Онлайн-чат на сайте: отдельная точка входа для парсеров

Большинство владельцев B2B-сайтов думают о безопасности данных примерно так: «У нас есть форма заявки, мы поставили CAPTCHA - готово». Чат при этом остаётся в слепой зоне.

Проблема в том, что чат и форма - это разные механизмы с разной уязвимостью. Форму защитил - не защитил чат. Они работают принципиально по-разному.


Форма и чат - разные уязвимости

Коротко: форма - это один момент (нажал «Отправить»), чат - это постоянный открытый канал.

Обычная форма заявки - статичный HTML-элемент. Она собирает данные в один момент, когда человек нажимает кнопку. Защитить её можно CAPTCHA или скрытым полем-ловушкой для ботов. Это рабочий и достаточно простой способ.

Чат-виджет работает иначе. Это JavaScript-код, который загружается на страницу с внешнего сервера и сразу открывает постоянное соединение. Виджет активен, пока страница открыта - даже если посетитель не написал ни слова. За это время он уже успевает передать несколько видов данных: как долго человек находится на странице, на что смотрит, как ведёт себя до первого сообщения.

Это не плохо само по себе - это просто техническая природа чата. Но именно эта природа делает его отдельной точкой входа для систем сбора данных.

Форму можно закрыть в один шаг. Чат закрывать нужно отдельно - потому что у него другая архитектура.


Что именно видно через чат снаружи?

Коротко: имена операторов, паттерны их присутствия и контакт посетителя ещё до того, как тот оставил заявку.

Когда посетитель открывает чат на вашем сайте, он видит: кнопку, приветствие и часто - имена и аватары операторов, которые сейчас онлайн. Всё это часть стандартного интерфейса большинства чат-сервисов.

Системы сбора данных видят то же самое - плюс ещё несколько вещей, которые в интерфейсе не отображаются:

  • Идентификатор посетителя - создаётся автоматически при инициализации виджета
  • Время на странице и поведение - до первого слова в чате
  • Имена и аватары операторов - видны через API или HTML-структуру виджета
  • Приветственные скрипты - автосообщения, которые показывают логику вашего отдела продаж
  • Контакты, которые посетитель вводит прямо в диалоге - имя, телефон, email

Последний пункт - ключевой. Посетитель пишет в чат «Меня зовут Михаил, хочу узнать цену» и оставляет телефон. Это контакт, который уже существует - до того, как появилась заявка в CRM.

Если этот контакт попадает в систему перехвата раньше, чем вы сами с ним поговорили, - у вашего конкурента появляется возможность позвонить первым. А в вашей аналитике это выглядит как обычный «отказ».


Как операторы чата попадают в базы конкурентов

Коротко: имена и фото операторов видны в открытом интерфейсе - и это данные о составе вашей команды, которые системы сбора собирают автоматически.

Один из менее очевидных рисков - сбор информации о ваших сотрудниках через чат. Большинство популярных чат-сервисов показывают посетителю, кто из операторов сейчас в онлайне: имя, фотографию, иногда должность.

Это удобно для посетителя - он видит, с кем говорит. Но это же видит и любой парсер, который сканирует сайты в вашей нише.

За несколько недель систематического сбора конкурент знает имена всех ваших операторов и менеджеров из чата. Дальше - поиск в социальных сетях, и структура вашего отдела продаж становится значительно более открытой, чем вы думали.

Это та же история, что с телефонами сотрудников в открытых источниках - только применительно к чат-операторам. Контакты менеджеров попадают в базы, по которым переманивают людей и заваливают спамом.

Защита стандартная: сделать так, чтобы имена операторов не были видны системам автоматического сбора. Как именно - это уже техническая часть работы с периметром.


Если вы хотите узнать, что именно сейчас видно через ваш чат снаружи - это можно проверить через бесплатный аудит периметра на stopparsing.ru. Это первый шаг: понять, где именно дыра, прежде чем её закрывать.


Что происходит с контактом, который написал в чат?

Коротко: контакт существует сразу, как только посетитель представился в диалоге - а не когда он нажал «Оставить заявку».

Вот типичная ситуация. Человек зашёл на ваш сайт через рекламу, посмотрел несколько страниц, решил написать в чат: «Мне нужна услуга Х, сколько стоит?». Вы ответили, он сказал «подумаю» и ушёл. В вашей CRM - ноль заявок.

Но в этом диалоге он оставил как минимум имя. Возможно, телефон. Этот контакт уже существует - в истории чата, в системах аналитики чат-сервиса.

Если периметр вашего сайта открыт для систем сбора данных, этот контакт может попасть в базу перехвата ещё до того, как он решил оставить заявку. Конкурент получает его данные и звонит первым - пока он ещё «думает».

В вашей аналитике это выглядит как визит без конверсии. В реальности это конверсия, которую перехватили раньше вас.

