Cookie Stuffing vs Chrome: как Google лишит мошенников миллионов долларов

Вместо предисловия.

Мы знаем, что тема подмены куки практически мертва и существуют другие способы заработка. Статья носит исключительно ознакомительный характер.

В январе 2020 года представители Google заявили, что в течение двух лет самый популярный в мире браузер Chrome перестанет принимать сторонние cookie. Кстати, полный запрет на прием и обработку сторонних кук уже работает в Firefox с обновления 69, а в Safari — с марта 2020 года.

Файлы cookie разработаны Лу Монтулли в 1994 году. Они должны были сделать Интернет комфортнее и безопаснее для пользователя. Кукис позволяли сайтам запоминать выбор языка и другие настройки пользователя. Также они помогали с аутентификацией, защищали пользователя от вредоносных сайтов и т. д.

Однако время показало, что куки используются для слежки за пользователями. С их помощью компании не только персонализировали рекламу, но и получали данные о поведении и привычках людей. Более того, файлы куки дали возможность похищать личные данные, трафик и т. д.

Интернет развивается, поэтому устаревшие решения уходят. Отказ Google от использования сторонних куки в Chrome продиктован их уязвимостями, которые позволяют мешать анализу трафика и использовать различные схемы обмана.

Сегодня узнаем, как технология когда-то изменившая то, как люди пользуются интернетом, стала атавизмом, который мешает всем пользователям сети.

Быстро пройдем по базе. «Cookie» («куки», «печеньки») — это файлы, с помощью которых владельцы сайтов собирают информацию о ваших действиях. Например, данные браузера и покупок в интернет-магазине. Также они позволяют отследить поведение пользователя, помогают настроить персонализированную рекламу. Но главное, в партнерских программах они привязывают клиентов к вебмастеру, которых их привел.

Но это только белая сторона cookie. Эти файлы могут быть использованы в различных схемах обмана.

Это один из главных методов мошенничества в работе с куки — у пользователя перехватываются и подменяются cookie-файлы. Даже если это будет простая подмена, это уже проблема. Но все хитрее. Давайте разберемся.

Браузер пользователя обменивается cookie со всеми сайтами, которые он посещает.

Обмен проходит всегда, а вы еще и даете на это согласие (раньше такого, конечно же, не было).

А теперь представьте, что зайдя на один сайт, в ваш браузер «прилетели» куки с 10 сайтов. Все они будут использоваться для отслеживания покупки и последующий атрибуции этого события тому, кто смог эту подмену провернуть, а вам этих кук «напихать» (от английского to stuff — «набивать», например, игрушку).

С помощью этой схемы арбитражник обманывает CPA-сеть или рекламодателя и получает выплату за покупателей, которых он не привлекал. Пользователь может перейти на сайт магазина по прямой ссылке, баннеру или найти его через поисковики. Но из-за подмены файлов cookie партнерская программа получает отчет, что его привлек вебмастер.

Также куки-стаффинг позволяет обманывать не только CPA-сеть, но и других арбитражников. Схема работает, когда пользователь перешел по реферальной ссылке, но не сделал покупку сразу. Если до совершения заказа в магазине произойдет подмена куки, то комиссионные выплатят тому, кто изменил информацию в этих файлах.

Как это делается? Прямо на ваших глазах.

Для подмены используют несколько способов:

• Теги <iframe> и <img>
• Расширения для браузера (например, Toolbar)
• Скрипты/вирусы
• Модификация роутера на точках доступа Wi-Fi

Например, вы переходите на интересующий вас сайт. И тут на странице открываются еще несколько дополнительных. Заметить их вы не сможете, так как все они загружаются в размере 1х1 пиксель. При этом ваш браузер их распознает и обменивается множеством куки-файлов.

Кроме того, вы можете получить новые куки, если установите расширение для браузера. Например, существуют фейковые копии популярного AdBlock. Они также позволяют блокировать рекламу, но еще и подменяют куки. В 2019 году Google удалила из магазина расширений uBlocker от Чарли Ли, который скачали почти 850 000 раз. Но сегодня он снова доступен: только сменился автор.

В итоге получается, что пользователь одновременно посещает несколько онлайн-магазинов и сервисов. Именно это ломает статистику CPA-сетям, рекламодателям, вебмастерам. Из воздуха появляется тысячи пользователей, а отличить реальные и фейковые куки практически невозможно.

Одним из самых известных людей, использовавших куки-стаффинг, был Шон Хоган. Он заработал почти 28 миллионов долларов, привлекая трафик для eBay. Расследование компании и ФБР показало, что Хоган подменял cookie пользователям, которые даже не видели его рекламы. В 2014 году суд признал его и Брайана Даннинга (еще один партнер eBay) к тюремному заключению и штрафам.

В России с проблемой куки-стаффинга плотно «познакомилась» сеть Admitad. Белые офферы популярных интернет-магазинов (AliExpress, Lamoda и т. д.) подвергались набегам мошенников. Представители партнерской программы компенсировали потери своим партнерам и занялись решением проблемы. Однако это требует постоянной работы и контроля качества трафика.

Также с куки-стаффингом сталкивались «Юлмарт» и «MediaMarkt» в 2016–2017 годах. Они работали с CPA-сетями и выявили некачественный трафик. Именно cookie stuffing занимал больше половины его объема. В итоге магазины потеряли от 20% до 60% маркетингового бюджета.

В свое время даже Вконтакте пыталась заработать с помощью cookie stuffing и реферальной программы AliExpress. При переходе на сайт магазина по ссылкам из Вконтакте, пользователь сначала переводился на Alipromo.com, а дальше по реферальной ссылке в магазин. Это очень похоже на обычную подмену куки, однако представители Вконтакте заявляли, что проводился эксперимент, и другие рефералы AliExpress не страдают.

Как отследить пользователя без использования куки? Об использовании кэша и других методах можно познакомиться в нашем материале.

Одним из главных показателей является аномальный рост трафика на одну из страниц сервиса или онлайн-магазина. Можно увидеть, что от определенного вебмастера или из CPA-сети приходит множество пользователей, но они не идут дальше первой страницы.

Это указывает на то, что просто в браузере открывается сразу несколько страниц 1х1 пиксель. Но обмен cookie уже происходит, и посетитель становится закреплен за своим рефералом.

Cookie stuffing — только одна из возможностей нечестного использования куки. О ее популярности можно судить по многочисленным запросам в сети и обилию информации на форумах. Запрет сторонних куки в самых популярных браузерах уменьшит актуальность этой проблемы.

Но точно можно сказать, что одно появление Google Privacy Sandbox или создание пользовательских ID в партнёрских программах приведёт к разработке новых схем обмана.