רמת קושי 1

הורגים את ה Captcha- חלק ב'

חלק שני - כיצד מנגנון ה Captcha עלול לפגוע בהמרות, שני מקרי מבחן ואלטרנטיבות יעילות יותר למבחן

אסף טרפיקנט | 11 דצמבר, 2013

במאמר הקודם, דיברתי על מבחן הקפצ'ה האימתני, ועל הכשלון המובנה במנגנון הזיהוי. בנוסף, ציינתי שלא ממש באתי לדבר על הבעיתיות הטכנולוגית של הקפצ'ה, אלא בעיקר על השאלה – האם מישהו מבין בכלל שזה מבחן ומה המשמעות שלו והבטחתי גם שני מקרי מבחן. בזמן שעבר בין המאמר ההוא לנוכחי, קיבלתי לא מעט פניות וביקשו שאתן אלטרנטיבות לקפצ'ה,אז אתן כמה אלטרנטיבות ואחר אמשיך בתוכנית המקורית.
דבר נוסף שרציתי לציין הוא שמבחני ה Captcha עומדים במשימתם בהצלחה רבה והם אכן חוסמים 99.999% מפניות הספאם. הבעיה היא שהן חוסמות גם משתמשים ופונים לגיטימיים שפשוט נכשלים במבחנים האלו או שלא מבין מה זה בכלל. כשפורסם הפוסט הזה בקבוצת הפייסבוק, יובל כרמי, קולגה לתחום, אמר בתגובה משפט שדי מתמצת את הבעייתיות של הקפצ'ה: "השיקול של מבחן הקפצ'ה הוא אבטחה בלבד וזהו. מבחינתו שהאתר לא יפעל ושאף לקוח לא יכנס. לקוחות זה לא הבעיה שלו. אני מעדיף בטיחות של 99% ויותר לקוחות. את הכמה רובוטים שמצליחים להתפלח לא בעיה לנקות החוצה. להמציא לקוחות יותר קשה".

אכן, להביא לקוחות הרבה יותר קשה ובהמשך המאמר הזה תראו כמה מקרי מבחן שיגרמו לכם לחשוב על כל הקפצ'ה הזה מחדש (כלומר לזרוק אותו לפח אם עוד לא הייתי ברור). אבל קודם, כמה חלופות:

