Я тебя найду и позвоню

в 8:05, , рубрики: timeweb_статьи, информационная безопасность, персональные данные, провайдеры связи, торговля данными, утечка данных

Абсолютно легальные инструменты за смешные деньги могут позволить вам звонить всем активным клиентам ваших конкурентов, построить десяток эффективных мошеннических схем или даже позвонить предполагаемому любовнику вашей девушки/жены, а заодно проверить, где она была вчера вечером! Обнаружил я это в ходе одного из расследований утечек клиентов. И я твердо уверен, что такого быть не должно. Инструмент, использующийся в статье, эффективнее утечек баз. Нашими данными не должны так легко легально торговать практически в режиме онлайн. Можно найти любого, куда он ходит, где живет и спит, и позвонить им. Почему и как это работает, какие риски это несет и как этому противодействовать? Расскажу далее.

Покажите этот пост Эдварду, пожалуйста. Я верю в нетворк !

Покажите этот пост Эдварду, пожалуйста. Я верю в нетворк !

❯ Расследование, с которого всё началось

Осенью ко мне обратился крупный заказчик с довольно типовой проблемой — утечкой лидов с сайта, собирающего заявки. Работало это так:

  • Клиент оставляет заявку на сайте.

  • В этот же день с ним связывается колл-центр заказчика.

  • На следующий день ему звонят злоумышленники и начинают продавать уже свое.

Это затрагивало значительную часть клиентов, но не всех. К моменту начала расследования утечке был уже не первый месяц.Отрабатывали мы стандартные гипотезы:

  • Слив сотрудниками колл-центра.

  • Технический фактор слива данных с сайта.

  • Слив данных партнерами и контрагентами.

  • Таргетинг на клиентов компании.

Но эта статья ни в коем случае не пиар расследования, и я не буду утомлять вас подробностями того, как мы исключали одну версию за другой. Важно то, что мы нашли.

Многие знают, как работает таргетированная реклама, и провайдеры сотовой связи открыто продают маркетинговым агентствам данные о переходах на сайты.

Аудитория Хабра от провайдера сотовой связи

Аудитория Хабра от провайдера сотовой связи

Вот, например, прогноз аудитории одного из провайдеров сотовой связи, на таргетинг всех, кто за последнюю неделю заходил на Хабр! Примерно 280 тыс. человек, цена смс каждому будет в районе нескольких рублей + 0.5 рубля за этот доп фильтр. Да, информация по вашему входу на сайт стоит 50 копеек.

Как это работает? Это все входы на сайт через мобильный интернет! Провайдер видит домен к которому вы обращаетесь, он не шифруется по умолчанию в TLS. 

Можно купить только у одного провайдера? Нет, они перепродают сервисы друг друга, поэтому можно оттрекать абонентов нескольких провайдеров в личном кабинете одного. Они сами распределяют прибыль от продажи ваших данных.

Данными о заходах на сайты торгуют уже давно, позволяют отправлять СМС,  а маркетинговые агентства, покупая этот трафик, позволяют ПОЗВОНИТЬ жертве клиенту, правда, без передачи номера. За оплату такого слива вам дадут ссылку через которую можно позвонить через гейтвей IP-телефонии.

Но это не так страшно и эффективно, ведь на сайт много кто заходит, будет много мусорных звонков от случайных заходов. А у нашего заказчика утекали именно оформленные заявки. Звонили только тем, кто их оставил, и только через мобильный интернет. Но не всем, кто вообще заходил на сайт.

Но не так давно появилась новая опция, позволяющая отследить звонки!

Заходил на Хабр и общался по телефону с Госуслугами? Ты тут

Заходил на Хабр и общался по телефону с Госуслугами? Ты тут

Вам предлагают вбить от 5 номеров, и посмотреть, а сколько ваших жертв, тьфу, клиентов звонили на указанные номера? Или им звонили с этих номеров, или как на скрине “любое направление”. 190 человек из 280 тысяч пользователей Хабра за последнюю неделю общались с техподдержкой Госуслуг, ведь ее номер 78001007010.

Почему я уверен, что их 190, и туда не попали другие 4 номера? Их не существует, туда можно вбить любые несуществующие номера. Вот подтверждение, я поменял первый номер на также не существующий, поменял 0 на конце на 1, и в выборке аудитории стало пусто!

5 неактивных номеров

5 неактивных номеров

Именно так угоняли заявки у нашего клиента, они ставили фильтры:

  • Заход на сайт компании.

  • Звонок с номера колл-центра компании.

Колл-центр заказчика звонил по всем заявкам, а уже на следующий день это появлялось в личном кабинете маркетологов, которые за небольшую сумму могли совершить звонок всем, кто попадал в фильтр!

Да, за слив метаданных ваших телефонных звонков нужно доплатить всего-то 2 рубля!

