Кликджекин - уберегите свой сайт от бана Яндекса

Тип статьи:
  • Перепечатка

Так такое клиджекинг?

Кликджекинг (от англ. clickjacking) — механизм обмана посетителей сайта, связанный с размещением на ресурсе невидимых элементов (поверх кнопок, видеороликов, форм и т.д.), при взаимодействии с которыми пользователь даже не подозревает о них.

Благодаря таким элементам злоумышленники могут получить доступ к конфиденциальной информации пользователя, заманив его на внешне безобидную страницу или внедрив вредоносный код на безопасную страницу.

Как кликджекинг влияет на ранжирование?

В последнее время увеличилось количество сайтов, использующих технологию кликджекинга — механизм обмана, связанный с размещением на сайте невидимых элементов, взаимодействие с которыми пользователь осуществляет, не подозревая этого.

Типичным примером кликджекинга является создание на сайте невидимых элементов поверх кнопок, форм, видеороликов и т.п. Также может использоваться перемещение этих невидимых элементов вслед за курсором по странице. Любой клик по странице, например, для воспроизведения привлекательного видео, приводит к незаметному для пользователя выполнению какого-либо действия на внешнем сайте. То есть пользователь, сам того не зная, выполняет действие, которое нужно злоумышленнику.

Обманывая пользователей с помощью кликджекинга, мошенники часто пытаются накручивать лайки и подписки в социальных сетях. Хуже того, подобный механизм, если его работа не блокирована средствами браузера или веб-сайта, применяется и для получения из социальных сетей конфиденциальных персональных данных с последующим их использованием во вред пользователю.

Например, пользователь незаметно для себя может добавить в избранное группу злоумышленника в соцсети. После этого злоумышленник автоматически определит учётную запись пользователя и сможет использовать данные из нее (например, телефон) в своих целях. Так появляется навязчивая реклама, когда вам неожиданно звонит менеджер сайта, на котором вы не оставляли свои контактные данные.

Мы убеждены, что подобные методы обмана пользователей не соответствуют их интересам, поэтому сайты, использующие кликджекинг, могут ранжироваться ниже.

Черный кликджекинг с полным его разоблачением

В декабре 2015 года Яндекс внедрил алгоритм, понижающий в результатах поиска сайты, которые используют технологию кликджекинг. Мы получили много вопросов о том, как работает этот алгоритм, и сегодня хотим подробнее о нем рассказать:

1. Алгоритм принимает решение на основе анализа данных о сайте, которые он получает в течение ограниченного промежутка времени. Таким образом, срабатывание алгоритма не может быть связано с действиями на сайте, которые производились 2 недели или, тем более, месяц назад — решение принимается только по актуальным данным.

2. Выявление кликджекинга происходит исключительно по факту его реального использования на сайте, а не по наличию соответствующего неактивного кода. Если сайт использует сторонний сервис с этой технологией, то ограничений стоит опасаться только после активации кода кликджекинга.

На графике ниже можно увидеть, что после анонса ограничений на многих сайтах код кликджекинга был отключен, но затем, увы, вебмастера начали пробовать включать его обратно.

3. Многие веб-сайты не сами реализуют технологию кликджекинга, а получают ее в составе сторонних сервисов, например по «улучшению продаж». Зачастую вебмастер даже не подозревает, что его сайт использует кликджекинг. Обратите внимание: понижены в результатах поиска будут именно сайты, которые применили кликджекинг, а не сайты сервисов, которые предоставили им данную обманную технику.

4. Всего за время работы алгоритма было обнаружено более 15 тысяч сайтов, использовавших кликджекинг, и около 50 сервисов, которые предоставляли такие возможности сайтам клиентов.

Что нужно учитывать, чтобы не попасть в неприятную ситуацию:

Внимательно относитесь к выбору сервиса, код которого вы планируете разместить на сайте. Особые подозрения должны вызывать:

— идентификация пользователя в социальных сетях;
— предоставление информации, которую пользователь не указывает самостоятельно на вашем сайте;
— звонки пользователю без явного запроса номера телефона и т.п.

Практика показывает, что сервисы, утверждающие, будто они не применяют кликджекинг, на самом деле могут широко использовать его на сайтах своих клиентов. Ниже приведена доля сайтов-клиентов одного из таких сервисов, на которых алгоритмами Яндекса был обнаружен работающий кликджекинг.

2. Если сервис вызывает подозрения, можно воспользоваться инструментами для разработчиков в современных браузерах, чтобы проверить, делает ли сервис обращение к социальным сетям при работе с сайтом.

3. Если ваш сайт не интегрирован с соцсетями, можно использовать механизм Content Security Policy (CSP), ограничивающий использование сайтом внешних ресурсов.

Сервисы, использующие механизм Кликджекинг:

Сервисов, предлагающих определение профилей ВКонтакте и других социальных сетях, стало достаточно много. Примеры таких сервисов указаны ниже:

  • socbox.ru
  • soceffect.ru
  • lptracker.ru
  • socfishing.ru
  • leadvizit.ru
  • userclick.su
  • soc-spy.ru
  • soctraffic.ru
  • soctracker.ru
  • soctracker.com
  • vk-tracker.ru
  • sochunt.ru


Рекомендации от Яндекса:

1. Относиться внимательно к выбору сервиса, код которого планируется размесить на сайте.

Особые подозрения должны вызывать:

— идентификация пользователя в социальных сетях;

— предоставление информации, которую пользователь не указывает самостоятельно на вашем сайте;

— звонки пользователю без явного запроса номера телефона и т.п.

telegram-icon
Подписывайтесь на Телеграм SmartMoney.Today!
@smtoday
5287
RSS
Гость
16:02
Не так давно наткнулся на статью, в которой один из выше указанных сервисов описал политику яндекса по отношению к кликджекингу http://blog.lptracker.ru/lptracker-глазами-яндекса
На самом деле стоит задуматься об этом и почему у Яндекса именно такое отношение к получению профилей соц сетей, ведь ни Google, ни один другой поисковик не относится к этому также.
Еще хочу заметить что Lptracker больше не использует кликжекинг и никаких скрытых элементов, при взаимодействии с которыми получает информацию о профиле в соц сети клиента.
Тинькофф Бизнес [CPS] RU
Интересное из блогов