За нами следят или clickjacking для бизнеса

    Несколько дней назад искал зимнюю резину. Искал в поисковой выдаче Яндекса. Переходил на сайт, смотрел. Ничего не подошло, оставил дело на потом. Ничего нигде не заполнял, никому ничего не писал (это важно).

    Сегодня мне пишут в личном сообщении ВК:
    «Вы интересовались нашим товаром на странице…. Мы можем Вам помочь… бла-бла-бла».

    Я был очень удивлен. Как они узнали, что это был именно я?

    Начал изучать сайт магазина. На странице, кроме jquery, я.метрики и аналитики google нашел счетчик, отправляющий запросы на socgate.ru. Т.к. я ничего не заполнял, а jquery, яндекс и google вряд ли бы слили информацию магазину, то подозрения пали на socgate.ru.

    IP домена: 46.4.58.141
    На том же IP нашел: socfishing.ru

    Главная socfishing.ru гласит:

    image

    По socgate.ru нашел заметку пользователя zenn (возможно тезка), там больше технических деталей:

    talk.pr-cy.ru/topic/8957-kak-rabotaet-opredelenie-stranitcy-polzovatel/?p=102653

    Сейчас код изменили, отловить я не смог. Но на 99% уверен, что это clickjacking (тыц).
    При посещении сайта впервые на странице рисуется прозрачный фрейм, к мышке «приклеивается» кнопка авторизации в ВК или вступления в группу. Далее вас уже «ведут» по сайту не как ID 327812, а как «Иван Васильевич из Москвы, женат, 2 детей. Номере телефона....».

    Пугает следующее:
    — ничто не мешает аналогичным способом (clickjacking-ом) деанонимизировать посетителя в различных аналитиках, баннерокрутилках, RTB и т.д… В итоге они получат не просто безымянный id пользователя, а реальные ФИО, контактные данные человека. Скоро начнут звонить «вы заходили на наш сайт, но ушли, так ничего и не купив...»;
    — можно полностью деанонимизировать человека, собирая соответствие ников на форумах/блогах и ФИО человека. Возможно, так уже и происходит.

    Какие подобные сервисы вы знаете? Как блокировать их работу на стороне клиента?

    UPD: Сейчас на страницах сервиса выдает:
    image
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 60
    • +1
      Баннерорезки блокируют левые js
      • +20
        Приватный режим браузера. А также дополнения типа Ghostery, disconnect.me
        • +1
          вконец обнаглели! хоть бери и, дествительно, ходи по интернетам только в приватном режиме браузера, но это же не дело
          disconnect.me

          он же платный, кажется
          • 0
            Бесплатный
            • +1
              Если хочешь, можно заплатить, причем сколько хочешь, да еще и выбрать сколько из оплаченого идет девелоперам, а сколько на благотворительность. Платить можно картой, пэйпалом или биткоином. Можно и не платить.
              • 0
                А я только в приватном режиме и ищу информацию в интернете, стандартный режим использую только для проверенных сайтов.
                В частности из-за того, что при поиске конкретной информации не в приватном режиме все сайты завешиваются «релевантной» рекламой.
            • +5
              Тема старая и прежде чем создавать новый топик, можно было воспользоваться поиском и найти как минимум habrahabr.ru/post/228617/
              Сам использую Ghostery для защиты от подобных атак.
              • +11
                Тут реальный пример как сейчас используется данная «фича»
                • +1
                  Поставил Ghostery сейчас — очень удобно и хорошо сделано!
                  Я верно понимаю, что оно перекрывает функционал AdBlock и его можно убирать?
                  • +3
                    Не полностью. У них разные задачи.
                    • +3
                      Ставить оба.
                      Плюс для особых случаев: RequestPolicy
                      • 0
                        Почему же только для особых? Пользуюсь RP в режиме «по умолчанию блокировать» больше года. Все часто посещаемые сайты уже давно открываются без каких-либо проблем. А вот без RP уже реально страшно: недавно, зайдя «голым» браузером на Kongrеgate, сайт с флеш-игрушками, получил от Avast! предупреждение, что один из подсосанных js-файлов — малварь.
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • 0
                        NoScript как-то раньше смотрел — не срослось у меня с ним.
                        Муторно и долго его настраивать, интерфейс громоздкий и путанный.

