Любая форма интернет-рекламы рано или поздно сталкивается с мошенничеством: хищение денег, использование скрытой графики или скрытых перенаправлений. Google из-за своего масштаба и финансовой зависимости от рекламы должен уделять особое внимание этим явлениям. Последнее из них — кликджекинг.
Что такое кликджекинг (Clickjacking)?
Тема безопасности Google кратко объясняет механизм кликджекинга. Это новый метод обмана, при котором видимое содержимое страницы является только наложением. Под ним находятся рекламные объявления. Пользователь непреднамеренно кликает на них, желая совершить другое действие.
Несколько лет назад главный вопрос, который задавали наши клиенты, был: «Как я могу быть уверен, что конкуренция не исчерпывает мой бюджет кампании и не нарушает ее конфиденциальность?». Эта озабоченность, хотя и существует, в последние годы уменьшилась. Google уже много лет использует передовые методы обнаружения недействительных или ложных кликов. Конечно, как и в случае с любыми другими мерами безопасности. Гигант из Маунтин-Вью не раскрывает подробностей, поскольку это может поставить под угрозу эффективность и безопасность системы AdWords.
Однако мы знаем, что Google фокусируется на трех независимых методах обнаружения мошенничества, сгруппированных в две методологии.
- Активные действия:
- Автоматическая фильтрация — на основе набора алгоритмов и рекомендаций фильтры ищут аномалии и подозрительные совпадения в кликах, а затем помечают их как клики, которые система игнорирует. На этом этапе больше всего кликов падает и, главное, они даже не учитываются в аккаунте, то есть отфильтровываются в отчетах по рекламному аккаунту
- Автономный анализ — на основе алгоритмов и ручного анализа выполняется поиск аномалий, в основном в сети AdSense. На этот метод приходится очень небольшая часть кликов.
- Реактивные действия:
- Расследования — случаются редко. Команда специалистов Google (чаще всего по запросу рекламодателя) вручную анализирует клики за определенный период.
Такие методы лечения затрагивают в основном рекламодателей, поскольку они увеличивают рейтинг кликов и эффективность страницы, вызывая раздражение у пользователей. Владельцы таких сайтов — обычно люди, получающие доход на рекламе AdSense. Для них важнее всего генерировать как можно больше кликов, за которые им платят.
В последнем объявлении Google объявил войну таким сайтам, закрыв учетные записи и заблокировав AdSense, а также работая над улучшением своих фильтров для автоматического обнаружения нарушений.
Кому это выгодно?
В основном это спамеры, которые хотят увеличить количество кликов по своей рекламе.
Как защитить себя?
Одно из решений — уход из фреймов, т.е. перенаправление браузера на «наш адрес». Это делается с помощью двухстрочного кода:
if ( top ! = self )
top.location.href = self.location.href
Еще пример кликджекинга — захват учетной записи Facebook или других социальных сетей. Это возможно с помощью скриптов, размещенных на специально подготовленном сайте, перехватывающих нашу деятельность, когда мы авторизуемся на размещенном во фрейме сайте, используя нашу учетную запись Facebook. Логин и пароль сохраняются в базе данных замененного сайта и могут использоваться без нашего ведома.
Существует много возможностей и типов фишинговых данных с использованием фреймов <IFRAME>. Но также существуют способы защитить себя от подобных действий. Их называют Framekillers. Однако их использование никогда не принесет стопроцентного эффекта, потому что наряду с созданием новой безопасности есть способы их обхода — «убийцы» Framekiller.
Вот несколько вариантов реализации фреймкиллера на сайте:
- мы добавляем на страницу заголовок X-Frame-Options, например, в PHP:
header (“X-Frame-Options: deny”)
- мы прикрепляем к странице короткий сценарий JavaScript:
<script type = “text / javascript”>
if (top! = Self) top.location.replace (location)
</script>
- мы добавляем следующие строки в файл .htaccess (включен mod_rewrite), где example.com — это домен, содержащий страницу во фрейме:
Order Allow, Deny
Allow from all
Deny from example.com