В конкурентных отраслях появляются сервисы, которые обещают бизнесу получать контакты потенциальных клиентов дешевле, чем через классические рекламные каналы. Речь идет о решениях, которые заявляют возможность определить контакт посетителя еще до того, как он сделал целевое действие на сайте. Для бизнеса такой сценарий опасен тем, что оплаченный трафик может теряться на одном из самых ценных участков воронки: пользователь заинтересовался предложением, перешел на сайт, но контакт с ним может получить сторонний участник рынка. О том, как правильно защищать трафик, Sostav рассказал Анатолий Полтавский, генеральный директор компании «МАДРИГАЛ».
Как устроен рынок перехвата контактов
Экономика сервисов строится на обещании снизить стоимость контакта по сравнению с классическими инструментами. По данным «Коммерсанта» со ссылкой на Kokoc Performance (входит в 
Kokoc Group), в 2025 году российский рынок рекламы, нацеленной на измеряемый отклик, мог достигнуть 450 млрд рублей, а основные бюджеты пришлись на контекстную и таргетированную рекламу. Это объясняет интерес бизнеса к методам, которые обещают работать не только с рекламным переходом.
И если привлечение заявки через инструменты рекламы обходится бизнесу в десятки тысячи рублей, покупка уже выявленного контакта может стоить значительно дешевле — от нескольких десятков рублей.
Подобные сервисы могут использовать сторонний код на сайте, браузерные расширения и внешние базы данных. OWASP отмечает, что подключенный скрипт выполняется в браузере пользователя и может получать доступ к данным на странице. Расширение с доступом к сайтам способно читать содержимое страниц и данные, вводимые в формы.
Когда такой код или расширение получает доступ к полям формы, а сервис сопоставляет посетителя с внешней базой, контакт может быть определен еще до отправки заявки.
Простыми словами: пользователь заходит на сайт компании, изучает предложение и начинает заполнять форму обратной связи. Еще до нажатия кнопки «Отправить» его контакт может попасть к стороннему сервису, а затем — к конкуренту. В итоге менеджер другой компании связывается клиентом раньше, чем бизнес, который оплатил его привлечение.
Через какие каналы уходят данные
Перехват контактов происходит на стороне пользователя — в браузере или клиентской части сайта. Поэтому стандартная защита серверной инфраструктуры может не фиксировать передачу данных сторонним сервисам.
Один из основных каналов — браузерные расширения: бесплатные приложения для обхода блокировок, поиска скидок или сравнения цен. Для работы они запрашивают доступ к страницам, действиям пользователя и данным в формах, что позволяет считывать контактную информацию еще до отправки заявки.
Второй канал — сторонний программный код, подключенный к сайту самой компанией: виджеты обратной связи, системы веб-аналитики, инструменты проверки рекламных кампаний, сервисы тестирования интерфейса и другие внешние решения.
Почему компании не замечают перехвата
Сложность выявления перехвата в том, что внешне сайт работает штатно: пользователь заполняет форму без ошибок, а компания видит обычные данные о посещении. При этом передача контактов третьей стороне может происходить параллельно.
Здесь примечательна зарубежная практика, в PCI DSS 4.x (международный стандарт безопасности карточных платежей) появились отдельные требования к контролю скриптов на платежных страницах: они должны быть авторизованы, проверяться на целостность и контролироваться на предмет подмены. PCI SSC объясняет это ростом атак на скрипты, выполняющиеся в браузерах пользователей.
И хотя требования PCI DSS относятся к платежным страницам, сам подход применим шире: бизнесу нужно знать, какие скрипты выполняются в браузере пользователя, кто их добавил и какие данные они могут обрабатывать.
Правовая сторона перехвата лидов
Перехват контактов создает риски для обеих сторон: компании, которая привлекает пользователя на сайт, и бизнеса, который покупает или использует эти готовые данные.
Для владельца сайта главный риск связан с потерей оплаченной аудитории посетителей. Бизнес вкладывается в рекламу, оплачивает работу специалистов и доводит пользователя до финишной черты, но контакт может уйти конкуренту за бесценок.
Вторая группа рисков касается персональных данных. По 152-ФЗ согласие пользователя должно быть предметным, однозначным и оформленным отдельно, что обязан доказать оператор. Передача контактов третьим лицам в обход этого правила влечет прямые претензии регуляторов и клиентов к владельцу сайта.
Ответственность за нарушения в сфере персональных данных также предусмотрена статьей 13.11 КоАП РФ. После изменений, внесенных федеральным законом № 420-ФЗ, для операторов появились отдельные составы, связанные с неуведомлением Роскомнадзора об утечке и неправомерной передачей персональных данных.
Для компании, которая использует перехваченные контакты, риск не меньше.
