Кликджекинг: как 15000 сайтов потеряли клиентов

В этой статье мы поговорим про кликджекинг и как сервисы по «увеличению продаж» могут их грандиозно понизить.

Определение

Кликджекинг (clickjacking) — механизм, позволяющий получить конфиденциальную информацию о пользователе внедрив вредоносный код на сайт. Идея заключается в том, что поверх интерактивного элемента (часто это кнопка) накладывается невидимая (прозрачная) ссылка / кнопка с другим функционалом (переход на сайт злоумышленника, предоставление данных из социальной сети и т.п.).

Приведу пример. Если бы на сайте автора использовалась подобная технология (разумеется, автор не использует кликджекинг), то выглядело бы это приблизительно так:

 

Только синяя область была бы полностью прозрачной.

Кликая на кнопку «отправить» вы бы на самом деле кликнули бы на другой элемент (синюю область) и, например, отдали бы автору всю информацию о своем профиле «ВКонтакте», а в последствии бы получали спам в духе: «вы были на нашем сайте, но ничего не купили... я хотел бы вас проконсультировать...», а также получали бы раздражающие звонки на телефон. Думаю, что активным пользователям интернета эта ситуация уже знакома.

Отношение поисковых систем к кликджекингу

Как только сервисы использующие кликджекинг стали набирать популярность, в мире маркетинга развязались серьезные споры. Одни ребята боролись за справедливость и отстаивали точку зрения, что кликджекинг — зло (к ним относится и автор), а другие считали так: «все, что не делается — все к лучшему».

Но какие-бы разборки не устраивали маркетологи — страдают пользователи. И рано или поздно кто-то должен был встать на их защиту. За пару дней до публикации статьи от Яндекса с гордым названием: «черный кликджекинг с полным его разоблачением», автор уже начал было думать, что Яндекс останется равнодушным к этом вопросу, но не тут то было.

В декабре 2015 года Яндекс ввел санкции (фильтр) всем сайтам, которые используют кликджекинг. Фильтр накладывается на весь сайт и сильно обрушивает позиции. В статье от Яндекса написано про понижение позиций в абстрактной форме, без цифр. На деле это выглядит вот так:

При санкциях за кликджекинг мы можем наблюдать резкий спад органического трафика из Яндекса, но при этом нейтральное отношение от Google:

Правила игры, статистика и рекомендации от Яндекса

Под санкции попадают только те сайты, которые:

1. Прямо в данный момент используют кликджекинг.
2. Реально используют технологию кликджекинга, то есть имеют рабочий код.

Чаще всего санкции за кликджекинг приходят вместе с очередным сервисом по «увеличению продаж», поэтому будьте максимально внимательны.

Яндекс:

Многие веб-сайты не сами реализуют технологию кликджекинга, а получают ее в составе сторонних сервисов, например по «улучшению продаж». Зачастую вебмастер даже не подозревает, что его сайт использует кликджекинг. Обратите внимание: понижены в результатах поиска будут именно сайты, которые применили кликджекинг, а не сайты сервисов, которые предоставили им данную обманную технику.

Яндекс рекомендует не внедрять сервисы, которые:

1. Идентифицируют пользователя в социальных сетях.
2. Помогают получить данные пользователя, которые он не указывает самостоятельно.
3. Позволяет сделать звонок пользователю, который не предоставил свой номер телефона.

Под санкции уже попали 15000 сайтов.

Что делать, если вы попали под санкции

Если в beta версии вебмастера вы увидели нарушение за кликджекинг, то вам необходимо:

1. Выявить причину санкций (понять, за какой именно сервис/код сайта вы получили санкции).
2. Отказаться от использования сервиса и удалить код с сайта.
3. В вебмастере нажать на кнопку, что вы все исправили.

Обычно, в течении 1-2 недель вы постепенно восстановите свои позиции в Яндексе.

Краткие выводы

1. Внедряя очередной сервис будьте предельно внимательны. Важно, чтобы сервис не получал информацию о пользователе, которую он не передавал с помощью сайта.
2. Попав под санкции — постарайтесь максимально быстро выявить причину и удалить код, после чего обратиться в Яндекс для снятия санкций.