Онлайн-чат на сайте: отдельная точка входа для парсеров
Большинство владельцев B2B-сайтов думают о безопасности данных примерно так: «У нас есть форма заявки, мы поставили CAPTCHA - готово». Чат при этом остаётся в слепой зоне.
Проблема в том, что чат и форма - это разные механизмы с разной уязвимостью. Форму защитил - не защитил чат. Они работают принципиально по-разному.
Форма и чат - разные уязвимости
Коротко: форма - это один момент (нажал «Отправить»), чат - это постоянный открытый канал.
Обычная форма заявки - статичный HTML-элемент. Она собирает данные в один момент, когда человек нажимает кнопку. Защитить её можно CAPTCHA или скрытым полем-ловушкой для ботов. Это рабочий и достаточно простой способ.
Чат-виджет работает иначе. Это JavaScript-код, который загружается на страницу с внешнего сервера и сразу открывает постоянное соединение. Виджет активен, пока страница открыта - даже если посетитель не написал ни слова. За это время он уже успевает передать несколько видов данных: как долго человек находится на странице, на что смотрит, как ведёт себя до первого сообщения.
Это не плохо само по себе - это просто техническая природа чата. Но именно эта природа делает его отдельной точкой входа для систем сбора данных.
Форму можно закрыть в один шаг. Чат закрывать нужно отдельно - потому что у него другая архитектура.
Что именно видно через чат снаружи?
Коротко: имена операторов, паттерны их присутствия и контакт посетителя ещё до того, как тот оставил заявку.
Когда посетитель открывает чат на вашем сайте, он видит: кнопку, приветствие и часто - имена и аватары операторов, которые сейчас онлайн. Всё это часть стандартного интерфейса большинства чат-сервисов.
Системы сбора данных видят то же самое - плюс ещё несколько вещей, которые в интерфейсе не отображаются:
- Идентификатор посетителя - создаётся автоматически при инициализации виджета
- Время на странице и поведение - до первого слова в чате
- Имена и аватары операторов - видны через API или HTML-структуру виджета
- Приветственные скрипты - автосообщения, которые показывают логику вашего отдела продаж
- Контакты, которые посетитель вводит прямо в диалоге - имя, телефон, email
Последний пункт - ключевой. Посетитель пишет в чат «Меня зовут Михаил, хочу узнать цену» и оставляет телефон. Это контакт, который уже существует - до того, как появилась заявка в CRM.
Если этот контакт попадает в систему перехвата раньше, чем вы сами с ним поговорили, - у вашего конкурента появляется возможность позвонить первым. А в вашей аналитике это выглядит как обычный «отказ».
Как операторы чата попадают в базы конкурентов
Коротко: имена и фото операторов видны в открытом интерфейсе - и это данные о составе вашей команды, которые системы сбора собирают автоматически.
Один из менее очевидных рисков - сбор информации о ваших сотрудниках через чат. Большинство популярных чат-сервисов показывают посетителю, кто из операторов сейчас в онлайне: имя, фотографию, иногда должность.
Это удобно для посетителя - он видит, с кем говорит. Но это же видит и любой парсер, который сканирует сайты в вашей нише.
За несколько недель систематического сбора конкурент знает имена всех ваших операторов и менеджеров из чата. Дальше - поиск в социальных сетях, и структура вашего отдела продаж становится значительно более открытой, чем вы думали.
Это та же история, что с телефонами сотрудников в открытых источниках - только применительно к чат-операторам. Контакты менеджеров попадают в базы, по которым переманивают людей и заваливают спамом.
Защита стандартная: сделать так, чтобы имена операторов не были видны системам автоматического сбора. Как именно - это уже техническая часть работы с периметром.
Если вы хотите узнать, что именно сейчас видно через ваш чат снаружи - это можно проверить через бесплатный аудит периметра на stopparsing.ru. Это первый шаг: понять, где именно дыра, прежде чем её закрывать.
Что происходит с контактом, который написал в чат?
Коротко: контакт существует сразу, как только посетитель представился в диалоге - а не когда он нажал «Оставить заявку».
Вот типичная ситуация. Человек зашёл на ваш сайт через рекламу, посмотрел несколько страниц, решил написать в чат: «Мне нужна услуга Х, сколько стоит?». Вы ответили, он сказал «подумаю» и ушёл. В вашей CRM - ноль заявок.
Но в этом диалоге он оставил как минимум имя. Возможно, телефон. Этот контакт уже существует - в истории чата, в системах аналитики чат-сервиса.
Если периметр вашего сайта открыт для систем сбора данных, этот контакт может попасть в базу перехвата ещё до того, как он решил оставить заявку. Конкурент получает его данные и звонит первым - пока он ещё «думает».
В вашей аналитике это выглядит как визит без конверсии. В реальности это конверсия, которую перехватили раньше вас.
