Вступить в организацию
Ru
En
Личный кабинет делоросса Люди дела
подать заявку
+7 (495) 649 18 26
+7 (495) 649 18 27
Дежурный по стране

Теневой рынок лидов: как воруют клиентов и что с этим делать

09.06.2026
Теневой рынок лидов: как воруют клиентов и что с этим делать

Член генсовета «Деловой России» Анатолий Полтавский в колонке для Forbes рассказал как работает теневой рынок лидов, как воруют клиентов и что с этим делать.

Бизнес тратит миллиарды рублей на рекламу и продажи через собственные сайты, а потом обнаруживает, что менеджеры конкурентов первыми звонят потенциальным клиентам. В России функционирует теневой рынок, на котором украденный лид перепродается за небольшую цену, считает генеральный директор ООО «Мадригал», основатель антибот-сервиса Meshgate Анатолий Полтавский. Большинство фирм утечки не замечают, ведь она происходит вне периметра, который контролирует компания. А законодательства, по которому можно привлечь тех, кто уводит чужих клиентов, не существует.

По оценке компании Kokoc Performance, в 2025 году российский рынок performance-рекламы составил порядка 450 млрд рублей, и основная часть бюджетов — это контекст и таргетинг. На этом фоне сформировалась индустрия, участники которой определяют контакт посетителя еще до отправки данных на сайте клиента и продают эту информацию конкурентам. Вот как она работает.

Кто под ударом

Сильнее всего перехват бьет по B2C-отраслям с длинным циклом сделки и высокой ценой клиента: недвижимости, автодилерам, частной медицине, образованию, страхованию. Там, где сайт является основным каналом продаж, а решение клиент принимает не сразу, у конкурента появляется окно, чтобы «вклиниться» в воронку. Типичный сценарий из сферы недвижимости: клиент заходит на сайт застройщика вечером, отдел продаж уже не работает, форма обратной связи отправлена, но не обработана. К утру эту же заявку отрабатывает агентство-посредник, которое получило данные раньше. Оно и предъявляет застройщику счет на 2-3% комиссии за «своего клиента», который на самом деле зашел на сайт девелопера, но был перехвачен.

В B2B перехват встречается реже: цикл согласования длиннее, а контакт обычно остается за менеджером, уже работавшим с клиентом по другому каналу. Правда, ущерб здесь куда значительнее. На раннем этапе, до того, как менеджер возьмет заявку, это может привести к потере крупного клиента, контрагента, поставщика или закупщика. В сфере производства такие убытки могут исчисляться миллионами рублей.

К прямому финансовому ущербу добавляется еще и репутационный. Клиент, зашедший на сайт одного застройщика, в течение того же дня получает шквал звонков от других девелоперов и риелторских агентств с предложением квартиры «в этом районе» — и реагирует на это как на обычный спам. Но ассоциирует он этот спам в первую очередь с тем брендом, на чей сайт заходил изначально. У него возникает антипатия именно к этой компании и нередко пропадает желание с ней сотрудничать.

Три канала утечки

Первый и самый массовый канал — это операторы связи, и он, как ни странно, абсолютно легален. Когда клиент со смартфона заходит на сайт, оператор фиксирует это посещение, а затем при поступлении запроса (от кого угодно) на основании обычного договора оказания услуг может передать за небольшую сумму обезличенный список мобильных номеров своих абонентов, побывавших на этом домене. Такой продукт у операторов называется «сервис по таргетированной рекламе». Закон «О персональных данных» определяет такую информацию как обезличенную или агрегированную и не запрещает оказание подобных услуг. В большинстве случаев, если сам абонент дал согласие на передачу личных данных третьим лицам — а как правило, люди не читая подписывают договор, в котором согласие априори присутствует, — то данные могут передаваться и не в обезличенном виде.

Стоимость такой выборки составляет всего несколько тысяч рублей. Сегодня большая часть сайтов посещается со смартфонов, и оператор знает данные о мобильном телефоне и вашу активность в браузере. Этого для продажника вполне достаточно.

