Czy cookie stuffing to już przeszłość?
źródło: opracowanie własne
Cookie stuffing to popularna forma oszustwa stosowana głównie w kampaniach dostępnych w sieciach afiliacyjnych. W Polsce szczególnie głośno na jego temat było w 2018 roku przy okazji wykrycia przez grupę kapitałową 4finance (wtedy właściciela takich marek jak Vivus i Zaplo) tak zwanej „afery ciasteczkowej”. Tego typu fraudy są nierozerwalnie związane z plikami cookies, które stają się powoli technologią nie tylko przestarzałą, ale też niepożądaną (ze względu na potrzebę ochrony prywatności użytkowników) i w najbliższym czasie miały zostać wyeliminowane z większości znanych przeglądarek internetowych (w tym przede wszystkim Google Chrome). Czy to oznacza, że cookie stuffing to już przeszłość?
Czym właściwie jest cookie stuffing?
Nadziewanie ciasteczek, a więc tak zwany cookie stuffing, to fraud marketingowy dotyczący głównie marketingu afiliacyjnego i polegający na podrzuceniu użytkownikowi odwiedzającemu daną stronę dodatkowych plików cookies stron trzecich, niezwiązanych z tą stroną. Pliki cookies, a więc niewielkie fragmenty kodu, które dana witryna zostawia w przeglądarce użytkownika, zbierają informacje o logowaniach i preferencjach i z założenia mają ułatwiać użytkownikowi życie – zapamiętują jego loginy i hasła, wyświetlają spersonalizowane reklamy czy też treści. Przeważnie internauci są informowani, kiedy i w jakim celu ciasteczka danej strony zostają zapisane na ich urządzeniach (na przykład w komunikacie, że dana strona używa plików cookies czy też dzięki informacjom zawartym w polityce cookies), ale jeśli doszło do cookie stuffingu internauta raczej nie będzie świadomy, że bonusowe pliki zostały zapisane w jego przeglądarce internetowej.
Czemu ma służyć to oszustwo?
Marketing afiliacyjny, inaczej zwany marketingiem partnerskim, zakłada, że reklamodawca szuka zewnętrznych partnerów (tak zwanych wydawców), którzy dostarczą mu nowych potencjalnych klientów lub wygenerują sprzedaże. W całym tym procesie pośredniczą też sieci afiliacyjne, a więc platformy na których wydawcy mogą nawiązać współpracę z wybranymi reklamodawcami. To właśnie sieci afiliacyjne informują reklamodawcę, od którego wydawcy pochodził dany klient lub sprzedaż – a ustalają to właśnie dzięki plikom cookies, bo to w nich zawarte są dane na temat ścieżki konwersji (a więc drogi jaką przebył internauta od kontaktu z daną reklamą do kliknięcia, zakupu lub wypełnienia formularza kontaktowego na stronie). Do cookie stuffingu dochodzi, kiedy osoba odwiedza stronę danego wydawcy poświęconą na przykład motoryzacji a on zamiast zostawić w przeglądarce tej osoby pliki cookies dotyczące tej strony zamieszcza przy okazji też te zawierające fragmenty kodów innych kampanii w których bierze udział – na przykład ekskluzywnych ekspresów do kawy. W efekcie, jeśli dany internauta za tydzień zobaczy gdzieś reklamę tych drogich ekspresów do kawy i dokona zakupu - sprzedaż może zostać niesłusznie przypisana oszustowi, mimo, że nigdy nie próbował on namówić tego konkretnego internauty na zakup ekspresu. Stanie się tak ponieważ pliki cookies z kodem kampanii reklamowej ekspresu do kawy fraudstera będą wcześniejsze niż te zainstalowane przez wydawcę, który rzeczywiście wygenerował sprzedaż. Oszust ukradnie więc prowizję należną komu innemu.
Oczywiście z biegiem czasu sieci afiliacyjne starały się przeciwdziałać cookie stuffingowi na przykład dokładnie analizując ścieżkę konwersji i precyzyjnie określając, który wydawca najbardziej się do niej przyczynił. Pojawiły się też koncepcje przyznawania częściowych prowizji różnym wydawcom, którzy w różnych momentach ścieżki konwersji namawiali internautę na zakup danego produktu. Oszuści korzystali jednak z coraz bardziej rozbudowanych kodów w umieszczanych przez siebie plikach – potrafiły one na przykład czekać w uśpieniu, a następnie aktywować się dopiero kiedy internauta odwiedzi daną stronę.
