זה יכול לקרות לכולנו. זה כנראה קורה לאחד מכל שלושה לקוחות, שמשוטטים עכשיו בחנויות האונליין בימי חגי הקניות המסעירים: בשולי דפי האתר, לפעמים גם בין תמונות המוצרים שמוצעים למכירה, מבצבצות להן תמונות של מוצרים דומים, זולים ואטקרטיביים למראה. לחיצה עליהם תוביל אותנו למקומות לא צפויים, לאתרי כריית ביטקוין, לקופות עם מוטיבציות מפוקפקות.
התופעה הזו נקראת "חטיפת לקוחות" והיא אחת הרעות החולות של עולם הסחר המקוון – שליפת גולשים מהאתר בו הם נמצאים על ידי פיתוי באמצעות מוצרים ומחירים אטקרטיביים למראה. החטיפה מתבצעת על ידי "הזרקת קוד": מישהו מוסיף שורות קוד (קטעי תוכנה) לאתר, שלא היו בו במקור. הקוד הזה מציג את המודעות הפולשניות ודואג גם להעביר את הלקוח לאתר המזויף. הזרקת הקוד מתרחשת לעיתים על ידי תקיפת האתר בכלי סייבר, אבל הרבה פעמים הלקוחות מביאים, ללא ידיעתם, את הצרה הזו איתם, כשהקוד הזדוני נמצא בתוך תוסף דפדפן תמים למראה שהם התקינו לפני כן.
על פניהם, אתרי המכירות ברשת הם המקומות הכי כיפיים לשוטט בהם, ממש כמו סיבוב שופינג ברחוב אוקספורד בלונדון או בקניון דובאי. האמת היא, שזה ג'ונגל שם. סבך שורות הקוד שמסתתר מאחורי החזית הנוצצת של האתר עלול לייאש גם מתכנת מנוסה: לצד הקוד של האתר עצמו פועלים קודים של שירותים שהאתר מפעיל, ולעיתים אלה מאפשרים לחברות נוספות להחדיר את הקוד שלהן.
יש שירותים שמופעלים באתרים, שמטרתם לאסוף פרטים שלנו הגולשים, שירותים אחרים מנסים לעקוב אחר דרך הגלישה והשימוש באתר כדי להפיק מידע יותר מתוחכם כמו מידת הבשלות לקנייה ומצב הרוח שלנו. השירותים האלה שותלים קוד מעקב בדפדפן שלנו, ויש הרבה סוגים עם שמות נחמדים למראה ומסוכנים למגע: עוגיות, עוקבנים, קוראי טביעות אצבע, משואות רשת. חוץ מכל אלה, בתוך הספגטי הזה גם פועלים לעיתים קודים זדוניים ממש, שגורמים לנו נזק. השורה התחתונה צריכה להדאיג: אנחנו לא באמת יודעים מי עושה לנו איזו מניפולציה בזמן הגלישה. אבל אפשר להיות בטוחים שמישהו עושה את זה, והאמת - שהרבה מהם עושים את זה במקביל.
מחקר של גוגל העלה שעשרה אחוזים מאתרי האינטרנט מכילים קוד זדוני, והחברה בדקה 4.5 מיליון אתרי אינטרנט. מרבית הקוד הזדוני נמצא בקטעים שלא היו בשליטת האתר. חברת אבטחת המידע מרשל מצאה ש-70 אחוז מהאתרים המכילים קוד זדוני, הם אתרי אינטרנט לגיטימיים שנפרצו. חוקרי הסייבר של קספרסקי מצאו מקרים בהם עבריינים גנבו פרטים אישיים ופרטי כרטיסי אשראי על ידי הזרקת קוד זדוני נסתר, שמעתיק את פרטי הלקוח בעת הקלדתם ושולח אותם ל-google Analytics, לא פחות, לחשבון תמים שפתחו העבריינים.
קרן אופק גרנוב, ראש תחום זיהוי ומניעת הונאות באאוטבריין, אומרת שבשנת 2019 שוק ההונאות בפרסום הדיגיטלי גלגל כ-20 מיליארד דולר והמספר הזה צפוי לעלות בקצב מהיר. "אתרי אינטרנט קיימים כדי לייצר רווחים. זו רשת סבוכה של אינטרסים, וקיימות בה המון הונאות. כולם מנסים להתמודד מול הונאות, גם חברות ענק", היא אומרת. ההונאות האלה כוללת גניבת זהות, קניית מוצרים בכרטיסי אשראי גנובים, קניית לייקים, צפיות מזוייפות על ידי בוטים, השתלטות על אתרים ועוד.
