Сookie stuffing (или cookie dropping) – хорошо известный в арбитраже трафика вид мошенничества. В свое время куки-стаффинг был настоящим бичом партнерских программ. В наши дни, благодаря более жесткому контролю со стороны администраций CPA-сетей и устранению известных уязвимостей популярных браузеров, это мошенничество не так широко распространено, как раньше. Тем не менее, недобросовестные партнеры продолжают использовать куки-стаффинг, обманом получая реферальное вознаграждение и тем самым причиняя финансовый ущерб, как рекламодателям, так и честным арбитражникам. В этой статье будет подробно рассказано о том, что такое cookie stuffing, как его используют на практике и как от него защититься.
Что такое cookie-файлы
Сookie («куки» на жаргоне IT-специалистов) – это текстовые данные небольшого размера, хранящиеся в собственной базе данных браузера. В действительности каждая запись файла cookie представляет собой пару имя-значение и может иметь дополнительные параметры, которые определяют различные свойства каждой «куки», такие как время ее жизни, доменное имя сайта – владельца и др. Cookie устанавливаются сайтом (веб-сервером), на который зашел пользователь. Директива, предписывающая создать cookie, выглядит примерно так: Set-Cookie: uID=u123456789, где uID – имя куки, а u123456789 – ее значение. Впоследствии, во время каждого нового визита пользователя на сайт, браузер посылает веб-серверу все связанные с ним куки. По умолчанию доступ к каждому конкретному файлу cookie имеет только веб-сервер (сайт), установивший данную куку. Файлы cookie также можно создать и модифицировать с помощью любого поддерживаемого браузером скриптового языка, например JavaScript.
Главное назначение файлов cookie – идентификация пользователя и отслеживание его сетевой активности. Также в куках сохраняются выбранные пользователем настройки сайта (например, отображаемый язык для многоязычных сайтов).
Как файлы cookie применяют в арбитраже трафика
В арбитраже трафика куки играют ключевую роль: именно в файле cookie хранится идентификатор арбитражника, выделенный из его партнерской ссылки. По записанному в куке идентификатору, рекламодатель определяет, какой именно партнер «привел» пользователя на его сайт. Также огромное значение имеет время жизни cookie – именно этот параметр определяет длительность т.н. «постклика» – периода времени, в течение которого пользователь – потенциальный клиент остается «привязанным» к тому арбитражнику, чья реферальная ссылка привела его на сайт рекламодателя. На практике это выглядит так: пусть пользователь зашел на продающий сайт в первый раз через вашу реферальную ссылку, но ничего не купил. Несмотря на это, на его компьютере была установлена кука с вашим реферальным идентификатором и, например, с 30-ти дневным временем жизни. Затем, через 2-3 недели, данный пользователь вторично посетил этот сайт уже самостоятельно и оформил покупку рекламируемого товара. Поскольку время жизни вашей куки еще не истекло, то в итоге вы получите реферальное вознаграждение.
Собственные и сторонние куки
Файлы cookie, которые устанавливает посещаемый сайт, называются собственными. Однако, на страницах сайта могут размещаться блоки, в которые загружается контент с других веб-серверов. И эти веб-серверы тоже могут устанавливать свои куки на устройство пользователя. Такие куки называются сторонними. Как вы увидите далее, сторонние файлы cookie играют важную роль в куки-стаффинге.
Что такое cookie stuffing
Сookie stuffing (или dropping) – это вид мошенничества, применяемый нечестным аффилиатом, суть которого заключается в незаконной установке («дроппинге», то есть «подбрасывании») ассоциированных с ним файлов cookie на компьютеры или иные устройства пользователей. Также куки-стаффингом называется подмена файлов cookie с помощью вредоносных программ и скриптов. Как скрипты, так и вредоносные программы, используя уязвимости браузера, заменяют файлы cookie, связанные с добросовестными партнерами CPA-сетей, на куки партнера-мошенника. В результате дроппинга или подмены «законных» файлов cookie реферальное вознаграждение получают не добросовестные партнеры, а мошенник, подменивший куки.
В странах Запада cookie stuffing является уголовным преступлением и карается денежным штрафом и даже тюремным заключением в случае крупномасштабного мошенничества. В других странах куки-стаффинг формально не запрещен, но в CPA-сетях с этим явлением активно борются.