אלטרנטיבות למבחן ה Captcha

  1. בדיקת קישורים בתוכן הפנייה – האמת היא שרוב הבוטים הם לא סתם מתקפות זדוניות עקב סיבות לאומניות או סתם כי משעמם למישהו. אלו מנגנונוים שמחפשים באופן עקבי טפסים באתר תוך תקווה שאלו אינם טפסי צור קשר אלא טפסי תגובות למאמרים. מכיוון שכך, הם מקווים שאין לכם מנגנון אישור תגובות, וייתכן שהתגובה הפיקטיבית הזו אכן תפורסם באתר שלכם ותספק למפרסם קישורים לאתר שלו מתוך טופס התגובה, מה שלכאורה יסייע לו בקידום האתר. בשל כך, אם תשימו לב, רוב הספאם שמגיע לתיבת אישורי התגובות שלכם או לתיבת הפניות, כמעט תמיד מכילים קישורים ובדר"כ יותר מאחד. הפתרון המוצע הוא לכתוב קוד באתר, שכאשר מגיעה פנייה (או תגובה למשל) והיא מכילה יותר מקישור אחד בגוף ההודעה, אז יש לזהות אותה כספאם. מתי הפתרון הזה יכול להיות בעייתי? כאשר אתם מצפים או דורשים מהפניות האמיתיות שיכילו קישורים. עם זאת, במרבית המקרים זה עובד די מצוין.
  2. שדה נסתר – קרוי גם מלכודת הדבש. מנגנוני הספאם כאמור מחפשים טפסים כדי למלא. הם דואגים לעבור על כל השדות בטופס ולמלא את כולם. הטריק כאן, הוא לייצר שדה אשר אינו מוצג לגולש ומכיוון שכך הוא תמיד יהיה ריק. היחיד שיכול למלא אותו הוא בוט ספאם שלא יודע כי מדובר בשדה נסתר. כאשר הטופס נשלח, יש לבדוק האם השדה הזה מלא. במידה וכן, זה אומר שבוט מילא אותו ולא גולש אמיתי (כי גולשים אמיתיים לא רואים אותו.)
  3. שימוש במבחנים קוגנטיביים או גיימיפיקציה של הקפצ'ה – מבחינת עדיפות מדובר מבחינתי בפתרון שהוא הרבה יותר טוב מהקפצ'ה המסורתי אבל עדיין בנחיתות גמורה לפתרונות הקודמים שהצעתי. במקום טקסטים מחונטרשים, מופיעות חידות קוגנטיביות כמו לגרור עם העכבר את האגרטל ולשים על השולחן, או למשל להצביע על החפץ הוורוד, או לציין לאיזה מהחיות המוצגות יש חדק וחידות דומות נוספות. הבעיתיות המובנית במבחן הזה היא רמת הגיחוך והאינפנטיליות וחוסר ההקשר שלה לטופס עצמו ו/או לתדמית החברה. אם אני עובד קשה כדי להביא טראפיק של אנשי כספים בכירים לאתר שלי, ממש לא בא לי שהם ימשכו לחתול בזנב כדי לעבור את הטופס. למבחנים מטופשים נורא שלא כדאי להשתמש בהם הקליקו כאן.
    מבחנים נוספים הם תרגילים מתמטיים (1+1 למיניהם) שמייצרים יותר נזק מתועלת.
  4. גילוי טופס צור קשר – כיום, כאשר אתם לוחצים על Contact us באתר, אתם מועברים לדף צור קשר שמכיל את הטופס ומוצג כבר לגולש. בטכניקה המוצעת, הטופס חבוי למעשה ונדרשת הקלקה ידנית על כפתור כלשהו המגלה את הטופס. הטופס עצמו אינו אמור להיות בקוד הדף עד שהכפתור הזה לא נלחץ.
  5. בדיקה שהטופס אכן הוזן באופן ידני – יש כמה פקודות Javascript המזהות למשל כניסה של העכבר לשדה כלשהו בטופס, או אפילו הזנת ערכים ושינוי תוכן של שדה, למשל OnChange,Onclick וכו'. אם טופס נשלח מבלי שנוטרה אחת מהפעילויות האלו, הטופס הולך ישר לספאם.
  6. בדיקת זמן מילוי טופס – בוט ספאם ממלא טופס בערך תוך אלפית השנייה, לבני אדם זה לוקח קצת יותר. אז אם השרת שלכם יודע לחשב את הזמן מהרגע שדף הטופס נוטען ועד פעילות השליחה בפועל ולחשב את הזמן שלקח למלא את הטופס, ניתן לזהות במדויק מתי מדובר בפעולה אנושית ומתי לא.

אני מאמין שיש עוד לא מעט פתרונות וכמובן שההמלצה היא לשלב כמה מהפתרונות שהוצעו ולא לחסוך כאן. ועכשיו, למנה העיקרית…

