За нами следят или clickjacking для бизнеса

Несколько дней назад искал зимнюю резину. Искал в поисковой выдаче Яндекса. Переходил на сайт, смотрел. Ничего не подошло, оставил дело на потом. Ничего нигде не заполнял, никому ничего не писал (это важно).Сегодня мне пишут в личном сообщении ВК:

«Вы интересовались нашим товаром на странице…. Мы можем Вам помочь… бла-бла-бла».

Я был очень удивлен. Как они узнали, что это был именно я? Начал изучать сайт магазина. На странице, кроме jquery, я.метрики и аналитики google нашел счетчик, отправляющий запросы на socgate.ru. Т.к. я ничего не заполнял, а jquery, яндекс и google вряд ли бы слили информацию магазину, то подозрения пали на socgate.ru.IP домена: 46.4.58.141На том же IP нашел: socfishing.ru

Главная socfishing.ru гласит:

image

По socgate.ru нашел заметку пользователя zenn (возможно тезка), там больше технических деталей:

http://talk.pr-cy.ru/topic/8957-kak-rabotaet-opredelenie-stranitcy-polzovatel/? p=102653

Сейчас код изменили, отловить я не смог. Но на 99% уверен, что это clickjacking.При посещении сайта впервые на странице рисуется прозрачный фрейм, к мышке «приклеивается» кнопка авторизации в ВК или вступления в группу. Далее вас уже «ведут» по сайту не как ID 327812, а как «Иван Васильевич из Москвы, женат, 2 детей. Номере телефона…».

Пугает следующее: — ничто не мешает аналогичным способом (clickjacking-ом) деанонимизировать посетителя в различных аналитиках, баннерокрутилках, RTB и т.д… В итоге они получат не просто безымянный id пользователя, а реальные ФИО, контактные данные человека. Скоро начнут звонить «вы заходили на наш сайт, но ушли, так ничего и не купив…»; — можно полностью деанонимизировать человека, собирая соответствие ников на форумах/блогах и ФИО человека. Возможно, так уже и происходит.

Какие подобные сервисы вы знаете? Как блокировать их работу на стороне клиента?

© Habrahabr.ru