Открыть сервис

Cookie stuffing

Cookie stuffing — это вид мошенничества в сфере интернет-маркетинга, при котором на устройство пользователя принудительно записываются сторонние файлы cookie (куки) партнёрской программы без его ведома и согласия, с целью незаконного присвоения комиссионного вознаграждения за фиктивное привлечение клиента. Данная техника относится к категории кликфрода (click fraud) и является нарушением условий использования большинства партнёрских сетей и рекламных платформ.

История возникновения

Практика cookie stuffing возникла в начале 2000-х годов, одновременно с распространением партнёрских программ (аффилиат-маркетинга). Первоначально партнёрские сети использовали простые механизмы атрибуции: комиссия начислялась тому партнёру, чей cookie был записан на устройство пользователя последним перед совершением покупки (модель «last click wins»). Это создало уязвимость, которой начали злоупотреблять недобросовестные веб-мастера.

В 2005–2007 годах, с ростом популярности контекстной рекламы и баннерных сетей, случаи cookie stuffing участились. Крупные рекламные платформы, такие как Google и Amazon, начали внедрять алгоритмы обнаружения аномалий в трафике. В 2011 году компания Google (организация признана иноагентом в РФ) обновила политику AdSense, прямо запретив использование cookie stuffing и других форм мошеннического трафика.

Технические методы реализации

Загрузка через скрытые элементы

Злоумышленник размещает на веб-странице невидимый элемент (пиксель, iframe размером 1×1 пиксель, или скрытый скрипт), который при загрузке страницы отправляет запрос на URL партнёрской ссылки. Браузер пользователя, выполняя этот запрос, получает и сохраняет cookie партнёра. Пользователь не видит и не осознаёт этого процесса.

Эксплойты браузеров

Некоторые схемы используют уязвимости в браузерах или плагинах (например, Adobe Flash, Java), позволяющие записывать cookie без отображения контента. С развитием HTML5 и политики безопасности браузеров (SameSite, блокировка сторонних cookie) этот метод стал менее эффективным.

Использование редиректов

При переходе по легитимной ссылке пользователь сначала попадает на промежуточный URL, который выполняет запись cookie партнёра, а затем перенаправляет на целевой сайт. Такие редиректы могут быть многоступенчатыми, чтобы скрыть источник.

Вредоносное ПО

В редких случаях cookie stuffing реализуется через трояны или расширения браузера, которые автоматически подставляют партнёрские cookie при посещении сайтов электронной коммерции.

Влияние на участников рынка

Для рекламодателей

Cookie stuffing приводит к прямым финансовым потерям: рекламодатель выплачивает комиссию за фиктивные конверсии, которые не приносят реальных продаж. Искажается статистика эффективности рекламных кампаний, что затрудняет анализ окупаемости инвестиций (ROI). По оценкам аналитиков, в 2010-х годах до 10–15% трафика в некоторых партнёрских программах было мошенническим.

Для добросовестных партнёров

Мошенники, используя cookie stuffing, «крадут» конверсии у честных веб-мастеров. Если пользователь сначала перешёл по ссылке добросовестного партнёра, а затем мошенник перезаписал cookie, комиссия уходит злоумышленнику. Это подрывает доверие к партнёрским программам и снижает мотивацию легитимных участников.

Для пользователей

Хотя пользователь напрямую не теряет деньги, его устройство может быть загружено лишними скриптами и запросами, что замедляет работу браузера. В некоторых случаях cookie stuffing сопряжён с установкой вредоносного ПО. Кроме того, нарушается конфиденциальность: сторонние cookie могут использоваться для отслеживания поведения без согласия.

Методы обнаружения и защиты

Анализ логов сервера

Рекламодатели и партнёрские сети анализируют журналы запросов: аномально высокая частота запросов с одного IP-адреса, наличие скрытых рефереров, нестандартные User-Agent строки могут указывать на cookie stuffing.

Использование JavaScript-проверок

Современные партнёрские платформы внедряют JavaScript-код, который проверяет видимость элемента, через который произошёл переход. Если элемент невидим (например, скрыт через CSS), система может отклонить конверсию.

Блокировка сторонних cookie

С 2020 года ведущие браузеры (Safari, Firefox, Chrome) начали поэтапно ограничивать сторонние cookie по умолчанию. Это существенно затрудняет cookie stuffing, так как мошенники не могут записать cookie с домена партнёрской сети на стороннем сайте.

Модели атрибуции с несколькими касаниями

Переход от модели «last click» к мультитач-атрибуции (multi-touch attribution) снижает эффективность cookie stuffing: комиссия распределяется между несколькими точками взаимодействия, а не присваивается только последнему партнёру.

Правовые аспекты

В большинстве юрисдикций cookie stuffing квалифицируется как мошенничество (fraud) или компьютерное преступление. В США Федеральная торговая комиссия (FTC) рассматривает такие действия как нарушение законов о защите прав потребителей. В России, согласно статье 159 УК РФ («Мошенничество»), действия, направленные на хищение чужого имущества путём обмана, могут повлечь уголовную ответственность. Однако на практике привлечение к ответственности за cookie stuffing затруднено из-за сложности доказывания умысла и установления личности злоумышленника.

В 2014 году в США было возбуждено дело FTC против компании LeanSpa, которая использовала cookie stuffing для начисления комиссий фиктивным партнёрам. Суд обязал ответчиков выплатить более 7 миллионов долларов компенсации.

Сравнение с другими видами мошенничества

Cookie stuffing vs. Click injection

Click injection (инъекция кликов) — более агрессивный метод, при котором мошеннический клик генерируется программно, часто без участия пользователя. Cookie stuffing, напротив, использует легитимные действия пользователя, но незаконно присваивает себе атрибуцию.

Cookie stuffing vs. Ad stacking

Ad stacking (наложение объявлений) — размещение нескольких рекламных объявлений друг на друга, из которых видимо только верхнее. Это мошенничество с показами, а не с кликами, и не связано напрямую с cookie.

Будущее практики

С развитием технологий идентификации пользователей (например, Google Topics API, Apple SKAdNetwork) и постепенным отказом от сторонних cookie, традиционный cookie stuffing теряет актуальность. Однако появляются новые методы атрибуционного мошенничества, основанные на использовании идентификаторов устройств, fingerprinting браузера и серверных postback-запросов. Партнёрские сети продолжают совершенствовать системы обнаружения аномалий, применяя машинное обучение для анализа паттернов трафика.

Источники

  1. Федеральный закон РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ.
  2. Уголовный кодекс Российской Федерации, статья 159 «Мошенничество».
  3. Федеральная торговая комиссия США (FTC), дело «FTC v. LeanSpa, LLC» (2014).
  4. Документация Google AdSense: «Политика в отношении мошеннических кликов» (2011, обновления 2023).
  5. Исследование «Click Fraud: The Economics of Deception» (Journal of Marketing Research, 2018).
  6. Отчёт «The State of Digital Ad Fraud» (Association of National Advertisers, 2020).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →