Я тебя найду и позвоню

Абсолютно легальные инструменты за смешные деньги могут позволить вам звонить всем активным клиентам ваших конкурентов, построить десяток эффективных мошеннических схем или даже позвонить предполагаемому любовнику вашей девушки/жены, а заодно проверить, где она была вчера вечером! Обнаружил я это в ходе одного из расследований утечек клиентов. И я твердо уверен, что такого быть не должно. Инструмент, использующийся в статье, эффективнее утечек баз. Нашими данными не должны так легко легально торговать практически в режиме онлайн. Можно найти любого, куда он ходит, где живет и спит, и позвонить им. Почему и как это работает, какие риски это несет и как этому противодействовать? Расскажу далее.

❯ Расследование, с которого всё началось

Осенью ко мне обратился крупный заказчик с довольно типовой проблемой — утечкой лидов с сайта, собирающего заявки. Работало это так:

• Клиент оставляет заявку на сайте.

• В этот же день с ним связывается колл-центр заказчика.

• На следующий день ему звонят злоумышленники и начинают продавать уже свое.

Это затрагивало значительную часть клиентов, но не всех. К моменту начала расследования утечке был уже не первый месяц.Отрабатывали мы стандартные гипотезы:

• Слив сотрудниками колл-центра.

• Технический фактор слива данных с сайта.

• Слив данных партнерами и контрагентами.

• Таргетинг на клиентов компании.

Но эта статья ни в коем случае не пиар расследования, и я не буду утомлять вас подробностями того, как мы исключали одну версию за другой. Важно то, что мы нашли.

Многие знают, как работает таргетированная реклама, и провайдеры сотовой связи открыто продают маркетинговым агентствам данные о переходах на сайты.

Вот, например, прогноз аудитории одного из провайдеров сотовой связи, на таргетинг всех, кто за последнюю неделю заходил на Хабр! Примерно 280 тыс. человек, цена смс каждому будет в районе нескольких рублей + 0.5 рубля за этот доп фильтр. Да, информация по вашему входу на сайт стоит 50 копеек.

Как это работает? Это все входы на сайт через мобильный интернет! Провайдер видит домен к которому вы обращаетесь, он не шифруется по умолчанию в TLS. 

Можно купить только у одного провайдера? Нет, они перепродают сервисы друг друга, поэтому можно оттрекать абонентов нескольких провайдеров в личном кабинете одного. Они сами распределяют прибыль от продажи ваших данных.

Данными о заходах на сайты торгуют уже давно, позволяют отправлять СМС,  а маркетинговые агентства, покупая этот трафик, позволяют ПОЗВОНИТЬ жертве клиенту, правда, без передачи номера. За оплату такого слива вам дадут ссылку через которую можно позвонить через гейтвей IP-телефонии.

Но это не так страшно и эффективно, ведь на сайт много кто заходит, будет много мусорных звонков от случайных заходов. А у нашего заказчика утекали именно оформленные заявки. Звонили только тем, кто их оставил, и только через мобильный интернет. Но не всем, кто вообще заходил на сайт.

Но не так давно появилась новая опция, позволяющая отследить звонки!

Вам предлагают вбить от 5 номеров, и посмотреть, а сколько ваших жертв, тьфу, клиентов звонили на указанные номера? Или им звонили с этих номеров, или как на скрине “любое направление”. 190 человек из 280 тысяч пользователей Хабра за последнюю неделю общались с техподдержкой Госуслуг, ведь ее номер 78001007010.

Почему я уверен, что их 190, и туда не попали другие 4 номера? Их не существует, туда можно вбить любые несуществующие номера. Вот подтверждение, я поменял первый номер на также не существующий, поменял 0 на конце на 1, и в выборке аудитории стало пусто!

Именно так угоняли заявки у нашего клиента, они ставили фильтры:

• Заход на сайт компании.

• Звонок с номера колл-центра компании.

Колл-центр заказчика звонил по всем заявкам, а уже на следующий день это появлялось в личном кабинете маркетологов, которые за небольшую сумму могли совершить звонок всем, кто попадал в фильтр!

Да, за слив метаданных ваших телефонных звонков нужно доплатить всего-то 2 рубля!

Полный список доступных фильтров и условий прикладываю:

Отдельно обратите внимание на “присутствие в геозоне” и условие “вход в геозону”. Где-то год назад мой коллега по кибербезопасности Дмитрий Евдокимов спросил у меня, не замечаю ли я, что в командировках в Москву спам звонков и смс прилетает больше, чем дома в Питере? Тогда я не мог аргументированно ответить почему, но вот, Дима (@d1g1), тебе ответ! Таргетят нас именно так.

