Как сервисы продают кликджекинг, законен ли он, и что об этом думает Яндекс

Бывало ли у вас такое, что после посещения сайта какой-то компании, вам звонил её менеджер и предлагал помочь с выбором? При этом вы не заполняли никаких форм обратной связи, не подписывались на рассылки и вообще нигде на этом ресурсе не оставляли персональных данных. Но менеджер всё равно как-то получил ваш номер. Да ещё и узнал, что именно вы искали на сайте этой компании. Чудеса? Нет, это кликджекинг.

В статье «Что такое поисковые фильтры Яндекса, и как под них не попасть» мы уже объясняли, что кликджекингом называют размещение на сайте невидимых элементов, с помощью которых без ведома пользователя собираются персональные данные, оформляются подписки, ставятся лайки и т.д. Среди персональных данных может оказаться как телефонный номер, так и дата рождения, пароли, адреса электронной почты и страниц в соцсетях.

Есть у этой мошеннической техники и такая разновидность как соцфишинг. При такой схеме посетитель сайта попадает на страницу с невидимым фреймом, на котором расположена скрытая от глаз кнопка «Мне нравится» от «ВКонтакте». В какую бы часть страницы вы ни кликнули, попадаете на лайк и потому данные вашего профиля в этой социальной сети отправляются в базу сервиса, предоставляющего услугу идентификации посетителей. А оттуда передаются владельцу сайта. Несколько реже для получения данных используется фишинговый сайт социальной сети, похожий на оригинал как брат-близнец. Он просит пользователя авторизоваться (например, под предлогом получения огромной скидки или ценного подарка), а затем передаёт данные с его личной странички владельцу компании, на сайт которой он изначально заходил.

Если у пользователя, попавшего под соцфишинг, был указан телефонный номер, менеджер позвонит по нему. Номера нет, но есть почта? Отправит письмо. А тем, у кого не указаны номер и электронный ящик, напишет в личные сообщения. Выглядеть сообщение от менеджера может следующим образом:

Как видите, менеджер не объясняет, откуда он взял адрес вашей странички и как вообще узнал, что вы посетили сайт компании. Даже если вы зададите такой вопрос, ответ на него будет уклончивым. Чуть позже расскажем, почему так, и как сервисы, оказывающие услугу идентификации посетителей, учат обходить неудобные вопросы.

А пока посмотрите на пример более умелого использования захвата социальных сетей:

Здесь менеджер компании Даша не упоминает, что Максим посещал их сайт, где интересовался покером. Она сначала уточняет, действительно ли он потенциальный клиент их компании, а затем предлагает ему сыграть.

Как кликджекинг выглядит на практике?

Для человека, заходящего на сайт в качестве обычного посетителя, ресурс со скрытыми элементами визуально ничем не отличается от ресурса, где таких элементов нет. То есть с ходу определить использует компания скрипты для захвата звонков или нет, не получится. Чтобы это обнаружить придётся открыть код страницы сайта, изучить прописанное на ней содержимое и только потом делать выводы. Но и такой способ не всегда помогает. Потому как сервисы, зарабатывающие кликджекингом, не стоят на месте. Чтобы и дальше получать прибыль, они используют всё новые способы размещения скриптов для ловли.

Самый банальный скрипт, вставленный в код страницы для захвата персональных данных может выглядеть так:

Чтобы найти его, необходимо:

1. нажать правую клавиши мыши в пустой области страницы;
2. после открытия контекстного меню, выбрать в нём «Просмотр кода страницы» и кликнуть по нему;
3. когда код страницы прогрузится, вы сможете поискать скрипт вручную (чаще всего он стоит ближе к началу страницы) или открыть верхнее меню браузера, отыскать кнопку «Найти» и вставить в появившуюся строку часть искомого скрипта;
4. если скрипт обнаружен, сайт использует механизм захвата пользователей. Причём вставляет его напрямую в код страницы. Если не обнаружен, не спешите причислять компанию к числу белых и пушистых.

Помимо прямого способа установки скрипта кликджекинга в код страницы сайта есть и более хитрые. Первый с использованием Google Tag Manager. Для его внедрения владелец сайта сначала создаёт аккаунт в менеджере тегов Google, а затем настраивает скрипт через него. Таким образом на странице сайта скрипт захвата пользователей не отображается, так как его подгружает менеджер тегов. И найти его через проверку HTML-кода не получится.

Для тех, кто подумал, что Google позитивно относится к таким методам захвата клиентов уточнение: это совсем не так. Он не понижает позиции ресурса в поиске, зато полностью блокирует рекламу сайта, если замечает на нём те самые скрытые скрипты. В отличие от Яндекса Google не сообщит, что наказал сайт за конкретную мошенническую технику. Он укажет на недействительные показы и клики, а дальше владельцу сайта придётся самостоятельно разбираться с проблемой.

Вернёмся к способам установки скрипта. Второй хитрый вариант более сложный в использовании, поэтому для его применения привлекают программиста. При этом способе PHP-код скрипта зашивается в шаблон сайта или в файл, где лежит footer или header. Он не показывается любопытным пользователям, открывающим код страницы, а также роботам, индексирующим её. Зато работает на потенциальных клиентах компании.

Как подсказывает наш опыт, скрипт, вставленный на сайт первым способом, будет радовать владельца ресурса недолго. Очень и очень скоро его обнаружит робот Яндекса и в Вебмастере вы увидите следующую запись:

А в Метрике — заметное уменьшение количества визитов и посетителей, при том, что в Google они останутся на привычном уровне. В поисковой системе в подобной ситуации наблюдается внезапное проседание позиций сайта. За короткий промежуток времени он может потерять 20-30 строк, тогда как в Google ничего не изменится. Про фильтр будете знать не только вы, но и каждый пользователь, который увидит ваш сайт в браузере Яндекса. Чтобы потенциальный клиент не был обманут, ему будет выводиться предупреждение.

Второй и третий способ более прошаренные, поэтому, чтобы словить на них фильтр Яндекса за кликджекинг, придётся подождать. Может быть несколько недель, а может и целый год. Тут всё зависит от смены алгоритмов и того, насколько поисковая система в теме подобных хитростей.

Как бы то ни было, Студия ЯЛ своим клиентам прибегать к таким методам идентификации пользователей не рекомендует. В нашей практике были клиенты, которые попадали под фильтр за эти мошеннические техники. И, поверьте нам на слово, они 100 раз пожалели, что в это ввязались.

Как сервисы захвата клиентов обманывают владельцев сайтов?

Представьте, что у вас есть своя компания. А ещё сайт, статистику которого вы регулярно отслеживаете. Посещают ваш ресурс часто, а вот заказы делают редко. Хочется исправить положение, потому вы ищете способы это сделать. И натыкаетесь на сервис, который собирает телефоны и ID соцсетей посетителей сайта, чтобы передать вам. Если бы вам тут же на сайте сервиса объяснили, как происходит получение данных потенциальных покупателей и чем это чревато для вашего ресурса, вы согласились им пользоваться? 95% владельцев компаний отказались бы от этой затеи. И только 5% рискнули бы. Другое дело, когда кликджекинг обрисовывают в радужных красках. Опровергая все страхи покупателя услуги.

Звучит, конечно, сказочно. Платишь 40 рублей за пользователя, уже побывавшего на твоем сайте, во время звонка или переписки дожимаешь его и получаешь нового клиента. Но на деле не всё так сладко. Достаточно почитать отзывы недовольных владельцев бизнеса, купившихся на супер-услугу захват клиентов.

Не будем заострять внимание на других услугах сервиса, в рамках этой статьи мы рассматривает только кликджекинг. На который, как видно по отзыву, Яндекс отреагировал категорично.

Под бан попал и другой бизнесмен, использовавший идентификацию пользователей. При чем произошло это почти на 2 года позже.

О недовольстве Яндекса говорит ещё один разочарованный клиент.

Про бан в Яндексе пишут и на Отзовике:

Некоторым клиентам сервиса настолько не повезло, что фильтр за кликджекинг от Яндекса они ловили несколько раз.

Как видите, утверждения сервиса «100% безопасно для Яндекса» и «Никак не влияет на SEO-выдачу поисковиков» — просто красивые слова. По факту сайты, пользующиеся услугой захвата клиентов легко попадают под фильтр, из-за чего надолго вылетают из поисковой выдачи.

Некоторые сервисы предупреждают об опасности, ожидающейся со стороны Яндекса, только в личных письмах. Когда у владельца бизнеса уже возникли вопросы или претензии к работе сервиса.

И даже в таких письмах сервисы не говорят о рисках открыто. Они выбирают обтекаемые формулировки и не слишком пугающие фразы. Потому что фильтр Яндекса за кликджекинг способен спугнуть даже самого бесстрашного клиента.

Законно ли собирать персональные данные без ведома пользователей?

Мы не юристы, (хотя у нашего директора юридическое образование, а с решением правовых вопросов нам помогает компания с 18-летней юридической практикой), но всё же обсудим законность использования сервисов идентификации пользователей.

В первые минуты знакомства с одним из сервисов, нас зацепила фраза «полученные телефоны не являются персональными данными». «Неожиданно» — подумали мы и начали разбираться в вопросе. Сразу же заглянули в Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ и прочитали, что же этим словосочетанием называют.

То есть если у какого-то владельца сайта с кликджекингом, есть база телефонных номеров без указания имён, ими владеющих, персональными данными они не являются. А вот если в этом списке указаны хотя бы имена владельцев номеров, это персональные данные. Сервисы идентификации пользователей утверждают, что их клиенты получают гораздо больше информации. Настолько больше, что на каждого потенциального покупателя можно собрать подобное досье.

Но если брать данные только из социальных сетей (а сервисы божатся, что только так они и делают), настолько полной картины не соберёшь. Номера телефонов и электронную почту пользователи указывают нечасто, а значит для их получения сервису нужно взять данные где-то ещё. Например, в cookie, там информации выше крыши. Но обработка персональных данных без согласия пользователя запрещена. О чем говорит Федеральный закон:

С тем, что такое обработка персональных данных разобрались. Обратите внимание, что сбор, использование и передача данных тоже входят в это понятие. А теперь касаемо согласия от владельца данных:

Вот и получается, что пока вы не поставили галочку напротив пункта о согласии на обработку персональных данных, никто не имеет права с ними взаимодействовать. Если только вы не сделали эти данные общедоступными. Например, разместив свой номер, адрес, возраст и прочие сведения в социальных сетях, справочнике или другом ресурсе, которым может воспользоваться каждый.

Следуя этому закону, каждая компания, использующая сервис захвата клиентов или формы обратной связи, прежде чем собрать данные пользователей на своем сайте, должна получить от них согласие. Студия ЯЛ словить фильтр Яндекса не спешит, поэтому использует только разрешённые методы получения данных пользователей, а именно формы обратной связи. В которых мы обязательно помещаем согласие на обработку.

Некоторые сервисы, продающие кликджекинг, перестраховываются и просят своих клиентов размещать на сайте соглашение на обработку персональных данных. Это позволяет обелить процесс ловли посетителей в глазах закона Российской Федерации.

Если понимать определение нарушения, данное в Яндекс Справке, буквально, то и от фильтра такое соглашение тоже защитит. Но это только теория. Как оно будет на практике, неизвестно.

И вот вроде бы здорово, значит пользователь увидит, что его данные хотят использовать и покинет сайт, если он против этого. Но нет, это только звучит правильно и законно. А на деле где-то внизу страницы вы видите крошечную полосу, на которую большинстве нажмёт, не глядя, чтобы не мешала просматривать товар.

Вариант, отмеченный на нашем скриншоте, вряд ли выбирают многие. При таком раскладе отказов станет больше, а номеров потенциальных покупателей меньше. Всё-таки обработка персональных данных без согласия прибыльнее. Ну а для тех, кто опасается последствий, всегда найдутся утешающие формулировки, вроде этой.

Хорошо, предположим, что данный сервис действительно берет данные о посетителях сайта только из «Вконтакте». Но есть ли у компаний, которым он их передаёт, согласие на звонок клиенту? Согласно Федеральному закону «О рекламе» от 13.03.2006 N 38-Ф3 распространять рекламу можно только при получении предварительного согласия абонента. То есть позвонить и рассказать об условиях, которые предлагает компания, менеджер может только по договоренности с потенциальным покупателем. Которой при пользовании кликджекингом, конечно, нет.

К сервисам идентификации пользователей могут возникнуть претензии и у социальных сетей. Например, при регистрации во «Вконтакте» каждый пользователь подписывает соглашение о персональных данных, в котором чёрным по белому написано: «Персональные данные Пользователей не передаются никаким другим третьим лицам, за исключением случаев, прямо предусмотренных настоящими Правилами». И в перечне этих случаев нет таких, при которых можно было бы передавать данные сервисам, перенаправляющие их различным компаниям, следуя законам кликджекинга. То есть по факту информацию из соцсети они берут самовольно, без ведома самой соцсети. А значит могут получить по шапке от неё самой. Под персональными данными администрация «Вконтакте» понимает следующую информацию:

Поэтому ни одна компания и не заявляет открыто, где она нашла ваш телефон или email.

