективности применения кликджекинг может посоперничать только с «бобровой струей».
«Это не кликджекинг» говорили они…
Все такие компании открещиваются от ассоциации их с кликджекингом. Они даже делают спецальный «выключатель» кликджекинга с припиской- без этой технологии все работает огонь, только определяются контакты чуть хуже, а так все нормально! ))))
Но чтобы в это поверить надо не одуплять смысл работы сервиса вообще.
Как работает сервис определения контактов?
Пользователь заходит на сайт с установленным вредоносным кодом, который готов красть персональные данные посетителя. И для того, чтобы произошло определения контакта должно быть выполнено 2 условия:
Этого достаточно, чтобы скрипт похитил данные пользователя и передал их Вам в интерфейс этого «уникального» софта))
Стойте… Так это же и есть кликджекинг, то есть похищение данных пользователя без его ведома и согласия с имитацией нажатия на «невидимую» кнопку согласия передачи этих данных
Экономический смысл установки кликждекинга
Я написал заголовок, будто бы, действительно, смысл какой-то есть, а его нет))) Если к цифрам. Я ржал, когда менеджер компании рассказывал о супер- стартовом пакете в 300 определений за 25 тысяч рублей
За то, чтобы определить своих же посетителей, за каждый клик которых я заплатил Директу, или еще какой-то рекламной площадке, я должен еще 80 рублей заплатить каким то ребятам за каждый контакт ХОЛОДНОГО посетителя сайта, который даже не соизволил оставить мне заявку.
Просто представьте: что Вы сможете продать тем посетителям сайта, у которых не было интереса оставлять заявку со своим номером телефона. А у Вас на руках будет его аккаунт «мой мир», или старый и неактивный номер, который где-то был еще открыт и смог определиться, или аккаунт в ВК)))
Когда Вы поговорили с их менеджером- Вам кажется, что это супер-ВАУ штука, которая будет влюблять посетителя сайта в ВАС! Вы же его откуда-то нашли! Он будет думать»Вау, какая технологичная компания, надо бы купить у них что-то»
Хотя на практике Вы получите вопрос, даже если дозвонитесь до него: откуда у Вас мой номер и с хера ли Вы мне звоните, если я Вас об этом не просил?
А что Вы сделаете с определенной почтой? Вы знаете, что процент открытия писем редко превышает 10 процентов? А это значит, что из 100 отправленных писем по адресам, которые Вам стоили 80 рублей за штуку Вы получите 10 открытий письма))) А сколько переходов будет? Ноль! Потому что процент переходов из писем находится на уровне 1-2%
За 80 рублей Вы можете получать нового клиента в свой бизнес, который оставит заявку в Инстаграм, или Фэйсбук при помощи таргетированной рекламы.
А если будете лить трафик на чат-бота, или придумаете бесплатку в обмен на контактные данные, то почту, или номер телефона можно 2 раза за 80 рублей получить, причем тех людей, которые будут ждать Вашего звонка, или письма, а не тех, кто Вас в хер пошлет))))
Вред кликджекинга для сайта
Поисковые системы определяют скрипты этих сервисов определения контактов пользователей ВРЕДОНОСНЫМИ! Я не знаю, как Гугл, но Яндекс- точно негативно смотрит на саму политику работы такого сервиса.
Дело в том, что похищение данных- не совсем законная тема. В нашем государстве в ближайшие лет 100 за это не посадят, конечно, да и опыта судебных тяжб на эту тему я не видел. Но важно, что для работы сервиса- Вы поставите на сайт код. Пауки Яндекса просканируют сайт и найдут этот скрипт. Сделают себе отметку о том, что сайт делает «нехорошие дела» и есть риск его пессимизации (снижение позиций в поисковой выдаче)
Правила Яндекса прямо заявляют о том, что у владельца сайта с найденным скриптом кликджекинга будут проблемы в виде предупреждения около сайта и остальные негативные плюшки читайте у Яндекса.
Надеюсь, что уберег хоть несколько человек от установки таких сервисов на своем сайте и спас Вас от его негативных последствий и пустой траты денег на это унылое говно.