Известные способы дроппинга и подмены файлов Cookie
Использование HTML тегов img, iframe и link – это наиболее простые и популярные способы дроппинга файлов cookie. Также большой популярностью пользуются всплывающие окна и Flash-баннеры. Прямую подмену файлов cookie чаще всего производят с помощью вредоносных программ, замаскированных под полезные браузерные расширения.
Тег img
Манипуляции с атрибутом src тега img – самый простой способ дроппинга cookie. Вместо ссылки на реальное изображение в тег вставляется партнерская ссылка арбитражника. Выглядит это примерно так:
<img width="1" height="1" border="0" src="https://www.your-affiliate-site.com/affiliate/id-u123456789/">
Этот код арбитражник интегрирует во все страницы своего сайта (или просто вставляет его в комментарии в социальных сетях и на форумах). Теперь, при посещении сайта арбитражника или просмотре страницы форума, браузер посетителя обязательно сделает запрос на сайт your-affiliate-site.com и, несмотря на то, что никакая картинка в действительности не загрузится, на устройстве пользователя будут установлены cookie с идентификатором арбитражника.
Вышеописанный способ слишком очевидный и грозит быстрым разоблачением, поэтому чаще применяют более хитрый способ – перенаправление с помощью файла .htaccess. На страницы своего сайта арбитражник помещает код со ссылкой на несуществующее изображение fake-image.jpg:
<img width="1" height="1" border="0" src="https:// www.your-site.com/fake-image.jpg">
А в файл .htaccess, который должен находиться в той же директории, в которой якобы находится это несуществующее изображение, добавляется следующая строка:
Redirect fake-image.jpg https://www.your-affiliate-site.com/affiliate/id-u123456789/
Теперь, когда браузер пользователя пытается загрузить fake-image.jpg, его запрос перенаправляется на партнерский сайт your-affiliate-site.com, который установит куки с идентификатором арбитражника.
Использование CSS
Возможности Каскадных таблиц стилей также применяют для куки-стаффинга. Простейший способ – в значение url для свойства background или background-image вместо ссылки на изображение вставляется ссылка на партнерский сайт:
background-image: url(' https://www.your-affiliate-site.com/affiliate/id-u123456789/')
И здесь можно проделать такой же трюк, что и с тегом img, описанный выше: вместо прямой ссылки на партнерский сайт дать ссылку на несуществующее изображение и сделать перенаправление с помощью файла .htaccess.
Flash-баннеры
Flash-баннеры тоже широко используют для дроппинга файлов cookie. Исходный Flash-код может содержать несколько тегов img, которые описанными выше способами перенаправят запрос на сайт рекламодателя, в результате чего на устройстве жертвы будут установлены партнерские куки.
Элемент iframe
Тег iframe позволяет загрузить на веб-страницу контент с другого сайта. Размер фрейма, в который загружается контент, определяет веб-мастер. Нечестный аффилиат создает на каждой странице своего сайта один или даже несколько фреймов размером 1х1 пиксель, в которые загружаются сайты партнера-рекламодателя. Вот примерный код такого фрейма:
<iframe src=" https://www. your-affiliate-site.com/affiliate/id-u123456789/" width="1" height="1"></iframe>
Естественно, посетитель сайта не увидит ни этого фрейма, ни, тем более, его содержимого, но файлы cookie с идентификатором аффилиата – мошенника будут установлены.
У всех вышеописанных способов есть серьезный недостаток: если в браузере пользователя включена опция, запрещающая принимать куки со сторонних сайтов (а во всех современных браузерах эта опция включена по умолчанию), то дроппинга не произойдет. Этого недостатка лишены приведенные далее способы.
Всплывающие окна, кликандеры и попандеры
Гарантированно осуществить куки-стаффинг можно посредством загрузки сайта рекламодателя в принудительно открытое окно или в новую вкладку. Файлы cookie считаются «собственными», если сайт открывается в отдельном окне или вкладке, поэтому куки с идентификатором арбитражника обязательно будут установлены. Однако принудительное перенаправление на партнерский сайт считается запрещенным приемом, поскольку по правилам большинства CPA-сетей пользователь должен перейти на сайт рекламодателя сознательно и самостоятельно.