שני מקרי מבחן על ה Captcha

את הסוף של מקרי מבחן האלה, אתם בטח מנחשים, אבל חשוב לי שתשימו לב יותר לדרך ופחות לפתרון. אז בוא נניח שאין לכם מושג שאני עומד לספר לכם שהקפצ'ה היה אשם בכל.
לפני כארבעה חודשים פנו אלי מאתר B2B ישראלי הפועל בשוק האירופי, וטענו כי בתקופה האחרונה יש ירידה דרמטית בפניות באתר ללא שום סיבה נראית לעין. נתוני האנליטיקס והקמפיינים השונים לא הראו ירידה משמעותית במונחי הליבה, ועל פניו הכל היה בסדר חוץ מזה שאחוז ההמרות ירד. התחלתי להצליב את הירידה בהמרות מול מימדים שונים באתר – אולי הבעיה בדפדפן כלשהו, אולי הבעיה בטראפיק שלא מגיע ממדיה מסויימת עקב בעיות IP או חסימות אחרות, וכו'. לצערי לא מצאתי שום דבר מעניין עד שהסתכלתי בגרף הפניות המגיע ממובייל. להפתעתי, אחוז ההמרות המגיע ממובייל לא ירד בכלל ונותר עקבי כשהיה. יש לציין כי לא מדובר באתר רספונסיבי אלא באתר אחר המותאם למובייל. זה היה הזמן בו יצרתי קשר עם מנהל האתר שהוא גם מנהל ה IT של החברה והתחלתי לשאול אותו מה קרה בתאריך ממנו התחילה הירידה. לצערי לא היה לו מושג מכיוון שהוא עסוק מאד ומטפל בעשרות פניות מהארגון כל יום והרבה דברים קשורים לאתר ואין לו מעקב על השינויים באתר (איך עושים מעקב? קראו כאן). אז ביקשתי ממנו שיעבור על המיילים בינו לבין מנהל השיווק בחודש שלפני השינוי. ואכן, בחלופת מיילים קצרצרה, מנהל השיווק התלונן על ספאם, מנהל האתר אמר שיוסיף קפצ'ה וכאן נגמר הסיפור. ואיך זה קשור למובייל? מתברר כי מנגנון הקפצ'ה הושם רק באתר הרגיל ולא בגרסת המובייל שלו. הקפצ'ה הוחזר באופן מיידי והוטמע פתרון מסוג "מלכודת הדבש" כפי תואר מקודם, והכל חזר באופן תקין.
מכיוון שעוד לא הגיע הזמן לברך על המוגמר, השלב הבא היה לפנות למח' מכירות אשר אמונים על הפניות באתר, עם השאלה הפשוטה: האם יש לכם יותר פניות מאותו התאריך?  והתשובה הייתה באופן (לא) מפתיע שאכן הם הרגישו עלייה מסויימת בפניות  ואכן מערכת ה CRM אוששה את הטענה. עם זאת, לא הכל היה טוב, ובשורה התחתונה מדובר בהפסד של כ 15% מהפניות. מסקנה לא מדעית: לקוחות החברה לא יכלו למלא טפסים עקב מנגנון הקפצ'ה אז הם פנו לדרכי פנייה אלטרנטיביות (טלפון או מייל רגיל). עם זאת, זה לא השביע את רצון כולם, וחלק מהלקוחות ככל הנראה התייאשו לגמרי. תזכרו שלא לכולם בא להתקשר לטלפון או לפנות במייל וייתכן גם שלא ראו את אופני הפנייה השונים.

המקרה השני מעניין הרבה יותר (יחסית, כן?)
באתר לרכישת כרטיסים למופעי תרבות ביצעתי מדידה על טופס הרכישה עצמו כאשר היה מוכח באופן חד משמעי שכ 30% מאלו שממלאים את הטופס ומגיעים לסופו, נכשלים במבחן הקפצ'ה ונוטשים את התהליך. 30%!! המספרים לא שכנעו את הלקוח שטען שהוא סובל מספאם באופן קשה והוא טען בתוקף כי גם אלו שמילאו לכאורה את הטפסים, הם ספאמרים. מנגד, טענתי כי הבדיקות שלי מוכיחות כי מדובר במשתמשים אנושיים מבחינת ניתוח זמן מילוי טופס ופעולה אמיתית של הזנת שדות – אך עדיין מנהל האתר עמד בסירובו להוריד את הקפצ'ה.
לכאורה כל הכלים המתדולוגיים אזלו לי, אבל כמו תמיד, הכי טוב לכתת רגליים לאנשי המכירות הטלפוניים. או יותר נכון. לשתי בחורות מלבבות שגילו לי את הסוד הנורא (ואפילו לא היתי צריך לעבוד קשה מדי).
מתברר כי כל הזמן יש לא מעט אנשים שמתקשרים למוקד ההזמנות,  וטוענים בתוקף שהם ניסו לשלם באתר אבל לא הצליחו ולכן הם מתקשרים כדי לבצע את ההזמנה באופן "רגיל, כמו פעם".
השלב הבא היה לשבת עם המוקדניות ופשוט להאזין לשיחות תוך שימוש בתסריטי שיחה מוכנים. המטרה הייתה הפעם לנסות למלא את הטפסים ביחד עם המתקשרים, וזה היה די קל מכיוון שבהזמנה דרך האתר המתקשר מקבל הנחה של 4%.
אחרי שלושה ימי האזנות בלבד, המסקנה הייתה ברורה. חלק מהאנשים התייאש מלפגוע ולצלוח את המבחן וטענו שוב ושוב שהם מנסים ולא מצליחים, ובסופו של דבר הם נרשמו באופן טלפוני רגיל. אגב, עדיין ניתנה להם ההנחה למרות שלא עשו זאת דרך האתר (מגיע להם, לא?).
הבעיה הייתה שחלק נכבד בכלל לא הבינו שיש מבחן ונטו להתעלם מזה לגמרי. גם כאשר המוקדנית אמרה להם "עכשיו תמלאו בשדה את הטקסט שאתם רואים בקוביה השחורה" הם לא הבינו מה היא רוצה מהם. אם ניחשתם שמדובר באנשים מבוגרים, צדקתם. אז עכשיו המוקדנית נאלצה להסביר להם בטלפון מה זה הדבר הזה ומה צריך לעשות שם.
עכשיו היה הרבה יותר קל לשכנע את הארגון כי יש להוריד את הקפצ'ה ואכן כך היה.