Дальше все просто: купивший список в тот же день выходит на потенциальных клиентов, и звонок воспринимается ими как ответ той самой компании, на сайт которой они заходили. Этот эффект многим знаком из личного опыта. Вспомните, как после визита на сайт автодилера или стоматологии в течение того же дня раздается звонок из другой клиники или дилерского центра с подозрительно точным предложением.

Второй канал — прямой парсинг сайта, и это уже в серой зоне правового поля. Боты в режиме реального времени сканируют сайт конкурента и считывают данные форм: имя, телефон, иногда комментарий. Работоспособность сайта не нарушается, поэтому стандартный мониторинг доступности ничего не показывает. Главная причина такой уязвимости — отсутствие элементарной защиты сайта. Большинство владельцев годами не обновляют платформу, шаблоны и серверные библиотеки. Сам сайт пишут дизайнеры, для которых безопасность не приоритет, а данные форм хранятся в директориях хостинга в незашифрованном виде.

Один из недавних наших кейсов: владелец трех интернет-магазинов бытовой техники, на разработку каждого из которых он потратил около полутора миллионов рублей, столкнулся с четырьмя взломами за квартал, вплоть до стирания базы 1С. Простейший чекап показал, что специалисту требовалось 10 минут, чтобы через устаревшую административную панель платформы выйти на полную клиентскую базу и систему учета. Семь лет без обновлений превратили дорогую витрину в открытую дверь. Причем пренебрегает IT-безопасностью не только малый и средний бизнес — аналогичная ситуация была и у одного крупного регионального девелопера.

Третий канал — внешний код, который компания добровольно размещает на собственном сайте: виджеты обратной связи, чаты, аналитика и многое другое. Каждый такой элемент исполняется в браузере пользователя и, как отдельно фиксирует консорциум OWASP, имеет техническую возможность считывать содержимое страниц и полей формы. Возможны две схемы. Первая — поставщик виджета встроил в него собирающий сценарий и забирает данные клиентов в обход владельца сайта. Вторая, более частая, — поставщик добросовестный, но его инфраструктура взломана, и через виджет на сайт жертвы попадает чужой код. Размещая у себя сторонний элемент, компания де-факто объединяет свою клиентскую часть с инфраструктурой третьего лица и берет на себя его риски.

Слепая зона серверной защиты

Все три канала объединяет одно: они работают вне периметра классической корпоративной информационной безопасности. Сайт функционирует штатно, формы отправляются, заявки приходят без ошибок. Параллельно те же данные уходят третьей стороне — и компания это не видит, потому что событие происходит на стороне клиента или вообще на уровне сети оператора.

В международной практике этот разрыв уже закрывают на уровне регулирования. В стандарте PCI DSS 4.x действуют отдельные требования к контролю сценариев на платежных страницах: оператор обязан вести реестр исполняющихся скриптов, обеспечивать их целостность и фиксировать любые изменения. PCI Security Standards Council — организация, отвечающая за выработку стандартов в платежной индустрии, — прямо объясняет это ростом атак на код, работающий в браузерах пользователей. Логика очевидна: если данные карты можно перехватить из формы оплаты, тем же способом можно перехватить и контактные данные. В России аналогичных требований к страницам со сбором персональных данных пока нет, но подход стоит распространять не дожидаясь введения требований от регулятора.

Правовой парадокс

Удивительно то, что пострадавшая от воровства клиентов сторона несет больше юридических рисков, чем нападающая. По закону оператор персональных данных, то есть владелец сайта, обязан получить от пользователя предметное и однозначное согласие на обработку и передачу его данных третьим лицам. Передача контактов в обход этого правила — нарушение, и ответственность несет владелец сайта, а не тот, кто эти данные перехватил.

В 2025 году в статье 13.11 КоАП появились отдельные составы за неуведомление Роскомнадзора об утечке и за неправомерную передачу персональных данных, штрафы по которым для юрлиц исчисляются миллионами рублей. А вот с компанией, которая покупает (или ворует) лиды, ситуация двойственная. Операторский лид формально обезличен, и его покупка состава нарушения не образует, — но в момент, когда покупатель загружает список в CRM и начинает обзвон, он сам становится оператором персональных данных со всеми вытекающими обязанностями.