Полный список доступных фильтров и условий прикладываю:

Фильтры и цены их добавления у одного из провайдеров

Фильтры и цены их добавления у одного из провайдеров
И условия при которых будет отправлена СМС

И условия при которых будет отправлена СМС

Отдельно обратите внимание на “присутствие в геозоне” и условие “вход в геозону”. Где-то год назад мой коллега по кибербезопасности Дмитрий Евдокимов спросил у меня, не замечаю ли я, что в командировках в Москву спам звонков и смс прилетает больше, чем дома в Питере? Тогда я не мог аргументированно ответить почему, но вот, Дима (@d1g1), тебе ответ! Таргетят нас именно так.

❯ А если не маркетологи?

Но кто еще может использовать подобный инструмент? Покупая ссылки на звонки у маркетинговых компаний за скромные деньги или вовсе бесплатно пользуясь фильтрами?

Конкуренты

Могут таргетировать ваших сотрудников, и звонить вашим клиентам под любым предлогом,копируя вашу базу. 

Они же могут таргетировать ваших сотрудников с целью коммерческого шпионажа, фильтры по гео могут даже позволить им следить за перемещениями! Главное — просто правильно их настроить.

Ревнивые мужья/жены

  • Ваша жена/девушка с кем-то очень мило беседовала вчера?

Вы можете позвонить всем, с кем она вчера говорила! 

  • Она куда-то ездила на выходных и вы ей звонили?

По фильтру звонков таргетите именно ее, а геозоной начинаете искать, сужая круг и перемещая его куда угодно. Вуаля, вы найдете в каких зонах она была в определенный момент в течение дня. И ее подруга живет совсем не там.

Кто бывает в Зингере?

Кто бывает в Зингере?
А кто из них был в определенный момент времени?

А кто из них был в определенный момент времени?

Мошенники

  • Узнать, что жертва (да, тут уже жертва) уехала в геозону?

  • Позвонить всем, кто общался вчера с центром элитных автомобилей, и попросить предоплату за бронь?

  • Позвонить всем клиентам дорогого отеля, которые вчера туда заехали и звонили в него? Можно предложить что-то элитное с “предоплатой”!

И многое многое другое, такой инструмент — настоящий подарок для продвинутых и таргетированных атак “колл-центров служб безопасности”. Все, что нужно, — оплатить услуги любого из кучи агентств, или напрямую закупать у провайдеров на любое юрлицо. 

Внимание, платить нужно только за звонок/смс, отслеживать геолокацию абонента можно абсолютно бесплатно в предпросмотре аудитории фильтров!

❯ А как этому противодействовать?

Если у вас своя компания и вы боитесь утечек клиентов, изобразите клиента. Возьмите новую симку, зайдите к себе на сайт с мобильного интернета и оформите заявку, позвоните на телефон, указанный на сайте. Словом просто пройдите клиентский путь.

Если после такого вам позвонят конкуренты/мошенники, у вас проблема, но уже хорошо, что о ней вы узнали. Первое, что вам придется сделать, — выбить из их рук фильтр звонков, ведь он самый эффективный в таргетинге. Для этого придется сменить привычный номер на сайте, а в идеале заменить его динамическим. При большом и сменяемом пуле номеров, фильтр работать перестанет, отследить, с кем именно общается ваша компания звонками, станет невозможно.

Альтернативный вариант — звонить через мессенджеры, но далеко не всем это будет по душе(

А для обычных пользователей?

Меньше серфите через мобильный интернет, используйте Wi-Fi. Также по возможности прячьте свои коммуникации от провайдера с помощью сервисов защиты трафика, их как раз сейчас используют для совсем другого, о чем сейчас не стоит писать по просьбе РКН. Но это надёжно закроет доступ к посещаемым вами сайтам.

Геозону контролировать невозможно, не оставлять же дома телефон, как некоторые криминальные элементы?

❯ А что с этим делать глобально?

Реклама должна работать, это драйвер бизнеса! Но не такой ценой. По моему скромному мнению, необходимо ограничивать инструменты рекламы. Сейчас провайдеры и маркетинговые агентства открыто торгуют очень чувствительной информацией, позволяющей даже узнать, где находился их абонент в течение дня!

Более того, чтобы “пробить” геолокацию, зная номер абонента, не нужно платить ни одного рубля, проходить какую-то модерацию, нужно просто иметь логин и пароль к любому кабинету рекламы! И сделать ему один единственный сброс-звонок, для эффективной фильтрации по звонкам.

Почему это законно? Номер не передается, персональных данных фактически нет. Передается ссылка для звонка, или отправляется СМС сообщение. Геолокация тоже передается "всего фильтра", а не конкретной персоны. Но никого не волнует, что отфильтровать одного человека довольно просто.

Чтобы понять как это стоит ограничить, нужно понять, а где грань этичного таргетинга? Как можно таргетировать группы людей, без возможности вычленить конкретных людей?

Напишите свое мнение в комментариях, попробуем разобраться вместе. По моему мнению, мы эту грань уже давненько прошли. И эта грань — фильтр по звонкам, именно он позволяет нам легко таргетировать и сливать информацию по конкретному абоненту! Зная его номер и сделав ему пустой разовый звонок.


Автор: Antxak

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js