דבר נוסף שאני רוצה לציין בהקשר הזה הוא מבחינתי מרכיב ליבה בתפיסת הלקוח וחווית המשתמש:
בעיית הספאם היא בעיה שלכם. לא של הלקוח.
מבחן הקפצ'ה מעביר את האחריות לפתרון הבעיה על הלקוח הפוטנציאלי שלכם. יתרה מכך, הלקוח אינו מעוניין לשמוע על הבעיות שלכם. אם התקשרתם למוקד והמתנתם שעה על הקו ובסוף הנציג אומר לכם שיש חוסר במוקדנים, אתם מסכימים איתי שזה ממש לא מעניין אתכם ואפילו מרגיז.
בעצם הטמעת מבחן הקפצ'ה אתם מעבירים את נטל ההוכחה על הגולש ובכך מסירים אחריות מהבעיה וסומכים על פתרונות צד ג' (שלא אתם פיתחתם) שמשפיעים באופן ישיר, ומהווים חלק אינטגרלי ומהותי בתהליך יצירת הקשר של הלקוחות הפוטנציאליים שלכם.

ואם לא הייתי ברור, תנו לאחד מהוריכם את המבחן הבא:

captcha

אסף טרפיקנט
רוצה לקרוא אחר כך?

חלק שני - כיצד מנגנון ה Captcha עלול לפגוע בהמרות, שני מקרי מבחן ואלטרנטיבות יעילות יותר למבחן

במאמר הקודם, דיברתי על מבחן הקפצ'ה האימתני, ועל הכשלון המובנה במנגנון הזיהוי. בנוסף, ציינתי שלא ממש באתי לדבר על הבעיתיות הטכנולוגית של הקפצ'ה, אלא בעיקר על השאלה – האם מישהו מבין בכלל שזה מבחן ומה המשמעות שלו והבטחתי גם שני מקרי מבחן. בזמן שעבר בין המאמר ההוא לנוכחי, קיבלתי לא מעט פניות וביקשו שאתן אלטרנטיבות לקפצ'ה,אז אתן כמה אלטרנטיבות ואחר אמשיך בתוכנית המקורית.
דבר נוסף שרציתי לציין הוא שמבחני ה Captcha עומדים במשימתם בהצלחה רבה והם אכן חוסמים 99.999% מפניות הספאם. הבעיה היא שהן חוסמות גם משתמשים ופונים לגיטימיים שפשוט נכשלים במבחנים האלו או שלא מבין מה זה בכלל. כשפורסם הפוסט הזה בקבוצת הפייסבוק, יובל כרמי, קולגה לתחום, אמר בתגובה משפט שדי מתמצת את הבעייתיות של הקפצ'ה: "השיקול של מבחן הקפצ'ה הוא אבטחה בלבד וזהו. מבחינתו שהאתר לא יפעל ושאף לקוח לא יכנס. לקוחות זה לא הבעיה שלו. אני מעדיף בטיחות של 99% ויותר לקוחות. את הכמה רובוטים שמצליחים להתפלח לא בעיה לנקות החוצה. להמציא לקוחות יותר קשה".

