Кликджекинг, или Как Яндекс Защищает Конфиденциальную Информацию Владельцев Веб-ресурсов

 

 

 

 

 

Учитывая тот факт, что Яндекс является одной из ведущих поисковых систем Рунета, думаю, многим будет не лишним познакомиться с теми фильтрами, которые поисковик разработал для борьбы с мошенническими схемами, используемыми некоторыми, как для продвижения в ТОП поисковой выдачи, так и для других целей.

С этой целью и была создана серия обзоров наиболее значимых алгоритмов, которые Яндекс использует в настоящее время. В обозначенную серию вошли следующие обзоры:

 

ПЕРЕЧЕНЬ ОБЗОРОВ АЛГОРИТМОВ ЯНДЕКС

 

 

Алгоритм Яндекс "АГС" - ярый противник продажи ссылок
Алгоритм Яндекс "Минусинск" строго наказывает за покупку ссылок
Алгоритм Яндекс "Владивосток" принуждает к адаптации сайтов для показа на мобильных устройствах
Кликджекинг, или Как Яндекс защищает конфиденциальную информацию владельцев веб-ресурсов от воровства

 

 

С декабря 2015 г поисковая система Яндекс начала использовать алгоритм, понижающий позиции ресурсов в выдаче за использованием веб-мастерами кликджекинга. Это относится к тем случаям, когда собственник ресурса не подозревает, что работает с использованием «незаконной» технологии, в то время как его ресурс попадает под фильтры поисковой системы.

 

Яндекс-алгоритм для борьбы с кликджекингом

 

 

Что такое кликджекинг

 

Кликджекинг (Clickjacking) — механизм обмана пользователей интернета, при котором злоумышленник может получить доступ к конфиденциальной информации или даже получить доступ к компьютеру пользователя, заманив его на внешне безобидную страницу или внедрив вредоносный код на безопасную страницу.

Принцип основан на том, что поверх видимой страницы располагается невидимый слой, в который и загружается нужная злоумышленнику страница, при этом элемент управления (кнопка, ссылка), необходимый для осуществления требуемого действия, совмещается с видимой ссылкой или кнопкой, нажатие на которую ожидается от пользователя.

Возможны различные применения технологии — от подписки на ресурс в социальной сети до кражи конфиденциальной информации и совершения покупок в интернет-магазинах за чужой счёт.

Термин «кликджекинг» впервые использовали специалисты по информационной безопасности Роберт Хансен и Еремия Гроссман. Они обнаружили уязвимость в продуктах Adobe и в браузерах компаний Microsoft и Mozilla, которая позволяла получить доступ к компьютеру жертвы атаки.

Используя данную технологию, мошеннические сервисы (Яндекс уже идентифицировал около 50-ти подобных сервисов) способны идентифицировать каждого посетителя сайта, получая данные их аккаунтов соцсетей (возраст, адреса, телефон).

В результате таких действий мошенники не только получают информацию обо всех посетителях ваших сайтов, но и возможность взаимодействовать с аудиторией и потенциальными клиентами – звонить, писать на e-mail и сообщения в соцсетях. С недавнего времени ситуация изменилась, теперь эти, с позволения сказать «сервисы», имеют все возможности автоматически попасть под фильтры Яндекс.

 

Как это работает практически

 

 

Вы заходите на привлекший ваше внимание сайт, просматриваете его страницы. Вдруг вам звонит менеджер и начинает предлагать что-нибудь купить или совершить какое-то действие, хотя номера телефона вы не сообщали. Будьте осторожны - на этом сайте воруют личные данные. И от этого вам никак не защититься.

Когда вы кликаете указателем мышки (неважно, по ссылке или по пустому месту), скрипт подкладывает вам невидимый элемент из социальной сети (например, кнопку вступления в группу или кнопку скачивания вредоносного приложения). Кликнув по такому невидимому элементу, вы, сами того не подозревая, даете кому-то разрешение на просмотр личных данных.

 

Ниже предлагаю ознакомиться с фрагментом новости от 30.12.2015 года из блога бета-версии Яндекс.Вебмастер:

Как кликджекинг влияет на ранжирование

В последнее время увеличилось количество сайтов, использующих технологию кликджекинга - механизм обмана, связанный с размещением на сайте невидимых элементов, взаимодействие с которыми пользователь осуществляет, не подозревая этого. 