מלכודות באתר
חברת נמוגו (Namogoo) הישראלית מגינה על הלקוחות שלה, חנויות מקוונות גדולות וקטנות, מפני נסיונות חטיפת לקוחות. חמי כץ, מייסד שותף ומנכ"ל החברה, אומר שבימים רגילים כל לקוח חמישי נחטף, אבל בתקופה הנוכחית זה עלול להיות כל לקוח שלישי. "מדובר בהונאה שמגיעה מאפליקציות, תוספים וסרגלי כלים, שהמשתמשים מורידים בחינם ואלה מאפשרים למזריקי המודעות להתחקות אחר התנהגות הגלישה וההעדפות שלהם ולהתאים להם פרסומות", הוא אומר.
נמוגו מזהה את המתקפות האלה באמצעות שירות שיושב בענן, ומסתכל על התנהגות האתר כמו הלקוח. החברה גם יודעת לסייע לחנויות לצמצם את תופעת נטישת העגלה, כשלקוחות מוסיפים מוצרים אבל עוזבים בלי לקנות בסופו של דבר. את זה היא עושה על ידי זיהוי הלקוח, מעקב אחרי התנהגותו והבנת הכוונה שלו: לקנות, או רק לשוטט. "יש לנו דאטה אדיר על יותר מ-350 מיליון משתמשים בחודש, זה המון אנשים", אומר כץ.
רועי שרייבר, מנהל אקסנצ'ר סקיוריטי ישראל (לשעבר מגלן) אומר כי לפי סקר שערכה החברה 93 אחוזים מהלקוחות מעוניינים לקבל פרסומות שרלוונטיות להם, אבל מצפים שהפעילות תהיה מוצהרת ושקופה. לפי הסקר המודעות לקיומן של עוגיות מעקב (Cookies) מביאה 51 אחוזים מהמשתמשים למחוק עוגיות באופן סדיר. זה אכן מפחית מהמעקב אבל פוגע בהתאמת המוצר ללקוח.
העניין שהוא שהעוגיות הן רק קצה הקרחון. מתחת לפני השטח מסתתרים עוד הרבה מלכודות. "כשאני נכנס לאתר תוכן הוא לא עולה אצלי לבד", אומר שרייבר, "עולים איתו עוד שורה של דברים שעולים אוטומטית בלי ידיעתי בכלל. יש הרבה קוד צד ג' שהאתר מעלה, שלא הוא ייצר. וחברות הצד ג' גם מאפשרות לחברות צד ד' להכניס דברים. האם האתר יודע בכלל על חברות צד ד'? כנראה שלא יודעים".
לדבריו, אתרים רבים לא מודעים לסכנות שהם מציבים בפני המשתמשים שלהם: "הרבה פעמים התוכן דינמי, אתה לא יודע מה בפועל יקרה כשהלקוח ייכנס אליו. בריטיש איירוויז נקנסו במאות מליונים על פגיעה בפרטיות הלקוחות אחרי שתוקפים נכנסו דרך רכיב צד ג' שהיה באתר של החברה, ומשם הגיעו לכל פרטי הלקוחות. אנשים יודעים להיזהר מלינקים במייל אבל לא מודעים שהמתקפה יכולה לבוא ממשהו שהתקינו בדפדפן".
צריך לחלק את התמונה לשניים: שירותי מעקב, שמטרתם להתאים מוצרים ומודעות למאפיינים שלנו מול פעולות הונאה. את הסוג הראשון אפשר למצוא בכל אתר כמעט, כולל אתרי תוכן וחדשות הגדולים בעולם, הניו יורק טיימס, CNN, גם ynet. הסוג השני הוא בלתי לגיטימי: הוא מנצל את חוסר המודעות להונאה והולכת שולל.
אלכס הינקליף, אנליסט לניהול סיכונים בחברת הסייבר פאלו אלטו, אומר שקשה לזהות את ניסיונות המעקב למי שאינו מומחה בתחום. "למרבה המזל, היום מערכות ההפעלה ודפדפני האינטרנט מספקים אבטחה די טובה כברירת המחדל", הוא אומר, "יש כמובן צעדים נוספים כמו התקנת תוכנת אבטחה או אנטי-וירוס. אפשר גם לעדכן בצורה ידנית את ברירות המחדל שבדפדפן, אבל האופציה הזו יותר בעייתית כי הסרת רכיבים מסוימים כמו Java Script יכולה להשפיע לרעה על חווית הגלישה באתרים רבים".
לדבריו, חלק מהתכונות והתוספות של הדפדפנים עלולות להיות זדוניות, ולגרום לחשיפה של הנתונים שאנחנו מזינים באתר: "זה די מסוכן. יחד עם זה, הדפדפנים עוקבים אחר התוספים ופועלים להסרת ועצירת המסוכנים ביניהם. בנוסף, חלק מהדפדפנים המודרניים יכולים לבדוק אם חשבונות או אישורים כלשהם התגלו ברשימות של נתונים שדלפו מאתרים, והתפרסמו בתקשורת. זה קצת כאב ראש לבדוק את זה לפני כל קנייה באינטרנט, אבל אני בהחלט ממליץ לעשות סקירה כזאת אחת לתקופה".
