К — коды-перехватчики на сайтах: как превратить уникальную базу клиентов в публичный справочник и открыть ее конкурентам
ADPASS и «Постмаркетинг» представляют выпуск #9 рубрики «Энциклопедия обмана». Главное, вовремя удалить с сайта рекламодателя коды, которые агентство установило с благими целями — для контроля за результатами рекламной кампании. Иначе клиентов, с таким трудом привлеченных на интернет-площадку бренда, могут перепродать конкурентам. По оценке участников рынка, на закупку данных сегодня может приходиться 5-25% от бюджета рекламной кампании в интернете.
Рисунок: Анастасия Мордашева
Каждая компания понимает, что ее основной актив — покупатели. Будущие или настоящие. Те люди, за привлечение каждого из которых бизнес платит десятки тысяч рублей.
И именно поэтому доступ к CRM-системе (customer relationship management, программное обеспечение для работы с клиентской базой) строго охраняется, ведь именно там таится источник доходов бизнеса. Но есть незаметные для многих лазейки, которые позволяют сделать список ваших клиентов общественным достоянием и перепродавать его конкурентам направо и налево как публичный адресный справочник.
Как это работает?
На старте сотрудничества большинство подрядчиков по продвижению в интернете предложат вам установить на ваш сайт собственные коды. Это делается для отслеживания источников трафика и идентификации посетителей, сгенерированных рекламными активностями, анализа действий на сайте и последующей оптимизации рекламных кампаний. Звучит здраво, правда? Но на практике все может быть весьма нечисто.
Идентификация пользователей ведется на уровне разнообразных ID, которые может передать пользовательский девайс. А что дальше? Затем данные идентификаторов обогащаются номерами телефонов, профилями в соцсетях и всем набором дополнительной информации, которую можно найти в открытых источниках или в серых и черных базах данных.
Коды встраивают в шаблон сайта тремя способами:
С помощью тег‑менеджера (Google Tag Manager, «Клевер дата» и др.) подключают пиксели (короткий код на конкретное событие), счетчики и другие скрипты.
Через настройки CMS/конструкторы (Tilda, WordPress, Bitrix, Wix и др.): в них есть специальные поля для вставки скрипта.
Прямое встраивание в шаблон сайта: вставка кода в шаблоны head или перед </body>, чтобы он грузился на всех страницах.
Что делать с этой информацией?
Использовать для массы увлекательных и полезных маркетинговых фокусов. Все зависит от степени беспринципности владельца кода и его смекалки. Как говорят на рынке: если ты поставил пиксель на сайт, то все твои клиенты утекли в общую базу отработки.
Можно, например, настроить на ваших клиентов рекламную кампанию конкурентов. Или передать набор номеров для прозвона в интересах конкурентов. А можно — начать бомбить их массовыми рассылками на тему «купи срочно у нас».
Имея адреса и телефоны, можно реализовывать любые возможные способы коммуникации с пользователем: настройка рекламных кампаний, обзвон, рассылки СМС, рассылки через мессенджеры, спам в соцсетях. Технически можно рассылать посылки с предложением перейти к конкуренту или высылать торжественную делегацию с приветственной речью. Возможности коммуникации ограничены только фантазией исполнителя и бюджетом заказчика.
Средняя стоимость данных для таргетирования рекламных кампаний на рынке сегодня составляет около 50 рублей за тысячу показов (CPT) в зависимости от объема закупок и качества данных. На закупку данных может приходиться 5-25% от бюджета рекламной кампании в интернете, утверждают опрошенные ADPASS участники рынка.
Наибольшей ценностью обладают 1st party data — данные первого порядка, которые интернет-издатели и рекламодатели собирают на собственных площадках. 2nd party data — информация о пользователях, которую заказчик покупает непосредственно у владельца данных. Наконец, 3rd party data — данные, агрегированные из множества различных источников. По словам гендиректора Weborama Анжелы Федорченко, стоимость 3rd party data сегодня варьируется в диапазоне 20-45 рублей до НДС.
В чем проблема?
В том, что установка кода на сайт довольно редко контролируется ответственными лицами, разбирающимися в безопасности. Обычно эта операция делается по отмашке рядового маркетингового менеджера. Он парень неплохой, но работает в компании недолго: сегодня один, завтра другой. Год от года меняются и подрядчики. Таким образом, количество кодов-перехватчиков неконтролируемо растет. Фактически весь рынок использует ваши данные для переманивания клиентов, а вы и в ус не дуете.