❯ А если не маркетологи?

Но кто еще может использовать подобный инструмент? Покупая ссылки на звонки у маркетинговых компаний за скромные деньги или вовсе бесплатно пользуясь фильтрами?

Конкуренты

Могут таргетировать ваших сотрудников, и звонить вашим клиентам под любым предлогом,копируя вашу базу. 

Они же могут таргетировать ваших сотрудников с целью коммерческого шпионажа, фильтры по гео могут даже позволить им следить за перемещениями! Главное — просто правильно их настроить.

Ревнивые мужья/жены

• Ваша жена/девушка с кем-то очень мило беседовала вчера?

Вы можете позвонить всем, с кем она вчера говорила! 

• Она куда-то ездила на выходных и вы ей звонили?

По фильтру звонков таргетите именно ее, а геозоной начинаете искать, сужая круг и перемещая его куда угодно. Вуаля, вы найдете в каких зонах она была в определенный момент в течение дня. И ее подруга живет совсем не там.

Мошенники

• Узнать, что жертва (да, тут уже жертва) уехала в геозону?

• Позвонить всем, кто общался вчера с центром элитных автомобилей, и попросить предоплату за бронь?

• Позвонить всем клиентам дорогого отеля, которые вчера туда заехали и звонили в него? Можно предложить что-то элитное с “предоплатой”!

И многое многое другое, такой инструмент — настоящий подарок для продвинутых и таргетированных атак “колл-центров служб безопасности”. Все, что нужно, — оплатить услуги любого из кучи агентств, или напрямую закупать у провайдеров на любое юрлицо. 

Внимание, платить нужно только за звонок/смс, отслеживать геолокацию абонента можно абсолютно бесплатно в предпросмотре аудитории фильтров!

❯ А как этому противодействовать?

Если у вас своя компания и вы боитесь утечек клиентов, изобразите клиента. Возьмите новую симку, зайдите к себе на сайт с мобильного интернета и оформите заявку, позвоните на телефон, указанный на сайте. Словом просто пройдите клиентский путь.

Если после такого вам позвонят конкуренты/мошенники, у вас проблема, но уже хорошо, что о ней вы узнали. Первое, что вам придется сделать, — выбить из их рук фильтр звонков, ведь он самый эффективный в таргетинге. Для этого придется сменить привычный номер на сайте, а в идеале заменить его динамическим. При большом и сменяемом пуле номеров, фильтр работать перестанет, отследить, с кем именно общается ваша компания звонками, станет невозможно.

Альтернативный вариант — звонить через мессенджеры, но далеко не всем это будет по душе(

А для обычных пользователей?

Меньше серфите через мобильный интернет, используйте Wi-Fi. Также по возможности прячьте свои коммуникации от провайдера с помощью сервисов защиты трафика, их как раз сейчас используют для совсем другого, о чем сейчас не стоит писать по просьбе РКН. Но это надёжно закроет доступ к посещаемым вами сайтам.

Геозону контролировать невозможно, не оставлять же дома телефон, как некоторые криминальные элементы?

❯ А что с этим делать глобально?

Реклама должна работать, это драйвер бизнеса! Но не такой ценой. По моему скромному мнению, необходимо ограничивать инструменты рекламы. Сейчас провайдеры и маркетинговые агентства открыто торгуют очень чувствительной информацией, позволяющей даже узнать, где находился их абонент в течение дня!

Более того, чтобы “пробить” геолокацию, зная номер абонента, не нужно платить ни одного рубля, проходить какую-то модерацию, нужно просто иметь логин и пароль к любому кабинету рекламы! И сделать ему один единственный сброс-звонок, для эффективной фильтрации по звонкам.

Почему это законно? Номер не передается, персональных данных фактически нет. Передается ссылка для звонка, или отправляется СМС сообщение. Геолокация тоже передается "всего фильтра", а не конкретной персоны. Но никого не волнует, что отфильтровать одного человека довольно просто.

Чтобы понять как это стоит ограничить, нужно понять, а где грань этичного таргетинга? Как можно таргетировать группы людей, без возможности вычленить конкретных людей?

Напишите свое мнение в комментариях, попробуем разобраться вместе. По моему мнению, мы эту грань уже давненько прошли. И эта грань — фильтр по звонкам, именно он позволяет нам легко таргетировать и сливать информацию по конкретному абоненту! Зная его номер и сделав ему пустой разовый звонок.