Click hijacking je podmukli oblik click fraud-a, u kojem se stvarni klikovi korisnika presre\u0107u ili preusmjeravaju, tako da prevarant ima koristi od toga (npr. provizija za afilijaciju, pripisivanje konverzije, tro\u0161ak za ogla\u0161iva\u010da).<\/p>\n
Tehnike koje se koriste u click hijacking-u temelje se na skrivenim iframe-ovima i nevidljivim gumbima, overlay-ima, preusmjeravanjima, cookie stuffing-u i manipulaciji postback-ovima. <\/p>\n
Transparentni elementi (iframe, gumbi) postavljaju se na vidljivo su\u010delje. Klik, iako korisnik misli da je generiran na ispravno mjesto, zavr\u0161ava na skrivenom elementu, a ne na o\u010dekivanom CTA-u. Sli\u010dno djeluju overlay-i i napadi mobilnih overlay-a. Na mobilnim aplikacijama zlonamjerni overlay-i (la\u017eni promptovi) ili slojevi oglasa (ad stacking) mijenjaju mjesto pripisivanja klika. <\/p>\n
To se doga\u0111a putem zlonamjernog koda na samoj stranici izdava\u010da — izdava\u010d ili kompromitirani ogla\u0161iva\u010d izravno ume\u0107e overlay\/iframe. U tu svrhu koriste se i formati oglasa na stranicama. Oglasne kreacije mogu ubrizgavati slojeve ili preusmjeravanja nakon u\u010ditavanja, bez instalacije bilo \u010dega od strane korisnika. Druga metoda je cross-site scripting (XSS) — ranjivost na stranici omogu\u0107uje ubrizgavanje skripte koja stvara overlay. Tako\u0111er, programatski oglasi i partner tagovi \/ skripte od partnera\/SSP\/DSP mogu dinami\u010dki dodati elemente na stranicu. Tako\u0111er, webview u aplikaciji mo\u017ee biti manipuliran putem SDK-a ili zlonamjerne biblioteke, bez instaliranja ekstenzija od strane korisnika.<\/p>\n
Stoga postavljanje elemenata (overlay, skriveni iframe-ovi, nevidljivi gumbi) za provedbu click hijacking-a ne zahtijeva uvijek instalaciju npr. dodatka od strane korisnika. Mnogi click-hijacking overlay-i djeluju unutar samog preglednika pomo\u0107u obi\u010dnog JavaScript-a u\u010ditanog iz vanjskih skripti\/oglasa ili zara\u017eenog poslu\u017eitelja — bez ikakvih ekstenzija.<\/p>\n
Takve skripte mogu odmah preusmjeriti promet na stranicu afilijanta ili URL za pra\u0107enje, preuzimaju\u0107i atribuciju. <\/p>\n
Cookie stuffing i manipulacija postback-ovima obi\u010dno su sofisticiraniji, tehni\u010dki te\u017ei za izvo\u0111enje i te\u017ei za otkrivanje napadi od jednostavnih overlay-a. <\/p>\n
Cookie stuffing zahtijeva precizno ubrizgavanje afilijacijskih kola\u010di\u0107a u odgovaraju\u0107em formatu i vremenu (\u010desto putem lanca preusmjeravanja, skripti ili zlonamjernih resursa), tako da se kasnija konverzija pripi\u0161e prevarantu, iako korisnik nije namjerno kliknuo. Cookie stuffing mo\u017ee utjecati na korisnika kroz vi\u0161e sesija (kola\u010di\u0107 ostaje), \u0161to daje dugoro\u010dne koristi prevarantima. <\/p>\n
Ako logika atribucije prihva\u0107a samo prvo pripisivanje (first-click) ili koristi pravilo deduplikacije konverzije (npr. jedno pripisivanje po korisniku\/ure\u0111aju\/sesiji), mnogi slu\u010dajevi cookie stuffing-a, gdje la\u017eni kola\u010di\u0107 poku\u0161ava pripisati konverziju vi\u0161e puta, bit \u0107e neutralizirani. Me\u0111utim, cookie stuffing \u010desto djeluje tako da je la\u017eni kola\u010di\u0107 postavljen prije stvarnog klika\/izvora, pa ako koristite first-click atribuciju, prevarant mo\u017ee dobiti stalno pripisivanje kao “prvi”. Deduplikacija tada ne\u0107e oduzeti to jednokratno pripisano konverziju.<\/p>\n
S druge strane, manipulirani postback-ovi uklju\u010duju krivotvorenje poslu\u017eiteljskih poruka (postback-ova) poslanih platformama za afilijaciju — \u010desto zahtijeva poznavanje API-ja partnera, HMAC\/timestamp-ova i zaobila\u017eenje mehanizama provjere. La\u017eni postback-ovi omogu\u0107uju masovno prijavljivanje konverzija bez stvarnih doga\u0111aja na strani klijenta, skaliraju\u0107i prevaru bez interakcije korisnika.<\/p>\n
Oba napada mogu izgledati kao “ispravni” klikovi\/konverzije u izvje\u0161\u0107ima (ispravna atribucija, ispravni UTM parametri), pa otkrivanje zahtijeva korelaciju mnogih signala: vremenskih anomalija, razlika izme\u0111u client-side i server-side logova, neslaganja fingerprint-ova, neprirodnih obrazaca partnera.<\/p>\n
Obje tehnike su sofisticiranije i u\u010dinkovitije na du\u017ee staze, jer manipuliraju sustavima atribucije i poslu\u017eiteljskim komunikacijskim kanalima — obrana zahtijeva naprednu validaciju, korelaciju logova i sigurnosne mjere na strani poslu\u017eitelja. <\/p>\n
Neovisna analitika on-site od pru\u017eatelja alata zna\u010dajno poma\u017ee u otkrivanju anomalija i korelaciji identifikatora, pod uvjetom pravilnog dizajna integracije. On-site pra\u0107enje bilje\u017ei klikove, sesije i referrere izravno na stranici\/aplikaciji — daje primarne podatke koje se mo\u017ee usporediti s podacima partnera. <\/p>\n
Usporedba client-side ID-ova (device_id, cookie_id, click_id, click_timestamp, referrer_chain, transaction_id, device_fingerprint, IP, UA, landing_page, campaign_params\/UTM) s postback-ovima poslu\u017eitelja otkriva sve neslaganja i spoofing. <\/p>\n