Вот пример кода, который загружает партнерский сайт в новое окно (или новую вкладку, в зависимости от настроек браузера):
<script type="text/javascript">
window.open("https://www.your-affiliate-site.com/affiliate/id-u123456789/",'width=240,height=120');
</script>
К сожалению или к счастью, в подавляющем большинстве случаев этот простой пример работать не будет, поскольку практически у всех пользователей в настройках браузера включена блокировка всплывающих окон. Однако эту блокировку нетрудно преодолеть, если знать логику ее работы: блокируются только те всплывающие окна, которые открываются самопроизвольно. Если же новое окно открывается в результате какого-либо действия пользователя, например, в ответ на щелчок мыши (событие onClick), то оно не блокируются. Эта особенность браузеров используется в кликандерах и попандерах.
Попандер (Popunder) – это рекламный баннер, перекрывающий страницу сайта. Когда пользователь щелчком мыши пытается закрыть или убрать попандер, срабатывает скрипт, открывающий новое окно или вкладку с сайтом рекламодателя.
Кликандер (Clickunder) – это невидимый или, иногда, полупрозрачный элемент страницы, полностью ее перекрывающий, затрудняющий просмотр и блокирующий прокрутку. Когда посетитель сайта щелкает в любом месте кликандера (например, чтобы прокрутить страницу вниз) открывается новое окно (или вкладка), в которое загружается сайт рекламодателя.
Вот простейший шаблон, который можно использовать как для кликандера, так и попандера (после соответствующей доработки):
<html>
<head>
<style>
#blocker{
position: fixed;
top: 0;
left: 0;
width: 100%;
height: 100%;
background-color: rgba(128, 0, 0, 0.7);
z-index: 999;
}
.content{
top: 0;
left: 0;
width: 100%;
height: 100%;
display: flex;
justify-content: center;
align-items: center;
background-color: green;
}
</style>
</head>
<body >
<div class="content">
<h1>Простейший шаблон для кликандера</h1>
</div>
<div id="blocker" onClick="win_load()">
</div>
<script type="text/javascript">
function win_load()
{
var b = document.getElementById("blocker");
var z = document.defaultView.getComputedStyle(b,null).getPropertyValue("z-index");
if(z==999)
{
window.open("https://www.your-affiliate-site.com/affiliate/id-u123456789/", 'width=240,height=120');
b.style.zIndex="-1";
}
}
</script>
</body>
</html>
После загрузки страницы, всю ее видимую область будет перекрывать полупрозрачный элемент div с идентификатором blocker и z-index-ом равным 9999 (то есть «выше всех»). После щелчка в любом месте страницы срабатывает функция win_load(), которая открывает новое окно или вкладку с рекламируемым сайтом и перемещает элемент blocker на задний план (изменяет z-index на -1 – «ниже всех»).
Главная проблема использования кликандеров и попандеров заключается в том, что как Yandex, так и Google, обнаружив, что на сайте установлен скрипт, генерирующий загрузку рекламы во вновь созданные вкладки или окна, резко понижают его рейтинг в выдаче. Эту проблему можно решить, если сделать два варианта страницы: одну – кликандер – для реальных посетителей сайта, другую – поддельную – для поисковых роботов. (Скрипт, выполняемый на стороне сервера, анализируя строку User-Agent в заголовке запроса, может определить, кто посещает сайт – реальный человек или поисковой робот.)
Переадресация на сайт рекламодателя с помощью серверного скрипта
Вероятно, это самый простой вид куки-стаффинга. Вот пример скрипта на PHP, перенаправляющего посетителя с поддельной страницы на партнерский сайт:
<?php
header("Location: https://www.your-affiliate-site.com/affiliate/id-u123456789/");
?>
Этот скрипт изменяет заголовок HTTP запроса и перенаправляет браузер пользователя на сайт рекламодателя. То есть, если ничего не подозревающий посетитель сайта щелкнет по ссылке your-site.com/fake_page, ведущей на поддельную страницу, сработает серверный скрипт и перенаправит его на сайт your-affiliate-site.com, который установит куки с идентификатором арбитражника. Некоторые веб-мастера, чтобы не отпугнуть посетителей сайта, модернизируют и усложняют скрипт так, чтобы перенаправление срабатывало только, например, при каждой десятой загрузке страницы или один раз за определенный период времени, а в остальных случаях в браузер загружался «нормальный» контент.
