22 January 2011

Полулегальное воровство печеньками

XMLshop corporate blog
Часть хабралюдей честные и бескорыстные и привлекают их всякие техническия штучкэ. Но кое-кто кое-где у нас порой и не столь бескорыстен. Честно жить не хочет. Я расскажу вам о том, как можно по сути воровать, но при этом не выходя за рамки уголовного кодекса. Эдак с $15,000,000.

Сразу: речь пойдет про cookie stuffing. Если вы это все знаете, то дальше можно не читать. Описание рассчитано и на не сильно технически подкованного пользователя. Что бы люди от бизнеса тоже поняли. Подкованым текст может показаться затянутым. Прыгайте сразу на «Техническая реализация».

Организационный аспект

Тут многие в курсе как работает обычная аффилиатская программа. Есть сайт магазина. В нем товар. Тут хозяин обнаруживает, что недурно бы еще и посетителей в этом магазине увидеть. Помимо очевидностей типа поисковиков его посещает здравая мысль: а что если за небольшую долю от выручки попросить людей приводить покупателей в магазин? Вот привел Вася покупателя в магазин, оставил покупатель в кассе 100 долларов – 10 из них Васе за маркетинг. Довольный своей идеей хозяин печатает пачку розовых карточек, на них ставится какой-то код Васи и на кассе, пробивая товар клиенту, кассир интересуется у покупателя наличием карточки. Если есть – продажа записывается Васе в актив. Позднее ему выплачивается соответствующая комиссия.
На первый взгляд хозяин ничем не рискует. Действительно, он же платит только уж из ранее полученых денег. Однако Васе недоедает бегать по морозу, ловить людей за рукав и уговаривать зайти в тыщщу лет никому ненужный магазин. Он соображает, что платят ему по сути не за привлечение клиента, а по срабатыванию триггерного механизма – наличию у покупателя розовой карточки. Возникает очевидная идея: а что если уйти с мороза, зайти в сам магазин и начать раздавать карточки прямо в очереди в кассу? И даже не раздавать, а тихонечно засовывать их людям в нагрудный карман, всем подряд. Ведь какие-то люди заходят в магазин и сами, безо всяких уговоров. И даже что-то покупают. Вот им и совать карточки. В таком случае заработки Васи резко возрастут, да и теплее в помещении. Правда вот в оффлайне, конечно, хозяин сразу заметит Васю и выгонит на три буквы. Но интернет ведь не столь прозрачен порой?

Техническая реализация

Роль розовых карточек выполняют куки. Сайт магазина генерирует ссылки вида shop.com/?affID=12, где 12 это ID Васи. shop.com/?affID=12 показывает посетителям тоже самое, что и просто site.com. Только теперь скрипт магазина еще и ставит посетителю куку, скажем asdf, и пишет у себя в базе: в 12:12:12 12/12/12 Вася прислал нам посетителя и мы поставили ему куку asdf. Параллельно поток уже сделавших заказы проходит через страницу shop.com/thankyou, где сообщается что спасибо мол, дорогой покупатель, Ваш заказ номер 123 на $100 оформлен и скоро будет доставлен. А в это время под столом скрипт магазина проверяет: а нет ли у покупателя какой-то из ранее поставленных кук? И опа, обнаруживается что в 12:22:12 12/12/12 на странице подтверждения платежа появился свежезаплативший 100 долларов тот самый носитель куки asdf, то есть посланый Васей клиент. После этого сверяется время: между появлением тогда еще будущего покупателя и собственно покупкой прошло 10 минут. Это меньше ранее оговореного срока, а стало быть покупка засчитывается за Васей. N.B. обычно этот срок исчисляется неделями. 30 дней практически стандарт.
Казалось бы все хорошо и хозяин shop.com ничем не рискует. Ведь он платит только за посетителей, которых Вася фактически прислал на сайт магазина. Причем только за тех, кто превратился в покупателя. В его представлении Вася разместил на vasya.com ссылку типа <a href='http://www.shop.com/?affID=12'>Самый лучший магазин!</a>
И изо всех сил бегает по морозному интернету уговаривая людей ознакомиться с его рекомендацией. А в это время Вася начинает экспериментировать. Для начала он ставит у себя на сайт не совсем ссылку, а глубоко в подвал следующий код:
<img src='http://www.shop.com/?affID=12' height='1' width='1'></img>
Теперь, браузер посетителя Васиного сайта видит команду изобразить где-то в подвале картинку 1*1, а собственно файл картинки взять по ссылке shop.com/?affID=12. Он послушно бежит на это ссылку, забирает оттуда контент, но это оказывается не картинка вовсе. Браузер посетителя Васиного сайта выводит сообщение “картинка ёк” – в отведенном для этого пространстве в один пиксель размером. Короче посетитель даже не подозревает о существовании какого-то там shop.com, однако бразуер его сообщениями с сервером shop.com обменялся. Страничку shop.com/addID=12 загрузил. А следовательно получил свою куку от shop.com. Таким образом Вася, как видите, решил вопрос незаметного засовывания тех самых розовых карточек в кармашки прохожим. Если так случится, что этот самый посетитель сайта vasya.com в течении оговоренного срока таки что-то купит на shop.com – Вася получит свою долю. И все это несмотря на то, что на самом деле он никакой рекламы для shop.com не делал вообще. И ни одним кликом трафика не пожертвовал. Конечно на img свет клином не сошелся. Тут можно использовать яваскрипты или что-то еще. Но пока оставим это за рамками.

