ПАРТНЕРСКИЙ МАРКЕТИНГ

Партнерский маркетинг: кто крадет ваши куки?

Примечание редактора: это гостевой пост Гари Стивенса, владельца garystevenswriting.


Если вы работаете в партнерском маркетинге, вы наверняка уже слышали про cookie stuffing – подмену куки. Чего вы, возможно, не знаете, так это того, насколько распространенной эта практика стала в последнее время, и как сильно она может влиять на ваш партнерский доход. Если вы владелец сайта, где задействован пользовательский контент, вы, возможно, уже стали жертвой этой техники, даже если пока об этом не знаете.

Даже если вы не имеете отношения к партнерскому маркетингу, а просто совершаете покупки онлайн, стоит опасаться подмены куки и знать, как от нее защититься. Ведь, в лучшем случае, атака злоумышленников может замедлить работу вашего компьютера, а в худшем – стать причиной утечки персональных данных.

Что такое Cookie Stuffing?

Для того, чтобы понять, что такое подмена куки, следует сделать шаг назад и взглянуть на непростой мир партнерского маркетинга.  Эта сфера процветает уже 20 лет, позволяя  владельцам сайтов, которые не продают товары или услуги, зарабатывать на тех, кто это делает.

Даже если вы не сталкивались с этим термином раньше, вы наверняка видели сайты, работающие по такому принципу. Например, помните все эти сайты с обзорами, на которые вы попадаете, когда выбираете в интернете новый смартфон? Большинство из них, скорее всего, являются партнерскими сайтами. В каждом обзоре содержится пара ссылок на Amazon или другой онлайн-магазин, который заплатит владельцу сайта с обзорами за каждый переход по ссылке и каждую покупку, совершенную в результате перехода.

Для отслеживания пользователей и понимания, кому перечислять партнерские выплаты, большинство сайтов использует куки (cookie). Это маленькие файлы, которые хранятся на вашем компьютере в то время, когда вы посещаете сайт, и, в данном случае, помогают понять, откуда вы пришли на сайт.

Если у вас есть партнерский сайт, вероятно, вы это уже знаете. Однако многие не знают о том, что некоторые элементы ваших страниц могут  передавать куки пользователям, и что это может быть использовано для партнерских выплат конкурентам или (в исключительных случаях) для прописывания «нужных» куки в браузере пользователя.

Это и называется cookie stuffing, подменой куки: внедрение неправомерных куки в веб-страницы без согласия их владельцев.

Это законно?

Зависит от того, что считать законным. В некотором роде, всплывающая реклама, которая практически повсеместно используется на партнерских сайтах, тоже является примером подмены куки. Несмотря на то, что использование всплывающей рекламы для доставки партнерских куки разрешено в большинстве партнерских сетей, тот факт, что эта реклама не является частью оригинальной веб-страницы, указывает на подмену, хоть и (как правило) с согласия владельцев сайта.

Подмена куки кому-то принесла миллионы долларов, а для кого-то стала причиной внушительного тюремного срока. Большинство крупных онлайн-ритейлеров работают с собственными партнерскими программами, пример самых крупных – eBay и Amazon. Поэтому незаконное получение комиссий с этих сайтов – основная цель мошенников.

Широкое освещение получила история Шона Хогана, основателя и генерального директора провайдера программного обеспечения Digital Point Solutions. В 2006 году журнал Wired объявил Шона героем за то, как он защищался от нападок Американской ассоциации кинокомпаний, утверждающей, что он незаконно скачал фильм через сеть BitTorrent.

Однако в 2008 году его пьедестал пошатнулся: eBay подал на Хогана и еще двух партнеров в суд, обвиняя в незаконном заработке $28 млн. при помощи подмены куки. В 2010 году Хогану было предъявлено обвинение в цифровом мошенничестве и нанесении убытка, а в 2014 его приговорили к пяти месяцам в Федеральной тюрьме, штрафу в размере $25 000 и трем годам испытательного срока.

Как это работает?

Схема Хогана была довольно изобретательной. Он разработал два виджета, содержащих полезную для пользователей информацию. Однако при взаимодействии с виджетом браузер пользователя «заражался» куки-файлами, показывающими, что пользователь перешел на сайт eBay. Когда же эти пользователи со временем действительно заходили на eBay, система показывала, что они пришли от Хогана, и он получал за них деньги.

