Все об интернет-маркетинге
из первых рук
подписаться
на рассылку
нас уже
112 133

Новый фильтр Яндекса - Кликджекинг





Яндекс преподнес новогодний подарок, запустив в конце декабря 2015 года новый фильтр для борьбы с кликджекингом. Одним из первых пострадавших оказался сайт PR-CY, попавший под новые санкции за использование сервиса InTarget.


Так что же такое клиджекинг?


Кликджекинг (от англ. clickjacking) — механизм обмана посетителей сайта, связанный с размещением на ресурсе невидимых элементов (поверх кнопок, видеороликов, форм и т.д.), при взаимодействии с которыми пользователь даже не подозревает о них.

Благодаря таким элементам злоумышленники могут получить доступ к конфиденциальной информации пользователя, заманив его на внешне безобидную страницу или внедрив вредоносный код на безопасную страницу.


Как фильтр может навредить вашему сайту?


Яндекс в своем блоге для вебмастеров опубликовал пост о том, как кликджекинг влияет на ранжирование сайтов. Поисковик отметил, что сайты, использующие подобный механизм, будут понижаться в выдаче Яндекса.

Сайты будут пессимизированы за наличие нежелательного кода как на основном домене, так и на всех поддоменах, причем изначально в официальном анонсе об этом сказано не было.

Но 29 января этого года в блоге Яндекса после многочисленных вопросов от пользователей появилась статья, посвященная работе нового алгоритма. По заявлению поисковика, решение о наложении фильтра принимается только на основе анализа данных о сайте, полученных в ограниченном промежутке времени. То есть события, например, месячной давности повлиять на это не могут.

Фильтр накладывается только по факту использования кликджекинга на ресурсе. Наличие неактивного кода не ведет к появлению санкций. В случае использования стороннего сервиса с такой технологией используемый сайт может быть подвержен санкциям.

Вот что Яндекс ответил на вопрос о времени возврата позиций одному из пользователей форума http://searchengines.guru:

«Мы не можем сказать, как именно алгоритм отнесется к обновленному контенту на Вашем сайте. Рекомендуем дождаться, пока страницы, на которые внесены изменения, будут переиндексированы нашим роботом. В среднем это происходит в течение двух недель.»

«Мы стараемся уведомлять вебмастеров, когда это возможно. К сожалению, для данного типа событий уведомления не реализованы, возможно, они появятся в будущем.»


Принцип работы фильтра


Основная опасность заключается в том, что поверх видимой страницы располагается невидимый для пользователей слой. В него подгружается нужная злоумышленникам страница. Любое действие пользователя, например, клик на странице, совмещается с видимой ссылкой или кнопкой. Т.е. ни о чем не подозревающий пользователь совершает действия, которые от него ожидались.

Возможны различные варианты применения технологии — от подписки на ресурс в социальной сети до кражи конфиденциальной информации и совершения покупок в интернет-магазинах за чужой счет. Зачастую таким образом мошенники пытаются накручивать лайки и подписи в социальных сетях.

Ниже приведено типичное сообщение, которое можно увидеть в сети Facebook, если одно из ваших соединений было перехвачено с помощью кликджекинга:

Пройдя по ссылке, расшаренной вашим другом, вы попадете на сайт с видео YouTube. Однако вы не увидите кнопок «Like», которые выделены на приведенном ниже скриншоте, т.к. они находятся в невидимом прозрачном iframe:

Как видно на скриншоте, кнопки «Like» расположены именно там, куда пользователь обычно нажимает, чтобы просмотреть видео: в середине окна и в левом нижнем углу. Жертва не увидит эти кнопки, потому что они находятся в невидимом прозрачном iframe. И запустив это видео, пользователь нажмет кнопку «Like», увеличивая популярность сайта на Facebook.

Еще один пример кликджекинга на сайте http://www.ng.ru :

Случайный клик в любом месте по тексту открывает новое окно с рекламой Озона или World of Tanks.


Как PR-CY вышли из-под фильтра


Попав под фильтр в новогодние праздники, ресурс просел практическим по всем запросам на 20—30 позиций. Для выяснения ситуации было решено написать Платону. В ответе от поддержки Яндекса была подсказка, в каком направлении необходимо действовать:

После прочтения статьи о повышении конверсии и о том, как узнать лично каждого клиента интернет-магазина, PR-CY решили протестировать сервис InTarget, разместив код на своем поддомене audit.pr-cy.ru. После чего благополучно про него забыли. Подсказка от Платона — и код с поддомена был сразу же удален, о чем была уведомлена поддержка Яндекса. После апдейта все позиции PR-CY.ru на всех поддоменах вернулись на место.

Еще один пример пессимизации ресурса получила студия Вебсайтик.рф. Они провели эксперимент, чтобы проверить, как работает фильтр Яндекса на примере профилей ВКонтакте.

На сайте установили скрипт определения профилей ВКонтакте. Начало эксперимента обозначено на рисунке точкой №1. Результаты не заставили себя ждать, и в первый же апдейт средние позиции сайта упали на 30 пунктов, причем в первую очередь это затронуло высокочастотные запросы — точка №2.

Позиции низкочастотных запросов остались практически без изменений.

Скрипт определения пришлось сразу же убрать, так как это был рабочий сайт.

Эксперимент показал: новый фильтр Яндекса достаточно быстро пессимизирует сайты, использующие кликджекинг. Скорее всего, задачей Яндекса было нанести удар по сервисам идентификации профилей в соцсетях, как это было сделано с инструментами, накручивающими поведенческие факторы.

Если основным источником посетителей сайта являются поисковые системы, лучше отказаться от всех подобных сервисов и кликджекинга.


Мнение/рекомендации


Пожалуй, самое главное — внедрять чужой код на страницы своего сайта необходимо предельно осторожно. А лучше не делать этого вообще или только в случаях крайней необходимости.

Если основной источник посетителей вашего сайта — поисковые системы, то рекомендуем отказаться от всех подобных сервисов и кликджегинга вообще, например, от использования сервиса InTarget.


Рекомендации от Яндекса:


1. Относиться внимательно к выбору сервиса, код которого планируется размесить на сайте.

Особые подозрения должны вызывать:

— идентификация пользователя в социальных сетях;

— предоставление информации, которую пользователь не указывает самостоятельно на вашем сайте;

— звонки пользователю без явного запроса номера телефона и т.п.

2. Сервисы, заявляющие о том, что они не используют кликджекинг, на самом деле могут широко его применять. Для проверки можно использовать инструменты для разработчиков в браузерах:

3. Если ваш сайт не интегрирован с соцсетями, можно использовать механизм Content Security Policy (CSP), ограничивающий использование сайтом внешних ресурсов.


Сервисы, использующие механизм Кликджекинг:


Сервисов, предлагающих определение профилей ВКонтакте и других социальных сетях, стало достаточно много. Примеры таких сервисов указаны ниже:

socbox.ru

soceffect.ru

lptracker.ru

socfishing.ru

leadvizit.ru

userclick.su

soc-spy.ru

soctraffic.ru

soctracker.ru

soctracker.com

vk-tracker.ru

sochunt.ru

Удачи в продвижении и не попадайте под действие кликджекинга!