                        Другие посмотрю.
                        • 0
                          NotScript для webkit-ов и NoScript для Firefox включены всегда.
                          Настроены давно, профили браузеров таскаю копированием папок из AppData
                          Некоторые сайты не отображаются вообще без JS, но если на одном из выдачи поисковика нашел ответ — то пустые даже не смотрю.
                      • +6
                        Судя по количеству голосов (+33), эту тему можно заводить хоть раз в месяц (-:
                        Поставил Ghostery, всем спасибо.
                        • 0
                          Только в «фичу» из вашего топика прикрыли, а тут все еще работает.
                        • +6
                          Странно, но для приложения нужно вручную дать разрешения же. По крайней мере у меня всплывает окно запроса разрешений из этого примера.
                          • +3
                            Clickjacking — не единственная угроза. Несколько лет назад писал статью на эту тему — «Получение информации о пользователях» (https://forum.antichat.ru/showthread.php?t=352133). Большинство примеров уже не работают, но теоретическая часть сейчас не менее актуальна, чем раньше.
                            • +6
                              Да, тема старая, но она будет и в будущем много раз подниматься, т.к. эта дыра (а иначе и не назовешь) у соцсети ВКонатекте — просто вопиющая вещь. Надо с этим беспределом давно уже покончить. Но как я понял из прошлых постов, ВКонтакте в курсе этого и ничего делать не собирается. Очень жаль.

                              > Далее вас уже «ведут» по сайту не как ID 327812, а как «Иван Васильевич из Москвы, женат, 2 детей. Номере телефона....».

                              К счастью, здесь вы не совсем правы. Ваш номер телефона и email недоступны для данного сервиса.
                              • +2
                                Хотел пример показать с их сайта. там в кейсах есть пример, где указан телефон. Да вот на сайте уже висит заглушка (см. upd)
                                • +2
                                  Насчет телефона у меня есть только одно объяснение: скорее всего этот сервис выцепляет телефоны, которые юзер самостоятельно вносит в свои публичные контакты для всеобщего обозрения. Не верю, что они договорились с ВКонтакте о получении телефонных номеров всех юзеров.
                                  • +1
                                    Возможно, а может быть просто нарисовали для большего эффекта.
                              • +10
                                Главная socfishing.ru гласит....