Подмена файлов cookie через браузерные расширения
Вредоносные программы нередко маскируются под полезные браузерные расширения. И не всегда возможно сразу выявить обман. В свое время были разоблачены мошеннические расширения, замаскированные под инструменты блокировки рекламы AdBlock и uBlock, которые перехватывали запросы браузера, подменивали реферальные ссылки и, с помощью JavaScript, модифицировали файлы cookie. В результате авторы этих мошеннических расширений незаконно получили реферальных отчислений на несколько миллионов долларов.
Прямой перехват и кража файлов cookie
Очень просто осуществить прямой перехват и подмену файлов cookie, если сайт использует небезопасный HTTP протокол. Особенно легко перехват и кража cookie происходит в общедоступных сетях Wi-Fi. К счастью, в настоящее время практически все коммерческие сайты работают на безопасном HTTPS протоколе.
Как мошенники зарабатывают на куки-стаффинге
В отличие от «честных» участников CPA-сетей, которые получают реферальное вознаграждение за то, что находят новых клиентов партнерам-рекламодателям, аффилиаты – мошенники, используя cookie stuffing, зарабатывают деньги обманом, нанося финансовый ущерб как честным арбитражникам, так и рекламодателям. Суть обмана состоит в следующем:
- При посещении сайта аффилиата-мошенника, на котором сайт рекламодателя загружен, например, во фрейм размером в 1 пиксель или спрятан в тег img, пользователь никакой рекламы, естественно, не увидит, но куки с партнерского сайта с идентификатором мошенника на его устройство будут установлены. Если впоследствии пользователь самостоятельно зайдет на сайт рекламодателя и совершит целевое действие (например, купит рекламируемый товар), то аффилиат-мошенник получит реферальное вознаграждение, если время жизни его куки еще не истекло. А вероятность того, что пользователь посетит партнерский сайт самостоятельно, достаточно велика, если этим сайтом является какой-либо сверхпопулярный ресурс, такой как Amazon, eBay или AliExpress. Таким образом, фактически не принеся никакой пользы партнеру-рекламодателю, аффилиат-мошенник незаконно получит от него денежное вознаграждение.
- В большинстве CPA-сетей действует правило «last cookie wins», согласно которому реферальное вознаграждение получает тот аффилиат, с чьей реферальной ссылки клиент зашел на сайт рекламодателя и впоследствии совершил целевое действие. То есть, допустим, в первый раз пользователь совершил переход на сайт рекламодателя, используя ссылку «честного» партнера, чей идентификатор и был записан в куках, но целевого действия не совершил. Затем этот пользователь посетил сайт аффилиата-мошенника, у которого в невидимый фрейм был загружен сайт рекламодателя, в результате чего куки были перезаписаны и идентификатор честного арбитражника был заменен на идентификатор мошенника. Через некоторое время пользователь снова зашел на сайт рекламодателя уже самостоятельно и совершил целевое действие. В результате реферальное вознаграждение получит мошенник, поскольку именно его идентификатор записан в куках.
- Если CPA-сеть работает по принципу «first cookie wins», то куки не меняются, пока не истечет их время жизни. В этом случае, если пользователь сначала посетит сайт аффилиата-мошенника с «невидимой рекламой», а уж потом, используя ссылку «честного» партнера, сознательно перейдет на сайт рекламодателя и совершит целевое действие, то реферальное вознаграждение получит мошенник, если на этот момент время действия его куки еще не истекло.
Как защититься от куки-стаффинга
Гарантировано защититься от куки-стаффинга и выявить мошенников можно при тщательном изучении источников трафика. Однако на практике сделать это не так-то просто, поскольку популярные CPA-сети имеют сотни тысяч активных участников. Поэтому, чтобы не стать жертвой мошенников, CPA-сети и их партнеры-рекламодатели должны принять следующие меры:
- использовать на своих сайтах только безопасный HTTPS протокол;
- также установить true для параметра secure каждой куки– это гарантирует передачу файла cookie только по безопасному HTTPS протоколу;
- параметр httponly куки – идентификатора арбитражника должен иметь значение true – это предотвратит кражу и подделку файла cookie с помощью JavaScript;
- установить на серверах директиву, запрещающую страницам сайта загружаться во фреймы.
Но никакие меры не помогут, если на устройстве у пользователя установлена вредоносная программа или устаревший браузер.
FAQ
