Click hijacking je zákeřná forma click fraud, při které jsou skutečné kliknutí uživatelů zachycena nebo přesměrována, aby z toho podvodník profitoval (např. provize z affiliate, přiřazení konverze, náklady pro inzerenta).
Techniky používané při click hijacking spočívají ve skrytých iframech a neviditelných tlačítkách, overlays, přesměrováních, cookie stuffing a manipulaci s postbacky.
Jaké techniky se používají při click hijacking?
Transparentní prvky (iframe, tlačítka) jsou překryty na viditelném rozhraní. Kliknutí, ačkoliv uživatel si myslí, že je generováno na správné místo, směřuje do skrytého prvku, nikoliv na očekávané CTA. Podobně fungují overlays a mobile overlay attacks. Na mobilních aplikacích škodlivé překryvy (fake prompts) nebo vrstvení reklam (ad stacking) mění místo přiřazení kliknutí.
K tomu dochází prostřednictvím škodlivého kódu na samotné stránce vydavatele — vydavatel nebo kompromitovaný inzerent vkládá overlay/iframe přímo. K tomuto účelu se také využívají reklamní formáty na stránkách. Reklamní kreace mohou vkládat vrstvy nebo přesměrování po načtení, bez instalace čehokoliv uživatelem. Další metodou je cross‑site scripting (XSS) — zranitelnost na stránce umožňuje vložit skript vytvářející překryv. Také programatická reklama a tagy partnerů / skripty od partnerů/SSP/DSP mohou dynamicky přidat prvky na stránku. Také webview v aplikaci může být manipulován prostřednictvím SDK nebo škodlivé knihovny, bez instalace rozšíření uživatelem.
Tedy překrytí prvků (overlay, skryté iframe, neviditelná tlačítka) za účelem realizace click hijacking ne vždy vyžaduje instalaci např. doplňku uživatelem. Mnoho click‑hijackingových overlayů funguje v samotném prohlížeči pomocí běžného JavaScriptu načítaného z externích skriptů/reklam nebo infikovaného serveru — bez jakéhokoliv rozšíření.
Takové skripty mohou okamžitě přesměrovat provoz na stránku affiliate nebo sledovací URL, přebírající atribuci.
Manipulace s konverzemi – používané metody
Cookie stuffing a manipulace postbacků jsou obvykle sofistikovanější, technicky náročnější na provedení a obtížněji zjistitelné útoky než jednoduché overlaye.
Cookie stuffing vyžaduje přesné vložení affiliate cookies ve správném formátu a čase (často prostřednictvím řetězce přesměrování, skriptů nebo škodlivých zdrojů), aby byla pozdější konverze přiřazena podvodníkovi, přestože uživatel neprovedl úmyslné kliknutí. Cookie stuffing může ovlivnit uživatele přes mnoho relací (cookie zůstává), což poskytuje dlouhodobé zisky podvodníkům.
Pokud logika atribuce přijímá pouze první přiřazení (first‑click) nebo používá pravidlo deduplikace konverzí (např. jedno přiřazení na uživatele/zařízení/relaci), mnoho případů cookie stuffing, kde falešný cookie se snaží přiřadit konverzi mnohokrát, bude neutralizováno. Nicméně cookie stuffing často funguje tak, že falešný cookie je nastaven před skutečným kliknutím/zdrojem, takže pokud používáte first‑click attribution, podvodník může získat trvalé přiřazení jako „první“. Deduplikace pak neodebere tuto jednorázovou přiřazenou konverzi.
Naopak manipulované postbacky zahrnují falšování serverových zpráv (postbacků) odesílaných na affiliate platformy — často vyžaduje znalost API partnerů, HMAC/timestampů a obejití ověřovacích mechanismů. Falešné postbacky umožňují hromadně hlásit konverze bez skutečných událostí na straně klienta, škálování podvodu bez interakce uživatele.
Oba útoky mohou vypadat jako „správná“ kliknutí/konverze v reportech (správné přiřazení atribuce, správné parametry UTM), takže detekce vyžaduje korelaci mnoha signálů: časové anomálie, nesrovnalosti mezi client‑side a server‑side logs, nesoulad fingerprintů, nepřirozené vzorce partnera.
Obě techniky jsou sofistikovanější a účinnější v dlouhodobém horizontu, protože manipulují s atribucními systémy a serverovými komunikačními kanály — obrana vyžaduje pokročilou validaci, korelaci logů a zabezpečení na straně serveru.
Signály detekce
- Náhlý nárůst kliknutí bez proporcionálního nárůstu konverzí.
- Vysoký CTR s velmi nízkým časem relace a vysokým bounce rate.
- Skupiny konverzí soustředěné na jednoho partnera/affiliate ID.
- Klasifikace podle IP/device fingerprint (opakující se zařízení).
- Nelogické časy click-to-conversion (např. okamžité instalace/nákupy).
Může nezávislá analytika pomoci?
Nezávislá analytika on‑site od poskytovatele nástroje významně pomáhá detekovat anomálie a korelovat identifikátory, za předpokladu správného návrhu integrace. On‑site tracking zaznamenává kliknutí, relace a referrery přímo na stránce/aplikaci — poskytuje primární data, která lze porovnat s daty partnerů.
Porovnání client‑side IDs (device_id, cookie_id, click_id, click_timestamp, referrer_chain, transaction_id, device_fingerprint, IP, UA, landing_page, campaign_params/UTM) s postbacky serverovými odhaluje všechny nesrovnalosti a spoofing.
Využijte nástroje Quarticon pro dodatečnou analytiku konverzí na stránce.