אכן, להביא לקוחות הרבה יותר קשה ובהמשך המאמר הזה תראו כמה מקרי מבחן שיגרמו לכם לחשוב על כל הקפצ'ה הזה מחדש (כלומר לזרוק אותו לפח אם עוד לא הייתי ברור). אבל קודם, כמה חלופות:

אלטרנטיבות למבחן ה Captcha

  1. בדיקת קישורים בתוכן הפנייה – האמת היא שרוב הבוטים הם לא סתם מתקפות זדוניות עקב סיבות לאומניות או סתם כי משעמם למישהו. אלו מנגנונוים שמחפשים באופן עקבי טפסים באתר תוך תקווה שאלו אינם טפסי צור קשר אלא טפסי תגובות למאמרים. מכיוון שכך, הם מקווים שאין לכם מנגנון אישור תגובות, וייתכן שהתגובה הפיקטיבית הזו אכן תפורסם באתר שלכם ותספק למפרסם קישורים לאתר שלו מתוך טופס התגובה, מה שלכאורה יסייע לו בקידום האתר. בשל כך, אם תשימו לב, רוב הספאם שמגיע לתיבת אישורי התגובות שלכם או לתיבת הפניות, כמעט תמיד מכילים קישורים ובדר"כ יותר מאחד. הפתרון המוצע הוא לכתוב קוד באתר, שכאשר מגיעה פנייה (או תגובה למשל) והיא מכילה יותר מקישור אחד בגוף ההודעה, אז יש לזהות אותה כספאם. מתי הפתרון הזה יכול להיות בעייתי? כאשר אתם מצפים או דורשים מהפניות האמיתיות שיכילו קישורים. עם זאת, במרבית המקרים זה עובד די מצוין.
  2. שדה נסתר – קרוי גם מלכודת הדבש. מנגנוני הספאם כאמור מחפשים טפסים כדי למלא. הם דואגים לעבור על כל השדות בטופס ולמלא את כולם. הטריק כאן, הוא לייצר שדה אשר אינו מוצג לגולש ומכיוון שכך הוא תמיד יהיה ריק. היחיד שיכול למלא אותו הוא בוט ספאם שלא יודע כי מדובר בשדה נסתר. כאשר הטופס נשלח, יש לבדוק האם השדה הזה מלא. במידה וכן, זה אומר שבוט מילא אותו ולא גולש אמיתי (כי גולשים אמיתיים לא רואים אותו.)
  3. שימוש במבחנים קוגנטיביים או גיימיפיקציה של הקפצ'ה – מבחינת עדיפות מדובר מבחינתי בפתרון שהוא הרבה יותר טוב מהקפצ'ה המסורתי אבל עדיין בנחיתות גמורה לפתרונות הקודמים שהצעתי. במקום טקסטים מחונטרשים, מופיעות חידות קוגנטיביות כמו לגרור עם העכבר את האגרטל ולשים על השולחן, או למשל להצביע על החפץ הוורוד, או לציין לאיזה מהחיות המוצגות יש חדק וחידות דומות נוספות. הבעיתיות המובנית במבחן הזה היא רמת הגיחוך והאינפנטיליות וחוסר ההקשר שלה לטופס עצמו ו/או לתדמית החברה. אם אני עובד קשה כדי להביא טראפיק של אנשי כספים בכירים לאתר שלי, ממש לא בא לי שהם ימשכו לחתול בזנב כדי לעבור את הטופס. למבחנים מטופשים נורא שלא כדאי להשתמש בהם הקליקו כאן.
    מבחנים נוספים הם תרגילים מתמטיים (1+1 למיניהם) שמייצרים יותר נזק מתועלת.
  4. גילוי טופס צור קשר – כיום, כאשר אתם לוחצים על Contact us באתר, אתם מועברים לדף צור קשר שמכיל את הטופס ומוצג כבר לגולש. בטכניקה המוצעת, הטופס חבוי למעשה ונדרשת הקלקה ידנית על כפתור כלשהו המגלה את הטופס. הטופס עצמו אינו אמור להיות בקוד הדף עד שהכפתור הזה לא נלחץ.
  5. בדיקה שהטופס אכן הוזן באופן ידני – יש כמה פקודות Javascript המזהות למשל כניסה של העכבר לשדה כלשהו בטופס, או אפילו הזנת ערכים ושינוי תוכן של שדה, למשל OnChange,Onclick וכו'. אם טופס נשלח מבלי שנוטרה אחת מהפעילויות האלו, הטופס הולך ישר לספאם.
  6. בדיקת זמן מילוי טופס – בוט ספאם ממלא טופס בערך תוך אלפית השנייה, לבני אדם זה לוקח קצת יותר. אז אם השרת שלכם יודע לחשב את הזמן מהרגע שדף הטופס נוטען ועד פעילות השליחה בפועל ולחשב את הזמן שלקח למלא את הטופס, ניתן לזהות במדויק מתי מדובר בפעולה אנושית ומתי לא.