Пример: Однажды авторский коллектив издания «Постмаркетинг» решил проверить число сторонних кодов на сайте крупного застройщика. Их там было около 50. И никто в компании не знал, кто их туда поставил и что они там делают. А ведь каждый что-то делал и отдавал кому-то данные!
Насколько это распространено?
Проблема давняя и очевидная для большинства профессионалов рынка. Залежи вредоносных кодов опытным специалистам приходилось разгребать еще 10 лет назад. Тем более удивительно, что до сих пор эта схема процветает на большом числе клиентских сайтов.
Любопытный нюанс
Многим представителям контролирующих функций кажется, что стоит оберегать только основные корпоративные порталы, например содержащие функционал интернет-магазина или программ лояльности. Типа, клиентские данные же там. Совсем нет. Если у вас есть лендинг на полторы страницы, который годами используется как посадочная для ведения рекламных кампаний, то все горячие клиенты там. А ведь именно они прежде всего интересны конкурентам.
Чаще данные утекают из интерфейсов сервисов трекинга от глобальных игроков, являющихся де-факто отраслевыми стандартами. Так, клиенты сами ставят код “Яндекс Метрики” на сайт, чтобы следить за своей аудиторией и собирать сегменты. И выдают доступ к интерфейсу сторонним подрядчикам, забывая его забрать по окончании сотрудничества. Информация в интерфейсе “Яндекс Метрики” гораздо более структурирована, недобросовестный подрядчик может использовать данные бывшего клиента для работы с его конкурентом».
Игорь Зуев
Операционный директор Kokoc Performance (входит в Kokoc Group)
Продажа данных конкурентов, неправомерное использование информации — это реальность, которую игроки рекламного рынка обычно скрывают за удобной фразой “мы используем агрегированные данные”. На рынке есть не только сокрытия неправомерного использования данных, но и откровенно серые схемы, например, по получению номеров мобильных телефонов в связке с данными, которые игроки рынка получают с помощью кодов на сайтах.
Если рекламодатель не работает в закрытом контуре своих собственных серверов, то невозможно полностью избежать ситуации, в которой с вашими данными никто кроме вас работать не будет. Любой профессиональный маркетолог, исследователь и рекламщик хочет — и, что прискорбно, чаще всего может — дотянуться до ваших “агрегированных” данных так, что вы об этом не узнаете».
Илья Бердников
Преподаватель НИУ ВШЭ (big data маркетинг), экс-VK
Как с этим бороться?
Разумеется, юристы скажут, что это не очень законно. Но кто поймает за руку? Данные просто есть. Факт их появления зачастую объясняется сложными технологическими системами нейротаргетинга и глубокой дата-аналитики. На деле нечистоплотные диджитал-подрядчики их просто втихую тащат у безмятежных клиентов. Поэтому:
Не давайте разрешения на установку сомнительных кодов подрядчикам на сайты и лендинги. Те, где присутствуют любые другие потоки клиентов, кроме сгенерированных по рекламным кампаниям подрядчика.
Имейте регулярные правила мониторинга и отключения кодов по факту прекращения реализации проектов в рамках сотрудничества с подрядчиком.
Заручитесь поддержкой службы безопасности компании при наличии там квалифицированных специалистов. Разработайте совместный регламент работы с сайтом и правила размещения там любых потенциально вредоносных внешних кодов.
Суровая реальность российского рекламного рынка обязывает рекламодателя, как минимум, соблюдать гигиену и постоянно вычищать свои интернет-ресурсы от лишних кодов-тегов-пикселей сразу же, как только необходимость в них заканчивается. Крупнейшие в России компании из первой сотни способны самостоятельно следить за гигиеной своих интернет-ресурсов и подрядчиками, доверяя только тем, кто готов выделять ресурсы для отслеживания, контроля, удаления средств работы с данными. Высочайший уровень безопасности обеспечивает работа заказчика на собственных серверах, но эту роскошь могут позволить себе не все.
Рекламодателям меньшего калибра лучше разработать регламенты по работе с кодами-тегами-пикселями на своих интернет-ресурсах. Мы не должны обманываться, мы должны смотреть правде в глаза, понимать ценность данных и уметь защищать их. Это требует зрелости отношений отделов маркетинга и ИТ, что до сих пор является редкостью на рынке».
