Скрытый мобильный редирект (wap-click) в Chaser.ru

Продолжаем знакомить читателей с виджетами, которые угрожают безопасности сайта или посетителей. Сегодня речь пойдет о сервисе обратного звонка Chaser.ru. Сервис предлагает вебмастеру установить виджет на коммерческий ресурс для повышения конверсии.

Пару дней назад к нам обратился клиент с жалобой на скрытый мобильный редирект. По его словам, на сайте происходило перенаправление посетителей, приходящих с мобильных устройств, на сервис платных подписок (коротко — wapclick-редирект). Как это обычно бывает, перенаправление происходит один раз для мобильного устройства в сутки. И только, если посетитель зашел через мобильный интернет, не через WIFI.

UPD 27 Марта 18:30 — разработчик сервиса обнаружил взлом сервиса и устранил проблему:

Сканирование файлов сайта не выявило вредоносных скриптов, которые могли бы вызывать редиректы, поэтому следующим шагом мы выполнили анализ трафика в момент загрузки страницы сайта.

По результатам анализа был обнаружен wapclick-редирект, происходящий по следующей цепочке:

chaser.ru » mc.yaship.ru » mobempire.ru » watchland.space » moipodpiski.ssl.mts.ru

Оказалось, что при заходе с разных браузеров, виджет Chaser.ru подгружает различные версии  javascript-файла http://chaser.ru/widget/1.1/js/chaser.js. Версия для мобильных устройств содержит динамический инжект скрипта с домена mc.yaship.ru (фишинговый домен, маскирующийся под Яндекс.Метрику). Данный скрипт, в случае загрузки из 3G/LTE сети оператора сотовой связи выполняет редирект на вапклик-партнерку mobempire, а затем перенаправляет посетителей на платные смс-подписки, про которые мы уже не раз писали.

Детально сессия HTTP выглядит следующим образом:

Если открыть сайт в обычном браузере, то инжекта mc.yaship.ru в файле не будет. При загрузке файла с мобильного устройства в коде статического файла появляется фрагмент, который выделен на скриншоте:

Это не первый случай, когда, казалось бы, легитимные виджеты доставляют проблемы веб-мастерам и владельцам коммерческих сайтов. Причем, источником редиректа по сути становится сам веб-мастер, который добровольно размещает опасный виджет на страницах сайта. Проблемы, на которые вебмастер обрекает свой сайт в первую очередь касаются санкций со стороны поисковых систем: поисковые системы умеют отлично обнаруживать «вапклики» и другие виды скрытых редиректов, в результате чего наказывают владельцев сайта, исключая сайты из мобильной поисковой выдачи или пессимизируя в результатах поиска.

Дополнительно хотелось бы обратить внимание, что сейчас набирают популярность виджеты обратного звонка, использующие «кликджекинг» для распознавания профиля посетителя в соцсетях. За это «читтерство» поисковая система также жестоко банит сайт. Будьте осторожны!

Мы рекомендуем устанавливать на сайте только проверенные виджеты, которые работают только через открытые, честные и «белые» схемы, без скрытых редиректов или кликджекинга.

А для проверки благонадежности сервиса можно использовать наш веб-сканер ReScan.Pro или обратиться к нам в Ревизиум.