אני מאמין שיש עוד לא מעט פתרונות וכמובן שההמלצה היא לשלב כמה מהפתרונות שהוצעו ולא לחסוך כאן. ועכשיו, למנה העיקרית…

שני מקרי מבחן על ה Captcha

את הסוף של מקרי מבחן האלה, אתם בטח מנחשים, אבל חשוב לי שתשימו לב יותר לדרך ופחות לפתרון. אז בוא נניח שאין לכם מושג שאני עומד לספר לכם שהקפצ'ה היה אשם בכל.
לפני כארבעה חודשים פנו אלי מאתר B2B ישראלי הפועל בשוק האירופי, וטענו כי בתקופה האחרונה יש ירידה דרמטית בפניות באתר ללא שום סיבה נראית לעין. נתוני האנליטיקס והקמפיינים השונים לא הראו ירידה משמעותית במונחי הליבה, ועל פניו הכל היה בסדר חוץ מזה שאחוז ההמרות ירד. התחלתי להצליב את הירידה בהמרות מול מימדים שונים באתר – אולי הבעיה בדפדפן כלשהו, אולי הבעיה בטראפיק שלא מגיע ממדיה מסויימת עקב בעיות IP או חסימות אחרות, וכו'. לצערי לא מצאתי שום דבר מעניין עד שהסתכלתי בגרף הפניות המגיע ממובייל. להפתעתי, אחוז ההמרות המגיע ממובייל לא ירד בכלל ונותר עקבי כשהיה. יש לציין כי לא מדובר באתר רספונסיבי אלא באתר אחר המותאם למובייל. זה היה הזמן בו יצרתי קשר עם מנהל האתר שהוא גם מנהל ה IT של החברה והתחלתי לשאול אותו מה קרה בתאריך ממנו התחילה הירידה. לצערי לא היה לו מושג מכיוון שהוא עסוק מאד ומטפל בעשרות פניות מהארגון כל יום והרבה דברים קשורים לאתר ואין לו מעקב על השינויים באתר (איך עושים מעקב? קראו כאן). אז ביקשתי ממנו שיעבור על המיילים בינו לבין מנהל השיווק בחודש שלפני השינוי. ואכן, בחלופת מיילים קצרצרה, מנהל השיווק התלונן על ספאם, מנהל האתר אמר שיוסיף קפצ'ה וכאן נגמר הסיפור. ואיך זה קשור למובייל? מתברר כי מנגנון הקפצ'ה הושם רק באתר הרגיל ולא בגרסת המובייל שלו. הקפצ'ה הוחזר באופן מיידי והוטמע פתרון מסוג "מלכודת הדבש" כפי תואר מקודם, והכל חזר באופן תקין.
מכיוון שעוד לא הגיע הזמן לברך על המוגמר, השלב הבא היה לפנות למח' מכירות אשר אמונים על הפניות באתר, עם השאלה הפשוטה: האם יש לכם יותר פניות מאותו התאריך?  והתשובה הייתה באופן (לא) מפתיע שאכן הם הרגישו עלייה מסויימת בפניות  ואכן מערכת ה CRM אוששה את הטענה. עם זאת, לא הכל היה טוב, ובשורה התחתונה מדובר בהפסד של כ 15% מהפניות. מסקנה לא מדעית: לקוחות החברה לא יכלו למלא טפסים עקב מנגנון הקפצ'ה אז הם פנו לדרכי פנייה אלטרנטיביות (טלפון או מייל רגיל). עם זאת, זה לא השביע את רצון כולם, וחלק מהלקוחות ככל הנראה התייאשו לגמרי. תזכרו שלא לכולם בא להתקשר לטלפון או לפנות במייל וייתכן גם שלא ראו את אופני הפנייה השונים.