Парсерные лиды, считанные с помощью специальных программ, — это уже прямой доступ к персональным данным без согласия, и здесь вполне применима статья 13.11 КоАП. Но будем честны: сложившейся судебной практики по таким делам нет. Правоохранительным органам проще работать с понятными составами, и они вряд ли будут обращать внимание на такие случаи.

Как защититься

Воровство клиентов — серьезный риск, от которого надо защищаться не разовым аудитом, а постоянным контролем на стыке маркетинга, IT и безопасности. Вот базовый чек-лист на проверку и устранение подобных уязвимостей.

  • Фиксируйте аномальности в продажах. Заведите в CRM отдельную причину отказа «уже получил предложение от конкурента» и отслеживайте ее долю. Появление этой категории как значимой (в каждом виде бизнеса это может быть свой показатель) — повод для технической проверки. Параллельно следите за конверсией «посещение — заявка»: если трафик стабилен, а заявок меньше — скорее всего, ваших клиентов уводят.

  • Проведите инвентаризацию внешнего кода. Соберите реестр всех счетчиков, виджетов, пикселей и сторонних библиотек на сайте. Для каждого зафиксируйте ответственного, поставщика, состав собираемых данных и адреса передачи. Если не найдете ответственного за внешний код, отключите его до полного прояснения вопроса.

  • Минимизируйте сторонний код на страницах со сбором контактов. На страницах с формой заявки оставьте только то, без чего форма не работает.

  • Подключите проксирующий сервис. Внешнее решение, через которое проходит трафик сайта, отсекает ботов и закрывает уязвимости платформы на уровне сети. Базовый тариф обойдется примерно в 20 000 рублей в месяц на сайт. Но это снимет до 98% угроз, связанных с автоматизированным сбором данных.

  • Регулярно обновляйте платформу. Bitrix, WordPress или любая другая система управления сайтом (CMS) должны обновляться по графику. Сайт без обновления больше двух-трех лет — это открытая дверь для воров.

Для крупного бизнеса необходимы возможности Web Application Firewall (WAF) и мониторинг клиентской части. WAF блокирует сканирование сайта и эксплуатацию уязвимостей на уровне приложения. Мониторинг сессий показывает, какие скрипты обращаются к полям форм и куда передают данные.

Надо понимать, что эта задача не разовая. Каждый новый виджет, новый подрядчик, новое обновление рекламного кабинета возвращают уязвимость. Контроль клиентской части сайта должен встать в один ряд с привычными IT-процессами. Иначе оплаченный трафик так и будет утекать туда, где его покупают в 10 раз дешевле. А вы будете терять клиентов.

Член генсовета «деловой России», соучредитель ООО «МАДРИГАЛ», ООО УК «ЭМРИС» Анатолий Полтавский

 

К списку публикаций
Читайте также
Образование как главный экспорт XXI века: какие шансы у России
1 июня 2026
Образование как главный экспорт XXI века: какие шансы у России
Российско-Китайская промышленная кооперация
1 июня 2026
Российско-Китайская промышленная кооперация
Бизнес как новая дипломатия: как компании становятся проводниками влияния
28 мая 2026
Бизнес как новая дипломатия: как компании становятся проводниками влияния
Инфраструктура ЖКХ как фундамент туристической привлекательности курортных зон Северного Кавказа
6 мая 2026
Инфраструктура ЖКХ как фундамент туристической привлекательности курортных зон Северного Кавказа
Рабочим повышают статус
15 апреля 2026
Рабочим повышают статус
«Чем дороже нам строить, тем дороже связь»
8 апреля 2026
«Чем дороже нам строить, тем дороже связь»
Наши партнёры
Агентство стратегических инициатив
Сбербанк
Российский экспортный центр
ассоциация инновационных регионов россии
Ассоциация волонтерский центров
Общероссийский народный фронт
Спасибо за отправленную заявку!