Подбираемся к кассе

Засовывать куки насильно мы уже умеем. Теперь вопрос как подобраться к кассе, что бы засовывать карточки именно идущим платить. Подробнее этот вопрос тоже будет в следующих сериях, а пока кратко, чисто идею. Предположим что Вася не просто Вася, а вообще-то прямой конкурент хозяина shop.com. Они оба продают крокозябрики и страшно толкаются в поисковой выдаче. Покупатели потенциальные смотрят почем крокозябрики у Васи, почем у хозяина и как-то решают у кого брать. То есть вероятность того, что покупатель shop.com был незадолго до покупки на vasya.com, относительно высока. Вот Вася записывается в аффилиаты к конкуренту. Теперь если покупатель выбрал Васю, то Вася оставляет себе всю прибыль. Если покупатель выбрал хозяина, то Вася получает хотя бы комиссию. Конечно то, что Вася имеет кучу тематического трафика – это некоторое допущение. Но предположим что Вася ловкий малый, просто пошел к конкурентам shop.com и за скромную мзду договорился о размещении у них такого вот кода. В общем подробнее об этом в следующих сериях, если тема интересна.

Финансовая сторона

Ради чего все это? Сколько там денег то на этой мелочевке получить можно. Откуда 15 миллионов в аннотации взялось, собственно? 25 августа 2008 года Ebay подал в суд на некоего господина по имени Shawn Hogan и его компанию Digital Point Solutions. Согласно утверждениям Ибея Шон наказал их на 15,5 миллионов долларов в период с 2006го по середину 2007го года. И не он один такой. Мистер Dunning, второй упомянутый в иске, отличился на 5,3 миллиона. Далее по списку. Есть ради чего вникать в детали.

Юридическая сторона

А не посадят? Вопрос правильный. Ответ на него, к сожалению, неправильный. Несмотря на то, что такие операции по сути своей являются воровством, однако это тема новая и юристы до сих пор не определились с квалификацией этого дела. Гражданский иск Ибея к Шону и сотоварищам до сих пор не разрешился ничем. Попытка уголовного преследования этих людей однако, закончилась более удачно. 24го июня 2010 их наконец взяли в оборот. Но только изза нескольких формальных зацепок. Cамо преследование Шона и друзей стало возможным только потому, что они вообще всякий страх потеряли. Конкретно Шон организовал рекламную сеть, куда открыто приглашал людей которым столь же открыто расписывал: «Давайте воровать у Ибея вместе!». И все это в штатах. В других странах вообще никаких проблем нет.

Дополнительные ссылки:
1. тем кто по-английски читает: жалоба Ибея на всю эту братию. Первоисточник, а посему написан тяжелым юридическим языком.
2. Куча примеров технического исполнения стаффинга. Собственно там же англоязычное описание.
3. Есть еще обвинения Даннинга (миллионы перечислены на 3ей странице) и Хогана (миллионы тоже на 3ей странице, в 7ом пункте).

P.S. Не надо все бросать и бежать воровать миллионы. Описанная выше схема, вот именно так, как она есть, ловится в 30 секунд.
В принципе рассказаного достаточно, но если хабралюдям интересно, то я могу отдельно рассказать как такое ловится, как обходить ловцов и как масштабировать процесс до неприлично богатого уровня. И как ловить уже и такое. Если интересно — говорите, продолжу.
Tags:аффилиатcookieкриминал
Hubs: XMLshop corporate blog
+278
54.1k 279
Comments 135