Click hijacking je podmukli oblik click fraud-a, u kojem se stvarni klikovi korisnika presreću ili preusmjeravaju, tako da prevarant ima koristi od toga (npr. provizija za afilijaciju, pripisivanje konverzije, trošak za oglašivača).
Tehnike koje se koriste u click hijacking-u temelje se na skrivenim iframe-ovima i nevidljivim gumbima, overlay-ima, preusmjeravanjima, cookie stuffing-u i manipulaciji postback-ovima.
Koje tehnike se koriste u click hijacking-u?
Transparentni elementi (iframe, gumbi) postavljaju se na vidljivo sučelje. Klik, iako korisnik misli da je generiran na ispravno mjesto, završava na skrivenom elementu, a ne na očekivanom CTA-u. Slično djeluju overlay-i i napadi mobilnih overlay-a. Na mobilnim aplikacijama zlonamjerni overlay-i (lažni promptovi) ili slojevi oglasa (ad stacking) mijenjaju mjesto pripisivanja klika.
To se događa putem zlonamjernog koda na samoj stranici izdavača — izdavač ili kompromitirani oglašivač izravno umeće overlay/iframe. U tu svrhu koriste se i formati oglasa na stranicama. Oglasne kreacije mogu ubrizgavati slojeve ili preusmjeravanja nakon učitavanja, bez instalacije bilo čega od strane korisnika. Druga metoda je cross-site scripting (XSS) — ranjivost na stranici omogućuje ubrizgavanje skripte koja stvara overlay. Također, programatski oglasi i partner tagovi / skripte od partnera/SSP/DSP mogu dinamički dodati elemente na stranicu. Također, webview u aplikaciji može biti manipuliran putem SDK-a ili zlonamjerne biblioteke, bez instaliranja ekstenzija od strane korisnika.
Stoga postavljanje elemenata (overlay, skriveni iframe-ovi, nevidljivi gumbi) za provedbu click hijacking-a ne zahtijeva uvijek instalaciju npr. dodatka od strane korisnika. Mnogi click-hijacking overlay-i djeluju unutar samog preglednika pomoću običnog JavaScript-a učitanog iz vanjskih skripti/oglasa ili zaraženog poslužitelja — bez ikakvih ekstenzija.
Takve skripte mogu odmah preusmjeriti promet na stranicu afilijanta ili URL za praćenje, preuzimajući atribuciju.
Manipulacija konverzijama – korištene metode
Cookie stuffing i manipulacija postback-ovima obično su sofisticiraniji, tehnički teži za izvođenje i teži za otkrivanje napadi od jednostavnih overlay-a.
Cookie stuffing zahtijeva precizno ubrizgavanje afilijacijskih kolačića u odgovarajućem formatu i vremenu (često putem lanca preusmjeravanja, skripti ili zlonamjernih resursa), tako da se kasnija konverzija pripiše prevarantu, iako korisnik nije namjerno kliknuo. Cookie stuffing može utjecati na korisnika kroz više sesija (kolačić ostaje), što daje dugoročne koristi prevarantima.
Ako logika atribucije prihvaća samo prvo pripisivanje (first-click) ili koristi pravilo deduplikacije konverzije (npr. jedno pripisivanje po korisniku/uređaju/sesiji), mnogi slučajevi cookie stuffing-a, gdje lažni kolačić pokušava pripisati konverziju više puta, bit će neutralizirani. Međutim, cookie stuffing često djeluje tako da je lažni kolačić postavljen prije stvarnog klika/izvora, pa ako koristite first-click atribuciju, prevarant može dobiti stalno pripisivanje kao “prvi”. Deduplikacija tada neće oduzeti to jednokratno pripisano konverziju.
S druge strane, manipulirani postback-ovi uključuju krivotvorenje poslužiteljskih poruka (postback-ova) poslanih platformama za afilijaciju — često zahtijeva poznavanje API-ja partnera, HMAC/timestamp-ova i zaobilaženje mehanizama provjere. Lažni postback-ovi omogućuju masovno prijavljivanje konverzija bez stvarnih događaja na strani klijenta, skalirajući prevaru bez interakcije korisnika.
Oba napada mogu izgledati kao “ispravni” klikovi/konverzije u izvješćima (ispravna atribucija, ispravni UTM parametri), pa otkrivanje zahtijeva korelaciju mnogih signala: vremenskih anomalija, razlika između client-side i server-side logova, neslaganja fingerprint-ova, neprirodnih obrazaca partnera.
Obje tehnike su sofisticiranije i učinkovitije na duže staze, jer manipuliraju sustavima atribucije i poslužiteljskim komunikacijskim kanalima — obrana zahtijeva naprednu validaciju, korelaciju logova i sigurnosne mjere na strani poslužitelja.
Signali za otkrivanje
- Nagli porast klikova bez proporcionalnog porasta konverzija.
- Visok CTR s vrlo kratkim vremenom sesije i visokim bounce rate-om.
- Grupe konverzija koncentrirane na jednog partnera/affiliate ID.
- Klasteriranje po IP/device fingerprint-u (ponavljajući uređaji).
- Nelogična vremena click-to-conversion (npr. trenutne instalacije/kupnje).
Može li neovisna analitika pomoći?
Neovisna analitika on-site od pružatelja alata značajno pomaže u otkrivanju anomalija i korelaciji identifikatora, pod uvjetom pravilnog dizajna integracije. On-site praćenje bilježi klikove, sesije i referrere izravno na stranici/aplikaciji — daje primarne podatke koje se može usporediti s podacima partnera.
Usporedba client-side ID-ova (device_id, cookie_id, click_id, click_timestamp, referrer_chain, transaction_id, device_fingerprint, IP, UA, landing_page, campaign_params/UTM) s postback-ovima poslužitelja otkriva sve neslaganja i spoofing.
Iskoristite alate Quarticon za dodatnu analitiku konverzija na stranici.