Типичным примером кликджекинга является создание на сайте невидимых элементов поверх кнопок, форм, видеороликов и т.п. Также может использоваться перемещение этих невидимых элементов вслед за курсором по странице. Любой клик по странице, например, для воспроизведения привлекательного видео, приводит к незаметному для пользователя выполнению какого-либо действия на внешнем сайте. То есть пользователь, сам того не зная, выполняет действие, которое нужно злоумышленнику.

Обманывая пользователей с помощью кликджекинга, мошенники часто пытаются накручивать лайки и подписки в социальных сетях. Хуже того, подобный механизм, если его работа не блокирована средствами браузера или веб-сайта, применяется и для получения из социальных сетей конфиденциальных персональных данных с последующим их использованием во вред пользователю.

Например, пользователь незаметно для себя может добавить в избранное группу злоумышленника в соцсети. После этого злоумышленник автоматически определит учётную запись пользователя и сможет использовать данные из нее (например, телефон) в своих целях. Так появляется навязчивая реклама, когда вам неожиданно звонит менеджер сайта, на котором вы не оставляли свои контактные данные.

Мы убеждены, что подобные методы обмана пользователей не соответствуют их интересам, поэтому сайты, использующие кликджекинг, могут ранжироваться ниже.

 

 

А вскоре, 29.01.2016 года, последовала новость о введении нового алгоритма:

 

Черный кликджекинг с полным его разоблачением

В декабре 2015 года Яндекс внедрил алгоритм, понижающий в результатах поиска сайты, которые используют технологию кликджекинг. Мы получили много вопросов о том, как работает этот алгоритм, и сегодня хотим подробнее о нем рассказать:

1.    Алгоритм принимает решение на основе анализа данных о сайте, которые он получает в течение ограниченного промежутка времени. Таким образом, срабатывание алгоритма не может быть связано с действиями на сайте, которые производились 2 недели или, тем более, месяц назад - решение принимается только по актуальным данным.
2.    Выявление кликджекинга происходит исключительно по факту его реального использования на сайте, а не по наличию соответствующего неактивного кода. Если сайт использует сторонний сервис с этой технологией, то ограничений стоит опасаться только после активации кода кликджекинга.
3.    Многие веб-сайты не сами реализуют технологию кликджекинга, а получают ее в составе сторонних сервисов, например по "улучшению продаж". Зачастую вебмастер даже не подозревает, что его сайт использует кликджекинг. Обратите внимание: понижены в результатах поиска будут именно сайты, которые применили кликджекинг, а не сайты сервисов, которые предоставили им данную обманную технику. 
4.    Всего за время работы алгоритма было обнаружено более 15 тысяч сайтов, использовавших кликджекинг, и около 50 сервисов, которые предоставляли такие возможности сайтам клиентов. 

Что нужно учитывать, чтобы не попасть в неприятную ситуацию:

Внимательно относитесь к выбору сервиса, код которого вы планируете разместить на сайте. Особые подозрения должны вызывать:

  • идентификация пользователя в социальных сетях;
  • предоставление информации, которую пользователь не указывает самостоятельно на вашем сайте;
  • звонки пользователю без явного запроса номера телефона и т.п.

Практика показывает, что сервисы, утверждающие, будто они не применяют кликджекинг, на самом деле могут широко использовать его на сайтах своих клиентов. Если сервис вызывает подозрения, можно воспользоваться инструментами для разработчиков в современных браузерах, чтобы проверить, делает ли сервис обращение к социальным сетям при работе с сайтом.

В ближайшее время в сервисе Яндекс.Вебмастер в разделе "Нарушения" появятся предупреждения об использовании технологии кликджекинга на сайтах.

 

 

Резюме: лучше всего просто отказаться от использования на своем ресурсе незнакомых кодов, так как их применение может привести к нежелательным последствиям для вашего веб-ресурса.

 

 

 

Это важно!Нашли информацию полезной ?

 

Буду признателен, если вы расскажете о ней друзьям и знакомым, нажав на кнопки тех социальных сетей, где вы зарегистрированы.

 

 

 

 

Более ранние статьи и обзоры рубрики

 

Как рассчитывается PageRank (PR)

Как работает поисковая система Google

Инструменты для вебмастеров – надежные помощники при проведении SEO вебресурса

Google о дублировании контента

 

 

 

Новости сайта на ваш имейл-адресХотите первыми знакомиться с новыми материалами, опубликованными на сайте?

 

Подпишитесь на рассылку новостей, и вы всегда будете в курсе происходящего.

 

Это просто, удобно и бесплатно!

 

Подписаться на новости

 

 

 

Наверх      Предыдущая страница