Кликджекинг

Кликджекинг — это мошенническая техника, которая может использоваться, например, для сбора персональных данных посетителей сайта без их ведома.

Посетитель, зашедший на сайт с кликджекингом, может незаметно для себя оформить подписку в социальной сети или «лайкнуть» какую-либо запись. После этих действий сайт автоматически определяет учетную запись посетителя, а его владелец может использовать личные данные по своему усмотрению. Например, номер телефона — для навязчивых звонков с предложениями купить тот или иной товар. Чаще всего подобный механизм используется в сервисах по «улучшению продаж».

Если на вашем сайте обнаружен кликджекинг, рекомендуем полностью отказаться от его использования. При этом не обязательно отказываться от сервиса, предоставляющего подобную услугу. Достаточно отключить ее. Однако стоит помнить, что кликджекинг — мошенническая техника, и вам решать, стоит ли доверять сервисам, которые могут использовать подобные механизмы.

Примечание. Сайт, на котором обнаружен кликджекинг, показывается в поисковой выдаче с предупреждением. Также предупреждение отображается при переходе на сайт в Яндекс Браузере. Рекомендуем обратить внимание на записи в блоге Яндекс Вебмастера: Как кликджекинг влияет на ранжирование и Черный кликджекинг с полным его разоблачением.

Как найти кликджекинг на сайте

Типичной реализацией кликджекинга является создание на сайте скрытых элементов, которые взаимодействуют с социальной сетью. Как правило, элементы располагаются поверх кнопок, форм, видеороликов и т. п. Также они могут перемещаться вслед за курсором мыши по странице. Такие элементы не видны посетителю, но их можно обнаружить в HTML-коде страниц.

Чтобы найти кликджекинг на сайте, необходимо выявить фрагменты кода, отвечающие за скрытые элементы. Для поиска вам требуется авторизоваться в социальной сети и использовать консоль (веб-консоль) браузера.

Рекомендуем воспользоваться такими браузерами, как Mozilla Firefox, Яндекс Браузер, Google Chrome, Opera. Для вызова консоли браузера обычно используется сочетание клавиш Ctrl + Shift + J, а также Ctrl + Shift + K при работе в Mozilla Firefox. Для семейства операционных систем Apple используются сочетания ⌥ + ⌘ + J и ⌥ + ⌘ + K соответственно.

Внимание. Если вы решили удалить с сайта HTML-код, отвечающий за кликджекинг, перед этим создайте резервную копию сайта.

Ниже приведен пример работы в веб-консоли Mozilla Firefox с авторизацией во Вконтакте.

  1. Авторизуйтесь в социальной сети. Если вы по тем или иным причинам не можете этого сделать, то обнаружение кликджекинга по данному алгоритму возможно не во всех случаях.
  2. Выберите URL страницы вашего сайта для проверки на наличие кликджекинга.
  3. Откройте новую вкладку в браузере.
  4. Откройте консоль браузера. Затем введите в адресную строку выбранный ранее URL. Дождитесь загрузки страницы, имитируя активность посетителя: шевелите мышью, прокручивайте страницу.
  5. Выявите обращения сайта к адресам социальной сети.

    Для поиска в консоли перейдите на вкладку Сеть и найдите адреса социальной сети, которые соответствуют событиям «авторизация», «лайк». Например, во Вконтакте событию «авторизация» соответствует путь URL widget_auth.php, событию «лайк»widget_like.php.

    Если подобный адрес социальной сети не найден, то попытки кликджекинга не произошло. Возможно вы уже удалили со страницы код, реализующий кликджекинг, или вам не удается воспроизвести попытку кликджекинга по данному алгоритму.

  6. Определите код, который вызывает подгрузку скрытого элемента сайта.

    Для поиска перейдите на вкладку Инспектор. Найдите HTML-элементы, соответствующие ранее указанным адресам социальной сети.

    Далее проверьте каждый найденный элемент — отвечает ли он за скрытую или видимую часть сайта. Для проверки наведите курсор мыши на элемент — на странице сайта подсветится его область. Элемент может находиться в невидимой части экрана. Чтобы увидеть его, нажмите на элемент правой клавишей мыши. Затем в контекстном меню выберите пункт Прокрутить в вид.

    Если элемент сайта является скрытым, то, вероятнее всего, вы зафиксировали кликджекинг — перейдите к следующему шагу.

    Примечание. Если на вкладке Инспектор искомый фрагмент кода не обнаружен, но на вкладке Сеть есть обращения к социальной сети по указанным выше адресам — вы зафиксировали кликджекинг.
  7. Определите код, который вызывает взаимодействие с социальной сетью. При этом особое внимание уделите элементам script, iframe или object.

    Если элемент не найден, можно выявить его, последовательно удаляя фрагменты кода, которые вызывают сомнения. После удаления повторите шаги с 3 по 8.

Когда необходимые изменения внесены на сайт, вы можете воспользоваться кнопкой Я все исправил в Вебмастере на странице Безопасность и нарушения, чтобы дополнительно сообщить роботу о предпринятых вами действиях.

Примечание.

Повторно нажать кнопку Я все исправил для одного сайта можно через месяц. Далее, во избежание злоупотребления кнопкой, этот период будет увеличиваться и может составить три месяца. Поэтому рекомендуем воспользоваться кнопкой только тогда, когда вы уверены, что нарушений на сайте больше нет.

Если в Вебмастере права на сайт подтверждены у нескольких пользователей, договоритесь, кто и когда отправит сайт на перепроверку. После нажатия кнопки ни один из пользователей не сможет нажать ее повторно в течение месяца.

Часто задаваемые вопросы

Я все удалил. Когда ограничения будут сняты?

Обычно ограничения снимаются в течение двух недель после устранения нарушения. При повторном обнаружении кликджекинга на сайте срок действия ограничений может быть увеличен.

Я уверен, что у меня на сайте нет никакого кликджекинга, что мне делать?

Рекомендуем проверить наличие кликджекинга с помощью инструкции, размещенной выше. После проверки, нажмите кнопку Я все исправил на странице Безопасность и нарушения. Если на сайте действительно не используется данная технология, то ограничения будут сняты.

Я все сделал, но ограничения не снимаются

Проверьте, что на сайте действительно не осталось программного кода, с помощью которого осуществляется кликджекинг. Возможно, на вашем сайте использовалось несколько сервисов, которые могут предоставлять услугу кликдженинга.

Убедитесь, что после нажатия кнопки прошло достаточно времени (более двух недель). Если это не так, возможно, наши алгоритмы еще не успели отследить изменения на сайте.