Это один из четырёх рисков, которые StopParsing закрывает: контакт остаётся вашим - даже если он пока не оставил заявку.


Почему рекламный бюджет работает на конкурента через чат

Коротко: вы заплатили за переход, посетитель написал в чат - а его контакт ушёл к тому, кто мониторит ваш сайт.

Каждый переход с рекламы стоит денег. Это очевидно. Менее очевидно другое: если посетитель открыл чат и написал сообщение, значит, он вовлечён. Это тёплый контакт, который вы уже оплатили рекламным бюджетом.

Если этот контакт перехватывается системой сбора данных до того, как он дошёл до вас, - вы заплатили за чужую продажу. Конкурент получил тёплый контакт бесплатно - вы закрыли канал перехвата слишком поздно.

Чем больше трафика вы гоните на сайт через рекламу, тем ценнее ваш чат становится как точка сбора для внешних систем. Они не платят за трафик - они просто мониторят ваши точки входа и снимают готовые контакты.

Закрытие чата как точки входа - это часть ответа на вопрос: «Почему мы тратим на рекламу всё больше, а выхлоп не растёт пропорционально?»


Чат vs. форма: почему одной CAPTCHA мало

Коротко: CAPTCHA защищает один момент (отправка формы), а чат - постоянный процесс. Это разные задачи.

CAPTCHA отлично справляется с одним: она проверяет, что на кнопку «Отправить» нажимает человек, а не бот. Это важно для форм.

Но у чат-виджета нет «кнопки Submit» в том же смысле. Данные собираются непрерывно - при каждом действии на странице:

  • при инициализации виджета (до любых действий посетителя)
  • при открытии диалогового окна
  • при вводе текста
  • при каждом сообщении

CAPTCHA между посетителем и его сообщением в чат - это технически некорректное решение и плохой пользовательский опыт. Это не та точка защиты.

Чат закрывается на уровне доступности виджета для внешних систем. Это другой слой защиты - периметральный, выше уровня формы. CAPTCHA здесь не помогает и не предназначена для этого.

Статья «Как защитить формы захвата от автоматического сбора» подробнее разбирает защиту форм. Чат - дополнительный шаг поверх этого.


Как закрыть чат как точку входа

Коротко: закрыть чат как точку входа значит сделать так, чтобы системы автоматического сбора данных не могли снять информацию о посетителях и операторах через чат-виджет.

Это не значит «выключить чат». Чат - рабочий инструмент продаж. Цель - оставить его работающим и закрыть канал, через который данные о посетителях уходят на сторону.

Механика защиты: закрыть ваш домен в системах сбора данных. Когда ваш сайт защищён, собирать через него данные - включая данные чата - становится намного сложнее. Системы автоматического перехвата натыкаются на закрытый канал.

Это не гарантия абсолютной защиты - такой не существует. Это ощутимое снижение риска: перехватить становится значительно труднее, чем с открытого сайта.

В рамках работы со StopParsing чат проверяется вместе с формами, телефонами сотрудников и другими открытыми каналами. Всё это единый периметр - аудит охватывает все векторы разом.

Подробнее о том, чем защита от парсинга отличается от стандартных антибот-решений: «Чем защита от парсинга отличается от обычной».


С чего начать: аудит периметра

Коротко: первый шаг - понять, что именно сейчас видно через ваш сайт, включая чат. Аудит периметра бесплатный.

Прежде чем закрывать что-то, стоит понять, что именно открыто. Аудит периметра - это диагностика: что видят системы сбора данных на вашем сайте прямо сейчас.

Процесс несложный:

  1. Передаёте ваши сайты и телефоны сотрудников - можно списком
  2. Получаете картину: какие данные доступны системам сбора, что именно угрожает
  3. На основе этого формируется план защиты с индивидуальной ценой - по реальному числу сайтов, номеров и объёму данных под угрозой

Чат при этом проверяется как один из векторов: что видно через виджет, видны ли операторы, как происходит инициализация.

Аудит периметра на stopparsing.ru бесплатный. Понять, где именно открыт периметр, можно до того, как принимать решение о защите.

Ещё о том, с чего начинается аудит: «Аудит периметра: с чего начинается защита от перехвата».


Источники

  • STOPPARSING-FACTS.md - внутренний документ LEADLIFE (единственный источник правды о сервисе StopParsing)
  • Техническая документация JivoSite, Bitrix24 Live Chat - описание принципов работы WebSocket-чатов
  • Общедоступные технические знания о принципах работы JavaScript-виджетов и WebSocket-соединений

Чат на сайте - это не просто форма связи. Это открытый канал, который работает постоянно и передаёт данные непрерывно. CAPTCHA на форме заявки его не закрывает.

Узнать, что именно видно через ваш чат снаружи, можно через бесплатный аудит периметра - передаёте сайты и получаете картину. Подробнее на stopparsing.ru.