אפל מזעזעת את השוק
בחלק מהמקרים, החברות שמרפדות את האתרים בקוד משלהן צועדות על הגבול הדק שבין פעילות לגיטימית לטובת הגולשים לבין מעקב אחריהם ללא ידיעתם לצורך הפקת רווחים שלא לדבר על מקרים של ניצול הגולשים למטרות שלא הוצהרו, למשל כריית ביטקויין.
שירות הולה (Hola) מוכר למשתמשים רבים כתוסף דפדפן או אפליקציה שמאפשרים גלישת VPN, הסוואת מיקום הגלישה וכך כניסה לשירותים שאינם זמינים בישראל. מה שהגולשים פחות מודעים לו זה שחברת לומינטי שפיתחה את הכלי בעל השירות הספק-לגיטימי, בנתה למעשה רשת P2P, שבה המחשב שלהם עלול לשמש כלי לכניסה לאתרים על ידי שותפי הרשת, ללא ידיעתם. העובדה הזו נחשפה במתקפת בוטנט על אתר בשם בשם 8chan, שבה היו שותפים כל משתמשי הולה ללא ידיעתם. בלומינטי הסבירו אז ששירות החינם אולה ממומן באמצעות שירותי הרשת שנמכרים בכסף, ואחד המשתמשים בתשלום הוא שאחראי למתקפה.
לעיתים הזדוניות היא עניין שלה הגדרה. חברת ברנדטואטל (BrandTotal) הישראלית זכתה לחשיפה רבה בתקשורת הישראלית והעולמית בזכות הטכנולוגיה שפיתחה לאיסוף מודיעין אחר קמפיינים מטורגטים אישית, שלא ניתן לדעת עליהם דבר למעט אלה שנחשפים אליהם. אבל תביעה של פייסבוק כנגד החברה מעלה כמה סימני שאלה סביב שיטות העבודה של החברה. לפי התביעה החברה עסקה ב"קצירת נתונים" (Data Scraping) של משתמשי פייסבוק, אינסטגרם, טוויטר, אמזון ועוד באמצעות אפליקציה שהציעו למשתמשים שלהם. האפליקציה שילמה למשתמשים עבור דירוג מודעות שהגיעו אליהם, אבל באותו זמן שתלה תוסף שקצר את פרטי המשתמשים וחבריהם.
מול השצף-קצף בה מתקדמת תעשיית הפרסום המקוון והקצב המהיר אף יותר של תעשיית ההונאות, הרגולטורים מתקדמים לאיטם. האיחוד האירופי כבר הגביל את השימוש בעוגיות וגם תקינת ה-GDPR עוזרת במידה מסוימת. כמוה גם החקיקה בנושא זה שהופעלה בקליפורניה. אבל מה שכנראה מחולל מהפיכה אמיתית בכללי המשחק היא החלטתה של חברת אפל להגביל את המידע שניתן לקבל על הגולשים באייפון, זאת באמצעות בקשת IDFA – "זיהוי למפרסמים".
ההחלטה הזו נוגעת אמנם רק לגלישה מהמכשיר הנייד, וללקוחות בעלי אייפון בלבד - גוגל עוד לא אמרה את שלה בתחום הגבלת המידע באנדרואיד – אבל היא מחוללת סערה גדולה דיה בגלל תקציבי הפרסום הגדולים המופנים בדיוק לפלח השוק הזה, שמאופיין ביכולת קנייה משמעותית. עם IDFA, יכולת הטרגוט של משתמשים נפגעת אנושות, ואיתה תעשייה של מיליארדים.
חברת פייבר (Fyber) מפעילה כלים שמאפשרים ליצרני משחקי מובייל וחברות נוספות להרוויח כסף מהמשתמשים. יוני ארגמן, סגן נשיא לשיווק ואסטרטגיה בחברה אומר שמדובר בתעשייה שהיקף הפרסום בה עבר את הפרסום באתרי האינטרנט ומתקרב להיקפי הפרסום בטלוויזיה. לדבריו הצעד של אפל, משמעותו לא רק פגיעה בחברות המפרסמות, אלא גם במשתמשים כי התמריץ הכלכלי שהיה לפיתוח המשחקים לא יהיה קיים יותר והתוצאה תהיה הרבה יותר משחקים שידרשו תשלום.
אחד הפתרונות שמציעה פייבר היא שימוש באותם פרטי מידע שאפל כן מוכנה לשחרר, כמו גודל הזיכרון, חיי הסוללה, שימוש באזניות וסוג החיבור לרשת, שמאפשרים לבנות פרופיל של הלקוח מבלי לדעת את זהותו המלאה. שרייבר אומר שהפרסום לא ייעלם בגלל השינויים האלה: "בעולם ללא עוגיות יאלצו יותר משתמשים להזדהות כתנאי שימוש באפליקציות וגם יזהו אותם לפי מה שהם עושים".