Все об интернет-маркетинге
из первых рук
Подписаться на рассылку подписаться
на рассылку
нас уже
111 713

Новый фильтр Яндекса - Кликджекинг


Новый фильтр Яндекса - Кликджекинг



Яндекс преподнес новогодний подарок, запустив в конце декабря 2015 года новый фильтр для борьбы с кликджекингом. Одним из первых пострадавших оказался сайт PR-CY, попавший под новые санкции за использование сервиса InTarget.


Так что же такое клиджекинг?


Кликджекинг (от англ. clickjacking) — механизм обмана посетителей сайта, связанный с размещением на ресурсе невидимых элементов (поверх кнопок, видеороликов, форм и т.д.), при взаимодействии с которыми пользователь даже не подозревает о них.

Благодаря таким элементам злоумышленники могут получить доступ к конфиденциальной информации пользователя, заманив его на внешне безобидную страницу или внедрив вредоносный код на безопасную страницу.


Как фильтр может навредить вашему сайту?


Яндекс в своем блоге для вебмастеров опубликовал пост о том, как кликджекинг влияет на ранжирование сайтов. Поисковик отметил, что сайты, использующие подобный механизм, будут понижаться в выдаче Яндекса.

Сайты будут пессимизированы за наличие нежелательного кода как на основном домене, так и на всех поддоменах, причем изначально в официальном анонсе об этом сказано не было.

Но 29 января этого года в блоге Яндекса после многочисленных вопросов от пользователей появилась статья, посвященная работе нового алгоритма. По заявлению поисковика, решение о наложении фильтра принимается только на основе анализа данных о сайте, полученных в ограниченном промежутке времени. То есть события, например, месячной давности повлиять на это не могут.

Фильтр накладывается только по факту использования кликджекинга на ресурсе. Наличие неактивного кода не ведет к появлению санкций. В случае использования стороннего сервиса с такой технологией используемый сайт может быть подвержен санкциям.

Вот что Яндекс ответил на вопрос о времени возврата позиций одному из пользователей форума http://searchengines.guru:

«Мы не можем сказать, как именно алгоритм отнесется к обновленному контенту на Вашем сайте. Рекомендуем дождаться, пока страницы, на которые внесены изменения, будут переиндексированы нашим роботом. В среднем это происходит в течение двух недель.»

«Мы стараемся уведомлять вебмастеров, когда это возможно. К сожалению, для данного типа событий уведомления не реализованы, возможно, они появятся в будущем.»


Принцип работы фильтра


Основная опасность заключается в том, что поверх видимой страницы располагается невидимый для пользователей слой. В него подгружается нужная злоумышленникам страница. Любое действие пользователя, например, клик на странице, совмещается с видимой ссылкой или кнопкой. Т.е. ни о чем не подозревающий пользователь совершает действия, которые от него ожидались.

Возможны различные варианты применения технологии — от подписки на ресурс в социальной сети до кражи конфиденциальной информации и совершения покупок в интернет-магазинах за чужой счет. Зачастую таким образом мошенники пытаются накручивать лайки и подписи в социальных сетях.

Ниже приведено типичное сообщение, которое можно увидеть в сети Facebook, если одно из ваших соединений было перехвачено с помощью кликджекинга:

Пройдя по ссылке, расшаренной вашим другом, вы попадете на сайт с видео YouTube. Однако вы не увидите кнопок «Like», которые выделены на приведенном ниже скриншоте, т.к. они находятся в невидимом прозрачном iframe:

Как видно на скриншоте, кнопки «Like» расположены именно там, куда пользователь обычно нажимает, чтобы просмотреть видео: в середине окна и в левом нижнем углу. Жертва не увидит эти кнопки, потому что они находятся в невидимом прозрачном iframe. И запустив это видео, пользователь нажмет кнопку «Like», увеличивая популярность сайта на Facebook.

Еще один пример кликджекинга на сайте http://www.ng.ru :

Случайный клик в любом месте по тексту открывает новое окно с рекламой Озона или World of Tanks.


Как PR-CY вышли из-под фильтра


Попав под фильтр в новогодние праздники, ресурс просел практическим по всем запросам на 20—30 позиций. Для выяснения ситуации было решено написать Платону. В ответе от поддержки Яндекса была подсказка, в каком направлении необходимо действовать:

После прочтения статьи о повышении конверсии и о том, как узнать лично каждого клиента интернет-магазина, PR-CY решили протестировать сервис InTarget, разместив код на своем поддомене audit.pr-cy.ru. После чего благополучно про него забыли. Подсказка от Платона — и код с поддомена был сразу же удален, о чем была уведомлена поддержка Яндекса. После апдейта все позиции PR-CY.ru на всех поддоменах вернулись на место.

Еще один пример пессимизации ресурса получила студия Вебсайтик.рф. Они провели эксперимент, чтобы проверить, как работает фильтр Яндекса на примере профилей ВКонтакте.

На сайте установили скрипт определения профилей ВКонтакте. Начало эксперимента обозначено на рисунке точкой №1. Результаты не заставили себя ждать, и в первый же апдейт средние позиции сайта упали на 30 пунктов, причем в первую очередь это затронуло высокочастотные запросы — точка №2.

Позиции низкочастотных запросов остались практически без изменений.

Скрипт определения пришлось сразу же убрать, так как это был рабочий сайт.

Эксперимент показал: новый фильтр Яндекса достаточно быстро пессимизирует сайты, использующие кликджекинг. Скорее всего, задачей Яндекса было нанести удар по сервисам идентификации профилей в соцсетях, как это было сделано с инструментами, накручивающими поведенческие факторы.