Koniec plików cookies?
Konieczność wyeliminowania plików cookies już od lat dostrzegają internetowi giganci. Na przykład Apple, które umieściło w aktualizacji iOS 14.5 nowe narzędzie do ochrony prywatności – funkcję App Tracking Transparency. Jej głównym założeniem jest oddanie kontroli nad gromadzonymi na ich temat danymi użytkownikom, którzy muszą zatwierdzić lub odrzucić IDFA dla każdej pobieranej aplikacji. Skutkiem takiego działania jest to, że każda apka, która chce być dostępna w urządzeniach z tą aktualizacją musi wyjaśnić do czego zamierza używać pobieranych danych i uzyskać od użytkownika zgodę na śledzenie jego aktywności we wskazanym zakresie.
The Trade Desk już od kilku lat pracuje nad swoim ujednoliconym identyfikatorem (Unified ID 2.0.), który ma zastąpić pliki cookies. Wykorzystuje on tokeny tożsamości tworzone z zaszyfrowanych adresów e-mail lub numerów telefonów, które podawane są dobrowolnie przez użytkownika przy logowaniu do witryny internetowej lub aplikacji. Następnie podane dane są szyfrowane i tworzy się identyfikator. Technologia Unified ID 2.0. zostanie bezpłatnie udostępniona wszystkim zainteresowanym, ale używające go witryny będą musiały zadeklarować przestrzeganie kodeksu postępowania oraz wyrazić zgodę na regularne audyty.
W styczniu 2020 roku Google ogłosił, że do stycznia 2022 roku zamierza wyeliminować ze swojej przeglądarki Chrome ciasteczka stron trzecich, a pracę nad projektem Privacy Sandbox rozpoczęły się jeszcze wcześniej, bo w sierpniu 2019 roku. To ogromna zmiana dla reklamodawców - dotychczas cookies pozwalały na śledzenie zachowań internautów, co było nieocenioną pomocą w ich profilowaniu. Ale nie jest to jednoznaczne z tym, że nastąpi koniec personalizowanych reklam. Zamiast gromadzić dane o pojedynczych osobach Google będzie „śledził” całe grupy użytkowników o zbliżonych zainteresowaniach. Dopiero takie zanonimizowane dane będą udostępniane reklamodawcom. Wszystko to będzie możliwe dzięki zastosowaniu technologii FLoC - Federated Learning of Cohorts, czyli techniki uczenia maszynowego, pozwalającej grupować internautów na podstawie ich historii przeglądania. W dużym uproszczeniu zakłada ona, że przeglądarka stworzy wielowymiarową, matematyczną reprezentację wszystkich potencjalnych historii przeglądania zwane kohortami zainteresowań, a następnie na podstawie algorytmu FLoC obliczy i wybierze tę dla niej najtrafniejszą. Nie istnieje jeden model FLoC – każda przeglądarka będzie musiała samodzielnie wybrać sposób tworzenia kohort. Na przykład Chrome ma własną usługę FLoC, ale FireFox może zdecydować się na FLoC z zupełnie innymi algorytmami.
Choć zmiany miały wejść w życie najpóźniej na początku 2022 r. w czerwcu tego roku Google ogłosił, że wydłuża ten termin do końca 2023 r. Powodem takiej decyzji jest to, że choć osiągnięto znaczący postęp w ramach Privacy Sandbox, gigant potrzebuje więcej czasu, aby sprawić, że cały ekosystem będzie właściwie funkcjonował. Warto podkreślić, że tzw. „własne” pliki cookie nie będą blokowane ani wycofywane przez Google.
Czy wycofanie plików cookies oznacza koniec oszustwa nazywanego cookie stuffingiem?
Zapewne tak, choćby dlatego, że już sama nazwa wskazuje na wykorzystanie mechanizmu plików cookies. Nie dajmy się jednak zwieść – z pewnością miejsce nadziewania ciasteczek szybko zajmie (albo już zajmuje) inna forma oszustwa – zapewne znacznie bardziej nowoczesna i trudniejsza do wykrycia. Dodatkowo przesunięcie terminu wycofania plików cookies stron trzecich w przeglądarce Google Chrome daje fraudsterom czas na stworzenie nowej metody, która zastąpi cookie stuffing.