В прошлом посте я упомянул этот термин. Для тех, кого забанили в гугле поясню – это еще один способ деанона по средствам социальных сетей, который идеально работал лет пять назад. Создаешь веб-страничку, устанавливаешь на неё виджет «Мне нравится» от Вконтакта, скрываешь его чем-нибудь и эмулируешь нажатие по этой области с помощью JavaScript сразу при открытии страницы. Далее скидываешь ссылку на эту страницу применяя свои навыки социальной инженерии мол «смотри твои фотки слили». Пассажир переходит по ссылке ничего там не видит, а ты скрываешь через F12 маскирующий виджет объект и видишь кружочек с мордой пассажира.
Сейчас не всё так радужно – поисковые системы, сами социальные сети борются с кликджекингом, но тем не менее, дорогу осилит идущий и сегодня ты тоже можешь задеанонить посетителей своего сайта и угрожать им расправой, если они не купят твою «Иисусью тряпку» с помощью сервиса: socfishing.com
А теперь поделюсь интересной историей как это всё помогает на практике.
Ведем значит мы рекламу для самого крупного кредитного брокера РФ, полученные заявки направляются в региональные офисы для их дальнейшей обработки. Всё вроде хорошо, но есть один регион, в котором просто жопа – половину заявок «отбраковывают», мол «хуйню шлёте, то заявку не оставлял, то регион другой». Мы же и так, и эдак корячили рекламу, урезали таргетинг в ноль, отказались от всех инструментов, что могут приносить левые заявки: автотаргетинг, РСЯ, КМС – бесполезно.
Анализ заявок мы проводим с помощью Linkodium Analytics, об этом сервисе я писал тут: https://t.me/low_digital/31
Так вот, в какой-то момент, составляя отчет мы находим, что больно много заявок отправляются с одного IP. В целом, в этом нет ничего криминального – ip-адреса мобильных операторов ротируются между абонентами, люди могли оставлять заявки с одного корпоративного WiFi крупного завода и т.д. Продолжаем изучать – видим, что и User-agentы у этих заявок повторяются, а вот это уже звоночек.
При этом сами заявки выглядят «живыми» – тут тебе и UTM-метки, и самые разнообразные контактные данные. Начинаем пробивать телефоны по этим заявкам и что же мы видим? Все телефоны и имена среди этих заявок уже были спалены на mirror.bullshit.agency и ищутся спокойно Гуглом (значит объявления висели на Авите достаточно давно). Также, видно, что регионы по этим объявлениям действительно левые.
Появилось подозрение, что всё это неспроста и с помощью такого вот массивного спама конечные получатели заявок маскируют «отбраковку» качественных заявок – никто же не будет проверять и прозванивать потом каждую из сотни заявок ежемесячно – соответственно, можно сэкономить на лидогенерации (заплатить меньше деняк, получить больше заявок).
Но пацаны не на тех нарвались. Что мы сделали?
1. Написали скрипт, который на сайте интересующего нас региона проверяет User-agent посетителя, благо нас закидывали таким спамом всего с трёх устройств, а их User-agentы оказались достаточно уникальными, чтобы в выборку не попали реальные завивки.
2. Для таких ребят включался дополнительный скрипт определения геолокации (благо по User-agentам было понятно, что они сидят с телефонов). Браузер в таком случае сначала спросит разрешения «А можно этому сайту получить доступ к геолокации?» – большинство не думая нажмут «Разрешить», потому что «ну а чо будет-то?»
3. Ну и записываем их каждый визит: время, ip-адрес и геометку, а также если заявка была оставлена – помечаем её у себя как фейковую, чтобы впоследствии не тратить времени на её проверку.
Далее, все геометки наносим на карту и видим 3 точки: 2 в жилых домах и одну в офисном здании. Ну и, естественно, те, что в жилых домах оставляют заявки вечером и ночью, а та, что в офисном здании – в рабочее время. Смотрим в 2ГИС, а что же есть в этом офисном здании и находим компанию, которая занимается очень схожим видом деятельности. Так у нас появляется потенциальный злоумышленник и место его жительства 🙂
Ну а дальнейшая история уже зависит от нашего клиента (не поеду же я с кипятильником за 2500 км?)