Действия Хогана были незаконными, но важнее здесь то, что он нарушил соглашение о партнерском взаимодействии, заключенное с eBay. Теоретически, в самой отправке пользователям куки нет ничего плохого, если только они не содержат вредоносный код.

Проблема для владельцев сайтов, а по большому счету, и для потребителей, заключается в том, что многие составляющие веб-страницы могут быть использованы для передачи таких куки. Среди самых распространенных – фреймы, картинки, скрипты Java, флеш и даже CSS.

Обычно внедрение куки в эти элементы происходит двумя путями. Проще всего сделать это на сайтах, работающих с пользовательским контентом, где посетители могут публиковать элементы, доставляющие куки другим пользователям. Менее распространен, однако более опасен второй способ, при котором мошенники получают доступ к управлению сайтом и прячут «нелегальные» куки в коде сайта.

Подмена куки может иметь серьезные последствия как для владельцев сайтов, так и для пользователей. Обычно злоумышленники пытаются передать десятки, а возможно, и сотни вредоносных куки одновременно, чтобы получить как можно больше возможностей для заработка.

Для владельцев сайтов такие файлы могут стать источником двух проблем. Одна – то, что деньги за ваших рефералов получит кто-то другой. Вторая – то, что вредоносные куки могут «перебить» ваши собственные и повлиять на ваш партнерский доход. Для пользователей последствия также могут быть неприятными: начиная с поломки компьютера и заканчивая кражей личной информации.

Как это предотвратить?

К сожалению, нет волшебного рецепта для защиты от подмены куки, которая становится все более распространенной в последнее время. Выбор технологий для защиты от этого вида мошенничества зависит от того, кто вы – интернет-пользователь или владелец партнерского сайта.

Обычному пользователю довольно трудно избежать вредоносных куки, однако осведомленность о проблеме сослужит хорошую службу. Лучшее, что можно сделать, чтобы обезопасить себя, это практиковать безопасный интернет-серфинг. На самом деле, большинство стандартных мер безопасности в интернете защищают и от подмены куки. Наиболее важные меры предосторожности – это использование защищенного браузера и регулярная очистка кэша.

Если вы работаете в сфере партнерского маркетинга, вам следует устранить два типа уязвимостей. Первый и самый важный: ваш сайт должен быть защищен от взлома. Это означает использование базовых средств безопасности, таких как https / SSL, анонимные VPN и мощный менеджер паролей. Если кто-то получит доступ к управлению сайтом, он сможет «набить» его вредоносными куки – и, честно говоря, если кому-то удастся получить такой доступ, чужие куки станут вашей наименьшей проблемой.

Как правило, мошенники пытаются использовать для подмены куки интерактивные элементы вашего сайта, в основном, форумы. Кажется, что защититься от этого достаточно сложно, учитывая, как много элементов можно использовать для вредоносных целей. Однако если учитывать, что большинство вредоносных куки внедряются через переменную <img>, эффективной мерой защиты будет разрешить пользователям писать только простой текст.

Для более надежной защиты или в случае, если вы уже знаете, что подвергаетесь атакам мошенников, вам потребуется внедрить программные инструменты, которые проверят целостность вашего сайта и подробно покажут, как именно пользователи взаимодействуют с вашим веб-сайтом.

Выводы

К сожалению, мошенничество с куки-файлами не сдает позиций и, вероятно, в ближайшие годы будет становиться только популярнее. В некотором роде, эта проблема создана самой природой партнерского маркетинга: достаточно сложно предусмотреть способ выплачивать партнерам отчисления, не создавая при этом брешей в безопасности. Как заметил Марк Коэн в The New York Times несколько лет назад, «У партнерского маркетинга есть темная сторона: он может стать лазейкой для мошенников».

Однако это вовсе не обязательно. Пользователи могут обезопасить себя от влияния куки-мошенников при помощи регулярной очистки кэша. Владельцы партнерских сайтов, в свою очередь, должны быстро вычислять аккаунты и пользователей, которые пытаются внедрить куки на их сайтах, и своевременно удалять их. В конечном итоге, предотвращение подмены куки требует использования мер защиты, которые и так должен предпринимать ответственный владелец сайта: частая проверка контента и соблюдение всех процедур, необходимых для обеспечения безопасности.

Гэри Стивенс – фронтенд-разработчик. Он работает в сфере блокчейна и является волонтером проекта Github.

Guest Post

Are you interested in writing a guest post for the Payoneer Blog? Get in touch!