Если основным источником посетителей сайта являются поисковые системы, лучше отказаться от всех подобных сервисов и кликджекинга.


Мнение/рекомендации


Пожалуй, самое главное — внедрять чужой код на страницы своего сайта необходимо предельно осторожно. А лучше не делать этого вообще или только в случаях крайней необходимости.

Если основной источник посетителей вашего сайта — поисковые системы, то рекомендуем отказаться от всех подобных сервисов и кликджегинга вообще, например, от использования сервиса InTarget.


Рекомендации от Яндекса:


1. Относиться внимательно к выбору сервиса, код которого планируется размесить на сайте.

Особые подозрения должны вызывать:

— идентификация пользователя в социальных сетях;

— предоставление информации, которую пользователь не указывает самостоятельно на вашем сайте;

— звонки пользователю без явного запроса номера телефона и т.п.

2. Сервисы, заявляющие о том, что они не используют кликджекинг, на самом деле могут широко его применять. Для проверки можно использовать инструменты для разработчиков в браузерах:

3. Если ваш сайт не интегрирован с соцсетями, можно использовать механизм Content Security Policy (CSP), ограничивающий использование сайтом внешних ресурсов.


Сервисы, использующие механизм Кликджекинг:


Сервисов, предлагающих определение профилей ВКонтакте и других социальных сетях, стало достаточно много. Примеры таких сервисов указаны ниже:

socbox.ru

soceffect.ru

lptracker.ru

socfishing.ru

leadvizit.ru

userclick.su

soc-spy.ru

soctraffic.ru

soctracker.ru

soctracker.com

vk-tracker.ru

sochunt.ru

Удачи в продвижении и не попадайте под действие кликджекинга!




Комментарии (12)

Ксения 04.02.2016
Как вы думаете использует ли Admeo кликджекинг в своем "вау решении"? Перезвонить человеку, даже если он не оставлял свой телефон.

Прожектор Rookee 04.02.2016
Ксения 04.02.2016
Как вы думаете использует ли Admeo кликджекинг в своем "вау решении"? Перезвонить человеку, даже если он не оставлял свой телефон.
Ксения,  вполне возможно. Чтобы разобраться, необходим анализ. Как вариант, можно написать в поддержку Яндекса и уточнить информацию насчет данного сервиса.

Олег 05.02.2016
видимо pr-cy заплатил денег, чтоб везде о нем хоть что-то писали, хоть по поводу кликджекинга. один кейс на весь интернет с Интаргетом, хотя это и не сервис кликджекинга

Просто Боря 05.02.2016
Ну, что делать, самый известный в SEO-кругах пострадавший :)

Прохожий 07.02.2016
будут ли подпадать под данный фильтр сайты с промокодами открывающими дополнительную страницу фоном?

Прожектор Rookee 08.02.2016
Прохожий 07.02.2016
будут ли подпадать под данный фильтр сайты с промокодами открывающими дополнительную страницу фоном?
Прохожий, однозначно ответить сложно. Отчасти это будет зависить от того, с какой целью открывается дополнительная страница.

Ирина 15.02.2016
Подскажите пожалуйста, фильтр Кликджекинг (от англ. clickjacking) накладывают за такие стандартные виджеты, на сайте? 1. как группа вконтакте, 2. комментарии вконтакте, 3. социальные кнопки от яндекса. Вы много написали, но так и непонятно, будет фильтр за виджеты предлагаемые контактом, фейсбуком и яндексом, ведь они используют ява скрипт openapi.js

Прожектор Rookee 16.02.2016
Ирина 15.02.2016
Подскажите пожалуйста, фильтр Кликджекинг (от англ. clickjacking) накладывают за такие стандартные виджеты, на сайте? 1. как группа вконтакте, 2. комментарии вконтакте, 3. социальные кнопки от яндекса. Вы много написали, но так и непонятно, будет фильтр за виджеты предлагаемые контактом, фейсбуком и яндексом, ведь они используют ява скрипт openapi.js
Ирина, за наличие стандартных виджетов на сайте Яндекс не накладывает фильтр.

Алексей 24.02.2016
Подскажите, как вывести сайт из под фильтра? Скрипт удалил, но после последнего апдейта позиции не вернулись!

Прожектор Rookee 26.02.2016
Алексей 24.02.2016
Подскажите, как вывести сайт из под фильтра? Скрипт удалил, но после последнего апдейта позиции не вернулись!
Алексей, в вашей ситуации лучше сразу написать в поддержку Яндекса - Платону. В письме описать, какая была проделана работа, пояснив, что результата нет и позиции не вернулись обратно.

Василий 07.08.2016
Всем привет. Вот и мой сайт попал под этот фильтр. До этого момента мне ничего о кликджекинге не было известно. Теперь вот читаю - изучаю и все равно не доганяю, ведь ничего такого противозаконного у меня на сайте нет! За что же тогда санкции?! Может здесь кто то подскажет? Я использую на сайте: Виджет группы вконтакте; Виджет страницы фейсбука; Виджет комментариев cackle.me; Но и еще пожалуй на что я грешу: Некоторые рекламируемые на моем сайте лендинги открываются на новой странице в ифрейме. Тоесть если автор этого лендинга использует кликджекинг, то выходит санкции применяются к моему сайту?

Андрей 30.11.2016
Могу не согласиться с автором данной статьи, так как пользуюсь сервисом vk-traker в тоже время сайт продвигается в ceo, никаких санкций от яндекса нет. Так как функция кликджекинга у них есть, но она дополнительная и если её не включать понижения не произойдет

Добавление комментария:

CAPTCHA

Статьи выпуска: