Опасность! Сookie stuffing в арбитраже

Привет, котаны. Как там ваше рождественское настроение? Приготовили уже праздничные cookies? А от cookie stuffing защитились? =) Если вы не поняли, о чем речь, и зачем вам защищаться от печенек, то сейчас мы вам все расскажем.

Читать в полной версии

В арбитраже, как в и любой другой сфере, где крутятся большие бабки, нашлось место и для мошенничества. Конечно, ведь кто не любит халявный кусок пирога. Если говорить кратко, то куки стаффинг это подмена ваших куки на чужие, то есть изменение данных о вас в Интернете на данные другого пользователя. Зачем? Затем, чтобы бонус, выплата или другая плюшка, которая должна была упасть на ваш стол, ушла к другому человеку.

Что за куки?


Сайты используют cookie-файлы, чтобы хранить пользовательские данные, например, информацию об аккаунте или состояние корзины покупок в Интернет-магазине. Еще cookie применяются для сбора информации, необходимой для показа контекстной рекламы, а также в партнерских программах для обозначения пользователей, приведенных в проект веб-мастерами и партнерами. 

Рассмотрим живой пример


Вы затариваетесь на каком-нибудь сайте с кэшбэком и надеетесь получить свои бонусные 5% обратно. И вроде все хорошо, но кэшбэк улетает в неизвестность, а конкретнее, кому-то другому. А все почему? Потому что в системе, которая получила данные от вас и идентифицировала покупку, на которую должен был быть кэшбек, изменился куки. Например, одно из расширений вашего браузера просто перехватило куку и заменило ее на свою. Это и есть самый простой пример куки стаффинга.
 
Вот так выглядят куки «здорового человека», которые были записаны Бэкли при переходе на Aliexpress.


 
А так выглядят куки «курильщика», которые были украдены и изменены расширением AliTools. Переписываются очень важные параметры, из-за которых кэшбек уходит создателям AliTools, например, tp1 и affiliateKey.



Вот так это и происходит. 

А теперь ближе к арбитражу


В последнее время в партнерском маркетинге стало появляться очень много мошеннических схем и фрода. Используя технические «дыры» и иной раз неопытность рекламодателей, злоумышленники получают деньги за якобы привлеченные заказы, к которым они не имеют никакого отношения. 

Вот реальный пример одной из партнерок, которая отписалась на форуме:
 

В нашей партнерской программе и наших партнеров-ресселеров обнаружили странных пользователей: сами не работают, а привлекают рефералов, ну что ж, это неплохо, но если более детально исследовать источники рефералов, то выяснится, что это, как правило, официальные темы, где нет рефссылок. Получается, что эти пользователи подменяют куку, и все рефералы даже не знают, что они становятся таковыми и идут не по ссылкам этого партнера, а по прямым ссылкам, но при этом становясь рефералами.


Также куки стаффинг, от которого могут страдать непосредственно арбитражники и веб-мастера, — это ситуация, когда кто-либо, имея доступ к большому объему трафа, подсовывает куки разных магазинов всем посетителям. Cookie хранятся в браузере, например, месяц, и этого срока вполне достаточно для среднестатистического Интернет-магазина. И высока вероятность, что за указанный период пользователь совершит покупку в одном из таких магазинов. Интернет-магазин будет думать, что покупателя привел тот самый мошенник, который подсовывал куки, и выплатит вознаграждение ему. Буквально это присвоение заслуг за чужой труд. 

Как работает сам перехват?


Два самых распространенных способа:

1. При помощи html-тега iframe, который позволяет загрузить одну веб-страницу внутри другой, либо тега img. Ничего не подозревая, вы открываете один сайт, но параллельно посещаете 10-20 других сайтов с партнерской меткой. И за все будущие заказы в данных магазинах выплату получит тот самый недобросовестный веб-мастер, который подкинул вам куки. Почему вы не видите такие сайты? Они открываются в iframe и грузятся в «точку», размером 1х1 пиксель. Зато их отлично видит ваш браузер. 

2. Через Toolbar. Это расширение для браузера, которое часто располагает используемыми функциями или дополнительным функционалом. Например, панель, которая отображает прогноз погоды или мониторинг почты и т.д. Так как Toolbar имеет доступ к загружаемым страницам, то он также может влиять на их работу. Toolbar может как подсунуть свою куку или заявить права на клик, так и просто перенаправить вас на загружаемый сайт, но уже с чьей-то подгруженной кукой. 

Кто подвержен? 


Больше всего страдают веб-мастера и партнерки с белыми офферами, в которые входят Интернет магазины, e-commerce и различные реферальные программы с кэшбэками. Admitad — одна из партнерок, которая была подвержена атакам куки стафферов и которая активно ведет борьбу в целях защиты своих пользователей от этого явления. Их белые офферы, такие как Booking, Lamoda, AliExpress и другие общедоступные сайты, на которых ежедневно происходят сотни тысяч заказов, неоднократно были подвержены нападением куки стафферов. 

Веб-мастера страдают от куки стаффинга в том, что могут не получить свою выплату, а партнерки в том, что могут заплатить за один заказ три раза или более. 

Как быть в итоге? 


Сегодня в сети можно найти уйму материалов о том, как заработать на «черном SEO» и начать заниматься куки стаффингом. Кроме того, такие материалы продолжают обновляться день ото дня. А это значит, что проблема крайне актуальна. Будучи на стороне пользователя, чтобы обезопасить себя от воровства куки, старайтесь не ставить левое программное обеспечение, расширения и Toolbar от неизвестных разработчиков и работайте только с проверенными партнерами. Не постесняйтесь спросить лишний раз у менеджера, как обстоят дела с куки стаффиингом. Если же вы льете на черную товарку или около того, где ваши посадочные страницы сделаны на коленке или просто открываются только по прямому переходу, то вам не стоит особо переживать. Вы не представляете большого интереса для куки стафферов, а партнерской программе не составит труда отследить все ваши конверсии. А пока желаем всем добра и удачи в работе. Будьте внимательны.