Что отвечать на «Откуда у вас мой телефон» и другие неудобные вопросы?

Некоторые сервисы, продающие технологии кликджекинга, считают необходимым обучать своих клиентов правильному построения диалога с потенциальными покупателями. Делают они это не от доброты душевной, а от нежелания спалить контору. Никто не хочет получать тысячи гневных посланий от рассерженных посетителей сайтов, которым надоедают менеджеры, разбираться с администрацией соцсетей и представителями закона.

Чему именно учат такие сервисы? В первую очередь, обтекаемым формулировкам. Менеджеры ни в каких ситуациях не должны говорить, что номер пользователя получен через сервис, собирающий информацию о посетителях сайта, или, что он взят из соцсетей. В ходу совсем другие формулировки:

• мне передали коллеги, что вы интересовались услугой ____/ товаром ____, верно?
• в CRM-систему поступила ваша заявка, вот я и звоню, подскажите, вы интересуетесь ___________?

С такими фразами вероятность успешной продажи повышается, а захват клиентов не приносит лишних хлопот.

Чтобы обучение менеджеров не состояло целиком из подобных фраз, сервисы рассказывают, как отвечать на «Я подумаю», делать разговор с покупателем полезным, правильно ставить цели, брать ведение беседы в свои руки и закрывать встречу. А еще они приводят примеры звонков, в которых менеджеры обрабатывают заявки правильно.

Как понять, есть ли скрипт кликджекинга на моём сайте?

Не каждый владелец бизнеса может похвастать знаниями в области программирования, поисковой оптимизации и продвижения сайтов. Поэтому большая часть предпринимателей поручают эти работы наёмным специалистам. А потом сомневаются, всё ли на их ресурсе сделано правильно и законно. Сомнения могут возникнуть и у вас, если вы доверяли работы с сайтом сторонней компании. А теперь не уверены, есть ли на вашем ресурсе кликджекинг.

Показываем, как это легко проверить.

• Откройте браузер, перейдите на социальную сеть «Вконтакте» и авторизуйтесь в ней.
• Затем очистите куки и откройте новую вкладку.
• В новой вкладке откройте ту страницу вашего сайта, на которой вы подозреваете наличие скрытого скрипта.
• Походите по странице, словно реальный пользователь. Пролистайте её, пошевелите мышью над отдельными элементами.
• Если соцфишинг на странице есть, его можно увидеть после перехода в контекстное меню «Исследовать» (вызывается правой кнопкой мыши), а затем в открывшемся окне «Сеть».

• Внимательно изучите ссылки, указанные в списке. Если среди них есть адреса социальных сетей (того же «Вконтакте»), где-то на странице прячется скрипт, который нужно побыстрее найти и уничтожить. Если же нет (как на нашем примере), проверьте другие страницы, в которых сомневаетесь. Когда и на них не окажется ничего подозрительного, спите спокойно, фильтр Яндекса за кликджекинг вам не опасен.

• Если адрес социальной сети в списке вы всё же найдете, перейдите в первую вкладку («Инспектор») и посмотрите, какие HTML-элементы относятся к этому адресу. В первую очередь, обращайте внимание на элементы с названиями iframe, script и object. Здесь же вы сможете увидеть, какие элементы скрыты, а какие находятся в открытом доступе. Если элемент спрятан в невидимой части экрана, получить информацию о нём можно кликнув по нему правой кнопкой мыши, а затем выбрать «Прокрутить в вид» в появившемся контекстном меню.
• Обнаружение ссылки на соцсеть во вкладке «Сеть» и отсутствие элементов, относящихся к ней во вкладке “Инспектор” показывают, что на проверяемой странице есть кликджекинг. Аналогичный вывод можно сделать и в том случае, если во вкладке «Сеть» показывалась ссылка на соцсеть, а во вкладке «Инспектор» — скрытый элемент, принадлежащий ей.
• Чтобы удалить элемент, который вы не смогли найти, начните удалять части кода, которые считаете сомнительными. Если не доверяете своим знаниям, погуглите код в поисковой системе. Когда все работы над чисткой страницы будут закончены, загляните в вебмастер и нажмите «Я всё исправил».

После этой заявки Яндекс по мере возможности изучит ваш сайт на предмет скрытых скриптов. И если не обнаружит кликджекинг, продолжит повышать в выдаче. А тех, на кого уже был наложен фильтр, он в таких случаях милует.

Обратите внимание, что после первого нажатия на кнопку сделать это в следующий раз можно через 31 день. Затем этот период увеличивается и может составлять порядка 3 месяцев. Поэтому, прежде чем отправить сайт на проверку Яндексу, тщательно просмотрите его и, только когда будете полностью уверены, приглашайте робота в гости.

Что мне фильтр Яндекса за кликджекинг, если я не продвигаюсь в поиске?

Мы неоднократно встречали в сети статьи, авторы которых не рекомендуют использовать мошенническую технику получения данных пользователей, только если основной трафик сайта поисковый. Тем же, кто не продвигается в поиске, якобы можно не бояться немилости Яндекса. Видимо, так думали многие, потому и не боялись лепить на свой сайт скрытые скрипты. Однако через время таким ресурсам перекрыли кислород и в Яндекс.Директе. Рекламные компании отклоняли, ссылаясь на кликджекинг. Вот вам выдержка из письма, полученного от Директа, владельцем сайта с тем самым скриптом:

Мы не стали верить какому-то дяде на слово и сами связались с поддержкой Яндекс Директа. Её ответ развеял всякие сомнения относительно услуги идентификации пользователей, предлагаемой как мелкими, так и весьма крупными компаниями.

Получается, что в Яндексе использовать кликджекинг не стоит, даже если вы рассчитываете выехать на рекламе. Не получится. Хотя в 2016 году наверняка бы получилось.

Как не попасться на кликджекинг в роли посетителя сайта?

И бизнесмены, и SEO-специалисты, и дворники каждый день что-то ищут в интернете. А значит, любой из них может попасться на крючок хитрых сервисов, нацеленных на ловлю клиентов. Если вы не хотите, чтобы вас попусту беспокоили менеджеры сайтов, на которых вы не оставляли заявок, ловите несколько советов:

• используйте для серфинга в сети отдельный браузер, а в соцсети и на сайты, где вводите личные данные, заходите через другой.
• ежедневно очищайте cookie, чтобы не допустить передачу информации, которую вы не хотите разглашать.
• если заходите в социальные сети с рабочего компьютера, разлогинивайтесь перед закрытием вкладки.
• уберите из соцсетей все данные, которые соцфишинг будет использовать в своих целях (телефон, электронная почта, место работы, интересы и т.д).
• для тех, кто не хочет очищать личную страницу от подобной информации, есть другой вариант. Закройте её, тогда вся информация будет доступна только вашим друзьям.
• внимательно читайте любые соглашения, которые принимаете. Даже если речь идет о крошечной полоске внизу экрана с большой кнопкой «Принимаю» или «Согласен».
• используйте плагины и приложения для защиты от кликджекинга. На личном опыте их эффективность не проверяли, но те, кто их уже потестили, остались довольны.
• если вы всё же попались на скрипт и вам написал или позвонил менеджер компании, пожалуйтесь на её сайт в поддержку Яндекса. Только обязательно укажите причину жалобы, чтобы сайт как можно скорее вылетел из выдачи.

Сталкивались ли вы с кликджекингом или фильтром за него? Делитесь своими историями и обращайтесь в Студию ЯЛ за помощью в избавлении от скрытых и нежелательных скриптов. Заказать услугу вывода сайта из-под фильтра можно по телефону 8 (383) 209-18-36 или 8-800-600-36-20. Команда наших специалистов поможет сделать сайт привлекательным в глазах Яндекса и избежать санкций. А тем, кто уже попал под фильтр — поскорее избавиться от него и не наступать на старые грабли снова.

Валентина Брахнова

Специалист отдела контент-маркетинга Студии ЯЛ

Максим Дель

Руководитель отдела SEO-продвижения Студии ЯЛ

• Календарь инфоповодов на декабрь 2021 года 2 часть
• Что такое поисковые фильтры Яндекса, и как под них не попасть
• Как автоматизировать работу над рекламной кампанией с помощью товарных фидов