Registrare il comportamento degli utenti su altri siti web con JavaScript

Per migliorare il proprio prodotto o servizio molto spesso le aziende copiano i prodotti di altre aziende, non di rado lo si può notare nelle pubblicità o magari nelle varie offerte o nel confezionamento di un prodotto. Oggi vogliamo portavi l’esperienza di Dan Petrovic, managing director di DEJAN, un azienda che si occupa di SEO, che ha individuato una modalità per registrare il comportamento degli utenti sui siti Web dei concorrenti.

Sostanzialmente si tratta di una pratica illegale, almeno nei paesi sotto la giurisdizione del GDPR, ma è interessante osservare come sia abbastanza semplice sfruttare le risorse web per poter carpire più informazioni possibili sugli utenti e sui siti web dei competitor. Sostanzialmente Petrovic ha realizzato uno script in JavaScript che va a registrare le azioni dell’utente su un determinato sito Internet.

In breve:

• gli utenti arrivano sul sito di Petrovic (referrer: google);
• quando si clicca sul pulsante “indietro” di Chrome lo script JS invia all’utente una copia della SERP di Petrovic;
• qualsiasi azione su un sito concorrente verrà riportata a Petrovic direttamente sull’email (noindex);
• successivamente Petrovic si occuperà di estrarre dallo script tutte le heatmaps, scrollmaps, le interazioni con lo schermo ed i caratteri scritti dall’utente.

Il sito web sfruttato Petrovic per eseguire queste operazioni è stato recentemente tracciato dal team di Google e successivamente isolato dalle ricerche dell’utente. Tuttavia per Petrovic basta rimuovere il proprio sito web dall’indicizzazione di Google per evitare ripercussioni simili e continuare il lavoro di analisi. È essenziale quindi che i browser web e i vari siti prendano al più presto delle contromisure per evitare questi comportamenti da parte di un semplice script Javascript.

Tecnicamente un sito web che usa uno script del genere dovrebbe essere fin da subito penalizzato dalla ricerca, ma Petrovic l’ha usato per ben 5 anni su un suo dominio usa e getta e il suo posizionamento è ancora ottimale sui principali motori di ricerca.

Secondo le stime di Petrovic solo il 50% degli utenti interessanti ha riscontrato qualcosa di sospetto durante la navigazione, anche perché il sito usato come piattaforma d’attacco era sotto protocollo HTTPS, dunque ritenuto “sicuro” anche da Chrome. L’autore afferma che non sarebbe nemmeno necessario sfruttare la SERP di Google per generare un heatmap dei siti delle altre aziende, oggi basterebbe sfruttare il traffico dei social media che sono utilizzati largamente dalla maggior parte della popolazione mondiale.

Dalle analisi dei comportamenti è emerso che gli utenti raramente leggono i contenuti delle home page, al contrario cercano recensioni, paragoni dei prezzi, profili dello staff o altre informazioni aziendali, cosi da avere più fiducia nell’azienda. Uno dei prossimi test di Petrovic comporterà il cambio della home page con “about us” o con delle recensioni di altri utenti in modo da catturare fin da subito l’attenzione dei clienti.

Via Dan Petrovic