המקרה השני מעניין הרבה יותר (יחסית, כן?)
באתר לרכישת כרטיסים למופעי תרבות ביצעתי מדידה על טופס הרכישה עצמו כאשר היה מוכח באופן חד משמעי שכ 30% מאלו שממלאים את הטופס ומגיעים לסופו, נכשלים במבחן הקפצ'ה ונוטשים את התהליך. 30%!! המספרים לא שכנעו את הלקוח שטען שהוא סובל מספאם באופן קשה והוא טען בתוקף כי גם אלו שמילאו לכאורה את הטפסים, הם ספאמרים. מנגד, טענתי כי הבדיקות שלי מוכיחות כי מדובר במשתמשים אנושיים מבחינת ניתוח זמן מילוי טופס ופעולה אמיתית של הזנת שדות – אך עדיין מנהל האתר עמד בסירובו להוריד את הקפצ'ה.
לכאורה כל הכלים המתדולוגיים אזלו לי, אבל כמו תמיד, הכי טוב לכתת רגליים לאנשי המכירות הטלפוניים. או יותר נכון. לשתי בחורות מלבבות שגילו לי את הסוד הנורא (ואפילו לא היתי צריך לעבוד קשה מדי).
מתברר כי כל הזמן יש לא מעט אנשים שמתקשרים למוקד ההזמנות,  וטוענים בתוקף שהם ניסו לשלם באתר אבל לא הצליחו ולכן הם מתקשרים כדי לבצע את ההזמנה באופן "רגיל, כמו פעם".
השלב הבא היה לשבת עם המוקדניות ופשוט להאזין לשיחות תוך שימוש בתסריטי שיחה מוכנים. המטרה הייתה הפעם לנסות למלא את הטפסים ביחד עם המתקשרים, וזה היה די קל מכיוון שבהזמנה דרך האתר המתקשר מקבל הנחה של 4%.
אחרי שלושה ימי האזנות בלבד, המסקנה הייתה ברורה. חלק מהאנשים התייאש מלפגוע ולצלוח את המבחן וטענו שוב ושוב שהם מנסים ולא מצליחים, ובסופו של דבר הם נרשמו באופן טלפוני רגיל. אגב, עדיין ניתנה להם ההנחה למרות שלא עשו זאת דרך האתר (מגיע להם, לא?).
הבעיה הייתה שחלק נכבד בכלל לא הבינו שיש מבחן ונטו להתעלם מזה לגמרי. גם כאשר המוקדנית אמרה להם "עכשיו תמלאו בשדה את הטקסט שאתם רואים בקוביה השחורה" הם לא הבינו מה היא רוצה מהם. אם ניחשתם שמדובר באנשים מבוגרים, צדקתם. אז עכשיו המוקדנית נאלצה להסביר להם בטלפון מה זה הדבר הזה ומה צריך לעשות שם.
עכשיו היה הרבה יותר קל לשכנע את הארגון כי יש להוריד את הקפצ'ה ואכן כך היה.

דבר נוסף שאני רוצה לציין בהקשר הזה הוא מבחינתי מרכיב ליבה בתפיסת הלקוח וחווית המשתמש:
בעיית הספאם היא בעיה שלכם. לא של הלקוח.
מבחן הקפצ'ה מעביר את האחריות לפתרון הבעיה על הלקוח הפוטנציאלי שלכם. יתרה מכך, הלקוח אינו מעוניין לשמוע על הבעיות שלכם. אם התקשרתם למוקד והמתנתם שעה על הקו ובסוף הנציג אומר לכם שיש חוסר במוקדנים, אתם מסכימים איתי שזה ממש לא מעניין אתכם ואפילו מרגיז.
בעצם הטמעת מבחן הקפצ'ה אתם מעבירים את נטל ההוכחה על הגולש ובכך מסירים אחריות מהבעיה וסומכים על פתרונות צד ג' (שלא אתם פיתחתם) שמשפיעים באופן ישיר, ומהווים חלק אינטגרלי ומהותי בתהליך יצירת הקשר של הלקוחות הפוטנציאליים שלכם.

ואם לא הייתי ברור, תנו לאחד מהוריכם את המבחן הבא:

captcha