Это один из четырёх рисков, которые StopParsing закрывает: контакт остаётся вашим - даже если он пока не оставил заявку.
Почему рекламный бюджет работает на конкурента через чат
Коротко: вы заплатили за переход, посетитель написал в чат - а его контакт ушёл к тому, кто мониторит ваш сайт.
Каждый переход с рекламы стоит денег. Это очевидно. Менее очевидно другое: если посетитель открыл чат и написал сообщение, значит, он вовлечён. Это тёплый контакт, который вы уже оплатили рекламным бюджетом.
Если этот контакт перехватывается системой сбора данных до того, как он дошёл до вас, - вы заплатили за чужую продажу. Конкурент получил тёплый контакт бесплатно - вы закрыли канал перехвата слишком поздно.
Чем больше трафика вы гоните на сайт через рекламу, тем ценнее ваш чат становится как точка сбора для внешних систем. Они не платят за трафик - они просто мониторят ваши точки входа и снимают готовые контакты.
Закрытие чата как точки входа - это часть ответа на вопрос: «Почему мы тратим на рекламу всё больше, а выхлоп не растёт пропорционально?»
Чат vs. форма: почему одной CAPTCHA мало
Коротко: CAPTCHA защищает один момент (отправка формы), а чат - постоянный процесс. Это разные задачи.
CAPTCHA отлично справляется с одним: она проверяет, что на кнопку «Отправить» нажимает человек, а не бот. Это важно для форм.
Но у чат-виджета нет «кнопки Submit» в том же смысле. Данные собираются непрерывно - при каждом действии на странице:
- при инициализации виджета (до любых действий посетителя)
- при открытии диалогового окна
- при вводе текста
- при каждом сообщении
CAPTCHA между посетителем и его сообщением в чат - это технически некорректное решение и плохой пользовательский опыт. Это не та точка защиты.
Чат закрывается на уровне доступности виджета для внешних систем. Это другой слой защиты - периметральный, выше уровня формы. CAPTCHA здесь не помогает и не предназначена для этого.
Статья «Как защитить формы захвата от автоматического сбора» подробнее разбирает защиту форм. Чат - дополнительный шаг поверх этого.
Как закрыть чат как точку входа
Коротко: закрыть чат как точку входа значит сделать так, чтобы системы автоматического сбора данных не могли снять информацию о посетителях и операторах через чат-виджет.
Это не значит «выключить чат». Чат - рабочий инструмент продаж. Цель - оставить его работающим и закрыть канал, через который данные о посетителях уходят на сторону.
Механика защиты: закрыть ваш домен в системах сбора данных. Когда ваш сайт защищён, собирать через него данные - включая данные чата - становится намного сложнее. Системы автоматического перехвата натыкаются на закрытый канал.
Это не гарантия абсолютной защиты - такой не существует. Это ощутимое снижение риска: перехватить становится значительно труднее, чем с открытого сайта.
В рамках работы со StopParsing чат проверяется вместе с формами, телефонами сотрудников и другими открытыми каналами. Всё это единый периметр - аудит охватывает все векторы разом.
Подробнее о том, чем защита от парсинга отличается от стандартных антибот-решений: «Чем защита от парсинга отличается от обычной».
С чего начать: аудит периметра
Коротко: первый шаг - понять, что именно сейчас видно через ваш сайт, включая чат. Аудит периметра бесплатный.
Прежде чем закрывать что-то, стоит понять, что именно открыто. Аудит периметра - это диагностика: что видят системы сбора данных на вашем сайте прямо сейчас.
Процесс несложный:
- Передаёте ваши сайты и телефоны сотрудников - можно списком
- Получаете картину: какие данные доступны системам сбора, что именно угрожает
- На основе этого формируется план защиты с индивидуальной ценой - по реальному числу сайтов, номеров и объёму данных под угрозой
Чат при этом проверяется как один из векторов: что видно через виджет, видны ли операторы, как происходит инициализация.
Аудит периметра на stopparsing.ru бесплатный. Понять, где именно открыт периметр, можно до того, как принимать решение о защите.
Ещё о том, с чего начинается аудит: «Аудит периметра: с чего начинается защита от перехвата».
Источники
- STOPPARSING-FACTS.md - внутренний документ LEADLIFE (единственный источник правды о сервисе StopParsing)
- Техническая документация JivoSite, Bitrix24 Live Chat - описание принципов работы WebSocket-чатов
- Общедоступные технические знания о принципах работы JavaScript-виджетов и WebSocket-соединений
Чат на сайте - это не просто форма связи. Это открытый канал, который работает постоянно и передаёт данные непрерывно. CAPTCHA на форме заявки его не закрывает.
Узнать, что именно видно через ваш чат снаружи, можно через бесплатный аудит периметра - передаёте сайты и получаете картину. Подробнее на stopparsing.ru.