Илья Бердников
Преподаватель НИУ ВШЭ (big data маркетинг), экс-VK
Поддержание сайта в актуальном состоянии и своевременное удаление ненужного кода со страниц, а также контроль доступа к сервисам сбора статистики — это нормальный гигиенический минимум для специалистов, обслуживающих сайты. В остальном же проблема выглядит преувеличенной».
Игорь Зуев
Операционный директор Kokoc Performance (входит в Kokoc Group)
Никто не вправе извлекать выгоду из недобросовестного поведения, это один из базовых принципов гражданского законодательства (п. 4 ст. 1 ГК РФ). Выступая заказчиком по договору, рекламодатель самостоятельно размещает коды на своем интернет-сайте, так что требовать возмещения убытков (ст. 15 ГК) и обосновать их размер в данном случае ему будет сложно. Поэтому стоит прописать в договоре, что подрядчик не вправе самостоятельно использовать полученные данные, передавать эти данные третьим лицам как в период действия контракта, так и после его прекращения. За нарушение данного обязательства необходимо предусмотреть штрафные санкции».
Марианна Иванова
Директор по правовым вопросам «ГПМ Радио», председатель комиссии юристов АКАР
И самое главное — вы никогда не узнаете, как были использованы данные с вашего сайта, и не сможете доказать свою правоту, даже если продадут персонально вас. Кстати, такое случалось неоднократно: собственник бизнеса зашел на свой сайт и тут же получил звонок с предложением от конкурента. Попробуй докажи в суде, что это не совпадение. И уж если прописывать в договоре штрафные санкции, то такие, чтобы сама цифра уже вызывала у контрагента трепет. 100 млн рублей штрафа заставят лишний раз задуматься — стоит ли тащить клиентские данные именно с вашего сайта?
Поэтому главный рецепт: никогда не давайте незнакомцам ключей от своей квартиры, не говорите пароль от своего сейфа и не размещайте сомнительные коды у себя на сайте.
Антимошеннические действия
Чтобы вовремя выявить недобросовестное агентство, которое не оставляет попыток обманом нажиться на продвижении товаров и услуг, стоит помнить о существовании:
Обязательной маркировки рекламы в сети и Единого реестра интернет-рекламы (ЕРИР): они позволяют рекламодателю увидеть все затраты на размещение рекламной кампании в рунете.
Следить за постоянно совершенствующимися инструментами контроля качества размещения рекламы. Среди новинок последних лет — проект по измерению аудитории интернет-ресурсов и мобильных приложений в России — Cross Web от компании Mediascope (Россия, 12+), сменивший предыдущее исследование Web-Index. Включен в панель Mediascope последний из остававшихся неизмеренным сегментов телеаудитории – внедомашний просмотр на телеэкранах. Измеритель аудитории рекламы вне дома компания Admetrix расширила географию услуги «Традиционный мониторинг» с 50 до 92 российских городов, а «Оперативный мониторинг» — с 85 до 111 городов.
Не выпускать из виду рамочные меморандумы рекламных практик, а также документы саморегулирования, решающие прикладные задачи. Ассоциация коммуникационных агентств России (АКАР) и Ассоциация развития интерактивной рекламы (АРИР) индустриальные и межотраслевые акты саморегулирования: рекламный кодекс для блогеров, новая редакция Кодекса практики рекламы и маркетинговых коммуникаций, рекомендации АКАР и АРИР по добросовестным практикам размещения рекламы в мобильных приложениях (in-app), меморандум о саморегулировании в рекламе безалкогольного пива.
Наконец, получить адекватную рекламную коммуникацию можно, если не ставить рекламистам заведомо невыполнимые задачи. В списке противопоказаний: стремящиеся к нулю комиссионные, ставка на дешевый трафик, завышенные требования к росту показателей бренда и каждые полгода — новый тендер на рекламное обслуживание, участники которого должны обещать очередные рекорды по обещанной эффективности.
Подробнее об инструментах и средствах контроля рекламной активности, которые наработали индустрия и государство, — в материале ADPASS.
Энциклопедия обмана
Неделя рекламы 
Новости 
Кейсы 
How to 
Интервью и дискуссии 
Маркетинговые исследования 
Просто о сложном 
Проверено ADPASS 
Рекламные кампании