                                Сейчас она гласит, что автору этого проекта не хватает аккаунта на хабре.
                                • +6
                                  С requestpolicy запросы браузера станут чистыми и шелковистыми, и перестанут шевелиться в направлении доменов, не имеющих отношения к посещаемым сайтам.
                                  • +1
                                    Именно. А с click-jacking насколько мне известно умеет бороться только NoScript.
                                    Конечно, если click-jacking используется скриптом загружаемым со стороннего сайта, загрузка которого заблокирована Ghostery — то хватит и его, но если этот скрипт грузится либо с основного сайта либо со стороннего но не заблокированного Ghostery — тогда надежда только на NoScript.
                                  • 0
                                    А мне нравится другая тенденция :) Как-то вечер решил почитать про трейдинг — в итоге 2 недели ловил спам на почту только про трейдинг, и никакого спама более. Спам, кстати, сыпался на gmail, в папку спам, но именно направленный на тематику трейдинга. Вот это я понимаю — точечная бомбардировка!
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                      • 0
                                        Да вот в том то и трабла, что нынче шлют про кислородные балоны, которые смотрел на позапрошлой недели:) про трейдинг нет уже писем
                                    • –8
                                      Какая-то надуманная проблема. Только для пользователей соц.сетей.
                                      • +8
                                        Только их миллионы
                                        • –13
                                          Мы же на специализированном ресурсе.
                                          • +2
                                            Миллиарды!
                                        • +6
                                          Автор вы не ошиблись, было дело — ковырял их код, все дело в том, что можно получить данные пользователя (id, ник) без подтверждения каких-либо прав на страничке vk, о чем здесь уже писали. Но в ВК в свою очередь саппорт говорит что это не баг, так и живем.
                                          • 0
                                            Те же данные точно так же, без подтверждений, можно получить и в фейсбуке, так что тут втентаклик не уникален. И, вроде бы, у яндекса в его сервисе «мой круг» тоже.
                                            • +1
                                              Да, но сейчас, судя по демке: jsfiddle.net/Ej25j/ ситуация поменялась.
                                            • +9
                                              Самое интересное в этом то, что вконтакте считает это нормальным и не видит уязвимости. С этой проблемой обращались ещё года два назад и уж точно не один раз.
                                              • +7
                                                Лучше всего вообще не светить в инете настоящие данные. Нигде и никогда.
                                                • +1
                                                  Это не всегда возможно:
                                                  • Например, фрилансеру работающему через интернет и желающему получать за свою работу деньги — светить настоящие данные придётся.
                                                  • Если есть неодолимая потребность общаться со своими реальными знакомыми через соц.сети — та же фигня (даже если свои данные не раскроете вы сами — за вас это сделают ваши друзья, тщательно отмечая вас на фоточках, обращаясь к вам по настоящему имени, и т.п.).
                                                  Но во всех остальных случаях — да, можно и нужно ничего лишнего не светить — например, у моего телефона свой личный аккаунт в google и facebook, не имеющий ко мне практически никакого отношения (единственная связь с моим настоящим именем — кредитка привязанная к гуглу для покупок в маркете, но я надеюсь эта связь дальше гугла не уйдёт).
                                                  • 0
                                                    Достаточно отлогиниваться от социальных сетей, если вы их не используете.
                                                    • +1
                                                      А ещё лучше — отдельная виртуальная машина для социалок. :) Ещё одна для скайпа, например. Ну и оперативы в компьютер гигов от 8-16.
                                                      • +1
                                                        Есть как минимум 3 способа, которые в разы проще виртуалок:

                                                        1. Использовать для гугления и серфинга по недоверенным сайтам браузер в режиме нового приватного окна
                                                        2. Создать для этого дела отдельного юзера в винде и запускать браузер от его имени, я так делаю (но тут есть некоторые проблемы с отображением языковой панели, ибо она пропадает, когда активируется окно, запущенное от другого пользователя… и еще проблема с запуском ссылок из других приложений: непонятно, какой браузер он выберет, зависит от порядка запуска браузеров, если они одинаковые, но от разных юзеров)
                                                        3. Использовать например хром для контакта, гугло аккаунта, фейсбука и прочих, а для гугления и серфинга — оперу.

                                                        P. S.: все ведь понимают, что дело в кукисах, сохраненных сессиях и OAuth Open ID?
                                                • –2
                                                  Странно, есть же заголовок запрещающий выводить свой сайт в iframe.
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                    • +1
                                                      Ну тогда ещё Cookie Monster для блокирования кук со сторонних сайтов и RefControl для блокирования утечек через Referer:.

                                                      К сожалению, настройка всего этого хозяйства — очень нетривиальная задача. Далеко не всегда понятно, что сайт частично не работает из-за этих плагинов. Далеко не всегда понятно, что и как нужно изменить в настройках чтобы сайт заработал — особенно часто это проявляется на сайтах связанных с оплатой, там обычно куча редиректов, сторонних кук и дополнительных проверок того же Referer. Если происходит последовательность редиректов с первого сайта на третий через второй, то в интерфейсе RequestPolicy сложно разрешить второму обращение на третий — приходится отлавливать url-ки через файрбаг и заходить на второй сайт ручками. В общем, учитывая все сложности, которые возникают у меня — советовать этот набор плагинов обычным юзерам нет смысла, им приходится обходиться Ghostery.
                                                      • +2
                                                        спасибо, добавил в hosts
                                                        • +9
                                                          Переформатированный список именно для hosts
                                                          Скрытый текст
                                                          127.0.0.1	clickdensity.com
                                                          127.0.0.1	commontools.net
                                                          127.0.0.1	criteo.com
                                                          127.0.0.1	getclicky.com
                                                          127.0.0.1	google-analytics.com
                                                          127.0.0.1	google-analyzing.com
                                                          127.0.0.1	mc.yandex.ru
                                                          127.0.0.1	mouseflow.com
                                                          127.0.0.1	histats.com
                                                          127.0.0.1	video-stats.video.google.com
                                                          127.0.0.1	radar.imgsmail.ru
                                                          127.0.0.1	radarurl.com
                                                          127.0.0.1	revsci.net
                                                          127.0.0.1	socgate.ru
                                                          127.0.0.1	socfishing.ru
                                                          127.0.0.1	scorecardresearch.com
                                                          127.0.0.1	tubemogul.com
                                                          127.0.0.1	visualwebsiteoptimizer.com
                                                          127.0.0.1	webtrends.com
                                                          

                                                          • +11
                                                            Почему принято привязывать нежелательные сайты к 127.0.0.1? В Windows при вызове connect() на этот адрес, если никто не слушает порт, тайм-аут наступает только через 1 секунду, а если ненужные хосты привязывать на адрес 0.0.0.0, ошибка при коннекте появляется мгновенно.
                                                            • 0
                                                              Не знаю почему, вероятно просто «так принято». Вообще вписывать можно любой невалидный адрес, например, 255.255.255.255 тоже подойдёт ибо в некоторых системах 0.0.0.0 зарезервирован и они его вписать не дают, но эта тонкость не относится к hosts.
                                                            • +1
                                                              Хех, обычно трояны-вымогатели прописывают что-то в hosts, а с таким подходом скоро появятся трояны, которые наоборот восстанавливают его в первозданном виде!
                                                              • +1
                                                                такой «троян» кстати вполне себе есть — dr.web CureIt называется. по любому чиху предлагает грохнуть hosts нафиг. может и более «полновесные» антивири такое поведение имеют, хз.
                                                                • 0
                                                                  у меня самодельная утилитка, которая добавляет в хостс строки из командной строки и автоматически контролирует целостность самого файла контрольной суммой :)
                                                          • 0
                                                            Для себя такой зверинец вывел, ни разу никаких неприятных курьезов не было:

                                                            Adblock Plus
                                                            Ghostery
                                                            Flashblock
                                                            Pure URL
                                                            • 0
                                                              Pure URL есть, а RefControl нет.
                                                              Значит, информация об источнике ссылки всё равно просачивается.
                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                              • 0
                                                                Пользуюсь Chrome'ом. У него есть опция «Block third-party cookies and site data». Блокирует сторонние куки, оставляя только текущего домена. Вручную можно разрешить. Так справляюсь с рекламой сайтов, которые посещал.
                                                                habrahabr.ru
                                                                image
                                                                • 0
                                                                  Как-нибудь на серфинге это сказывается?
                                                                  • 0
                                                                    думаю если и сказывается, то на разных «развлекательных» сайтах с сомнительным содержимым. у меня FF именно в таком режиме тыщу лет стоит и как-то пока не натыкался на глюки
                                                                • +1
                                                                  а разве это не прикрыли? у меня пример из прошлого поста открывал(и тут же закрывал, но было заметно) окно со страницей вконтакта.
                                                                  • 0
                                                                    Как блокировать их работу на стороне клиента?

                                                                    Не ходить по вебу авторизованным где бы то ни было.

                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.