Click hijacking to podstępna forma click fraud, w której prawdziwe kliknięcia użytkowników są przechwytywane lub przekierowywane, tak by zyskał na tym oszust (np. prowizja afiliacyjna, przypisanie konwersji, koszt dla reklamodawcy).
Techniki wykorzystywane przez click hijacking polegają na ukrytych iframe’ach i niewidocznych przyciskach, overlays, przekierowaniach, cookie stuffing, i manipulowaniem postbackami.
Jakie techniki stosowane są w click hijacking?
Transparentne elementy (iframe, przyciski) nakładane są na widoczny interfejs. Kliknięcie, choć użytkownik myśli, że jest generoane do właściwego miejsca, trafia do ukrytego elementu, nie do oczekiwanego CTA. Podobnie działają overlays i mobile overlay attacks. Na aplikacjach mobilnych złośliwe nakładki (fake prompts) lub warstwowanie reklam (ad stacking) zmieniają miejsce przypisania kliknięcia.
Dzieje się to poprzez złośliwy kod w samej stronie wydawcy — wydawca lub skompromitowany reklamodawca wstawia overlay/iframe bezpośrednio. W tym celu wykorzystywane są też formaty reklamowe na stronach. Kreacje reklamowe mogą wstrzykiwać warstwy lub przekierowania po załadowaniu, bez instalacji czegokolwiek przez użytkownika. Inną metodą jest cross‑site scripting (XSS) — luka na stronie pozwala wstrzyknąć skrypt tworzący nakładkę. Także reklamy programatyczne i tagi partnerów / skrypty od partnerów/SSP/DSP mogą dynamicznie dodać elementy na stronę. Także webview w aplikacji może być manipulowany przez SDK lub złośliwą bibliotekę, bez instalowania rozszerzeń przez użytkownika.
Tak więc nałożenie elementów (overlay, ukryte iframe’y, invisible buttons) w celu realizacji click hijacking nie zawsze wymaga instalacji np. dodatku przez użytkownika. Wiele click‑hijackingowych overlayów działa w samej przeglądarce za pomocą zwykłego JavaScript ładowanego z zewnętrznych skryptów/reklam lub zainfekowanego serwera — bez żadnego rozszerzenia.
Takie skrypty mogą natychmiast przekierowywać ruch do strony afilianta lub śledzącej URL, przejmując atrybucję.
Manipulacja konwersjami – stosowane metody
Cookie stuffing i manipulacja postbacków są zwykle bardziej wyrafinowanymi, technicznie trudniejszymi do przeprowadzenia i trudniejszymi do wykrycia atakami niż proste overlaye.
Cookie stuffing wymaga precyzyjnego wstrzyknięcia afiliacyjnych cookie’ów w odpowiednim formacie i czasie (często przez łańcuch przekierowań, skrypty lub złośliwe zasoby), tak aby późniejsza konwersja została przypisana oszustowi, mimo że użytkownik nie wykonał intencjonalnego kliknięcia. Cookie stuffing może wpływać na użytkownika przez wiele sesji (ciasteczko pozostaje), co daje długotrwałe zyski oszustom.
Jeśli logika atrybucji akceptuje tylko pierwsze przypisanie (first‑click) albo stosuje regułę deduplikacji konwersji (np. jedno przypisanie na user/device/session), to wiele przypadków cookie stuffing, gdzie fałszywy cookie próbuje przypisać konwersję wiele razy, zostanie zneutralizowane. Jednakże cookie stuffing często działa tak, że fałszywy cookie jest ustawiony przed prawdziwym kliknięciem/źródłem, więc jeśli stosujesz first‑click attribution, oszust może uzyskać stałe przypisanie jako „pierwszy”. Deduplikacja wtedy nie odbierze mu tej jednorazowej przypisanej konwersji.
Z kolei manipulowane postbacki obejmuje fałszowanie serwerowych komunikatów (postbacków) wysyłanych do platform afiliacyjnych — często wymaga znajomości API partnerów, HMAC/timestampów i obejścia mechanizmów weryfikacji. Fałszywe postbacki pozwalają masowo zgłaszać konwersje bez rzeczywistych zdarzeń po stronie klienta, skalując oszustwo bez interakcji użytkownika.
Oba ataki mogą wyglądać jak „prawidłowe” kliknięcia/konwersje w raportach (prawidłowe przypisanie atrybucji, poprawne parametry UTM), więc wykrycie wymaga korelacji wielu sygnałów: anomalii czasowych, rozbieżności między client‑side a server‑side logs, niezgodności fingerprintów, nienaturalnych wzorców partnera.
Obie techniki są bardziej wyrafinowane i skuteczne w długim terminie, ponieważ manipulują systemami atrybucji i serwerowymi kanałami komunikacji — obrona wymaga zaawansowanej walidacji, korelacji logów i zabezpieczeń po stronie serwera.
Sygnały wykrywania
- Nagły wzrost kliknięć bez proporcjonalnego wzrostu konwersji.
- Wysoki CTR z bardzo niskim czasem sesji i wysokim bounce rate.
- Grupy konwersji skoncentrowane na jednym partnerze/affiliate ID.
- Klasterowanie po IP/device fingerprint (powtarzalne urządzenia).
- Nielogiczne czasy click-to-conversion (np. natychmiastowe instalacje/zakupy).
Czy niezależna analityka może pomóc?
Niezależna analityka on‑site od dostawcy narzędzia znacząco pomaga wykrywać anomalie i korelować identyfikatory, pod warunkiem prawidłowego zaprojektowania integracji. On‑site tracking rejestruje kliknięcia, sesje i referrery bezpośrednio na stronie/aplikacji — daje pierwotne dane, które można porównać z danymi partnerów.
Porównanie client‑side IDs (device_id, cookie_id, click_id, click_timestamp, referrer_chain, transaction_id, device_fingerprint, IP, UA, landing_page, campaign_params/UTM) z postbackami serwerowymi ujawnia wszystkie niezgodności i spoofing.
Skorzystaj z narzędzi Quarticon do dodatkowej analityki konwersji na stronie.