После загрузки таких данных в собственную базу компания начинает самостоятельную обработку персональных данных. По статье 3 закона № 152-ФЗ к обработке относятся, в частности, сбор, запись, систематизация, накопление, хранение, использование и передача персональных данных.
Помимо этого, звонок от конкурента после изучения сайта другой компании воспринимается как спам и разрушает доверие. Репутационный риск усиливается тем, что человек может написать жалобу: обращения по персональным данным рассматривает Роскомнадзор, а рекламные звонки без согласия — ФАС.
В итоге экономия на проверке внешних инструментов и закупка сомнительных контактов создают для рынка двойной ущерб. Одни теряют оплаченных клиентов, другие получают низкую стоимость лида, но принимают юридические и репутационные риски.
По каким признакам можно обнаружить перехват
Прямое доказательство перехвата требует технического расследования. Но запустить проверку можно по косвенным признакам в продажах, веб-аналитике и обращениях пользователей.
- Рост числа обращений, которые срываются на финальном этапе. Для проверки такого сценария в системе продаж стоит отдельно зафиксировать причину отказа «уже получил предложение от конкурента», время поступления заявки, время первого звонка менеджера и канал привлечения пользователя.
- Снижение доли завершенных заявок при стабильном потоке посетителей. Особенно важно отслеживать пользователей, которые приходят по названию компании или напрямую вводят адрес сайта. Такая аудитория обычно уже знакома с брендом и чаще готова к покупке. Если число таких посещений не падает, но заявок и сделок становится меньше, это требует отдельной проверки.
- Рост количества брошенных форм. Речь идет о случаях, когда пользователь открыл форму, начал вводить номер телефона или адрес электронной почты, но не нажал кнопку отправки.
- Жалобы пользователей на неожиданные звонки. Если человек сообщает, что после посещения сайта ему почти сразу позвонили из другой компании с похожим предложением, такой случай нужно фиксировать отдельно.
Отдельно стоит проверять, куда передаются данные при заполнении форм. Если при вводе номера телефона или адреса электронной почты страница обращается к неизвестным внешним доменам — это повод для технического расследования.
Технически это проверяется через анализ сетевых запросов страницы. Нормальная работа сайта не должна требовать передачи содержимого формы сторонним сервисам до нажатия кнопки отправки, если такой обмен прямо не предусмотрен и не описан в документах компании.
Как обезопасить клиентскую часть сайта
Снижение риска перехвата контактов требует внимательного изучения клиентской части сайта — той среды, где пользователь открывает страницу, заполняет форму и взаимодействует с подключенными внешними элементами, всего можно выделить несколько направлений.
- Инвентаризация всех внешних элементов на сайте. Для каждого счетчика, виджета, рекламной метки или программного сценария нужно фиксировать владельца внутри компании, поставщика, назначение, страницы размещения, доступ к полям формы, внешние адреса передачи данных и срок отключения.
- Минимизация клиентских сценариев на страницах с формами. На страницах с вводом контактных данных следует оставлять только необходимые сценарии, а рекламные пиксели, тестовые элементы, устаревшие библиотеки и скрипты «на весь сайт» отключать, если они не нужны для работы этой формы.
- Ограничение доступа внешнего кода к полям форм. Сторонние элементы не должны получать доступ к номеру телефона, адресу электронной почты и другим данным пользователя, если это не требуется для работы формы и не отражено в документах компании.
- Контроль передачи данных до отправки формы. Передача номера телефона или адреса электронной почты до нажатия кнопки отправки формы должна быть отдельно обоснована.
- Регулярная проверка системы управления тегами. Именно через нее на сайт часто добавляются рекламные и аналитические инструменты. При слабом контроле в ней могут оставаться старые метки подрядчиков, тестовые элементы и фрагменты кода, которые получают доступ к страницам с формами.
- Мониторинг поведения внешних элементов в реальных пользовательских сессиях. Проверка исходного кода не всегда показывает, как сторонний компонент ведет себя в браузере посетителя. Поэтому компании необходимо отслеживать, какие элементы обращаются к полям формы, какие данные они считывают и на какие внешние адреса передают информацию.
Также стоит уделять внимание подрядчикам. Перед подключением нового виджета нужно проверять, какие данные он собирает, где они хранятся, кому передаются.
Важно понимать, разовый аудит не устранит угрозу перехвата лидов. Уязвимость возвращается с каждым новым виджетом, скриптом или подрядчиком. Требуется непрерывный контроль на стыке маркетинга, разработки и информационной безопасности. И если внутренних ресурсов недостаточно, эту функцию придется закрывать отдельно — через внешние решения: использовать специализированные сервисы от перехвата лидов или комплексные антибот-системы, которые проксируют трафик и отсекают подозрительную активность.