Подписка
МЕНЮ
Подписка

СМС-таргетинг для получения информации о клиентах. Схема и методы противодействия

Денис Богданов, 25/04/22

Наверняка у каждого была ситуация, когда требовались конкретная услуга или продукт и сразу же начинала приходить масса СМС-сообщений с предложениями того, что ищется. У многих после этого возникают мысли: "Меня прослушивают? Как это прекратить? Откуда они это узнали?". Я расскажу об одной из причин подобных рассылок, но главная цель – показать, кто этому содействует и как такое происходит.

Форум "Технологии безопасности" 2023 Узнайте, что запланировано!

Данную тему в последнее время все чаще обсуждают не только обычные граждане, но и коллеги, как из области безопасности, так и бизнеса.
В моем примере не будет названо никаких наименований организаций, адресов сайтов и т.д. Я уверен, что и так читатель сможет понять, о чем идет речь. Я опишу и прокомментирую ситуацию из моей рабочей практики.

Регистрация на сайте – и сразу спам-атака

Ситуация следующая. Руководство передает мне информацию о том, что была замечена такая тенденция: клиент регистрируется на нашем сайте для взятия займа и через нескольких минут ему начинают приходить СМС-сообщения от разных организаций, предоставляющих подобные услуги, со ссылками на их онлайн-продукты или рекламу. Таким образом, мы с большой вероятностью можем потерять клиента, портится также и репутация компании: по мнению клиента, именно из-за регистрации на нашем сайте он стал получать множество спам-сообщений. Первая мысль клиента: мы слили его данные всем, кому только могли, причем сразу же после регистрации.

Безусловно, я поднимаю на уши весь отдел информационной безопасности, мы начинаем крупное расследование утечки информации, долго и тщательно проверяем и анализируем любые пути реализации внешних и внутренних угроз… И не находим в итоге ничего, что могло бы подтвердить утечку в интервал между моментом прохождения клиентом процедуры регистрации (когда он попал в нашу базу данных) до момента начала рассылки спама. Все каналы передачи информации, логи выгрузок и действий проверены. Итог: никто ничего за пределы защищаемого контура не передавал, вирусов и бекдоров не обнаружено. Единственной зацепкой было то, что все клиенты перед началом спам-атаки получили сообщение от нашей компании о завершении процедуры регистрации и одобрении требуемого заема.

Проводим тест

Тогда мы решили провести контролируемый тест, с разными условиями, позволяющий сделать ключевые выводы о том, каким образом наше стандартное автоматическое сообщение вызывает спам-атаку. Через нашу систему рассылки СМС принудительно (вручную) были отправлены сообщения об одобрении займа (с точно таким же текстом, как в сообщениях, которые автоматически получают клиенты после регистрации на сайте) на три разных номера телефона, зарегистрированных в трех разных городах, у трех разных сотовых операторов. Одним из главных условий теста было отсутствие данных номеров телефонов в наших базах данных, а также отсутствие регистрации через них на сайтах с подобными услугами. Аналогичный текст был отправлен еще на один номер, но не через систему рассылки, а с личного номера сотрудника компании (для проверки таргетирования по отправителю). После завершения рассылки на один из номеров в течение часа начали приходить сообщения об одобрении займа, со ссылками на страницу-агрегатор. На остальные номера также начали приходить подобные сообщения, но через разный промежуток времени.

На номер телефона, на который был направлен текст не через систему рассылки, никаких сторонних сообщений не поступало.

Узнайте о возможностях лидогенерации и продвижении через контент

Выводы по результатам теста

Исходя из полученных результатов, были сделаны следующие выводы:

  • используемые телефонные номера не присутствовали в базах данных компании – это подтверждает, что угроза внешняя и находится за пределами защищаемого контура компании;  
  • все три основных тестовых номера получили спам-сообщения, следовательно подтверждается утечка информации со стороны операторов сотовой связи, через которых были отправлены СМС с текстом об успешной регистрации;
  • так как спам-сообщения поступали на тестовые номера в разное время, можно сделать вывод, что реакция на таргетирование зависит от конкретного оператора сотовой связи;
  • все три тестовых номера получили спам-сообщения, поэтому можно сделать вывод, что триггером является текст в сообщении об одобрении займа (словосочетание, которое присутствовало во всех трех тестовых рассылках).
  • на номер телефона, на который отправили аналогичные сообщения с личного номера сотрудника компании, без использования системы рассылки, спам-сообщений не поступило – можем сделать вывод, что таргетированию подвержены только определенные сервисы/отправители.

рис01

На основе анализа полученной информации была сформирована схема (см. рис.).

Описание порядка действий:

  1. Компания оповещает клиента об одобрении займа, отправляя СМС-сообщения через систему рассылки. 
  2. Система рассылки направляет текст СМС-сообщения и номер операторам сотовой связи для осуществления рассылки.
  3. Операторы сотовой связи осуществляют таргетирование по тексту от определенных сервисов/отправителей. Из этого делается вывод: клиент является ликвидным для конкретной услуги. Соответственно, происходит теневое обогащение данных об абоненте.
  4. Оператором сотовой связи делается рассылка своим абонентам, на которых сработали триггеры (предположительно, словосочетание "заем одобрен"), с оговоренным текстом и ссылками, в рамках заключенного с агрегатором/конкурентом договором.

Таким образом, фактически передача номера телефона или персональных данных клиентов не происходит, а значит сотовый оператор не нарушает закон, и информации, обогащенной при помощи таргетирования, ему достаточно, чтобы инициировать рассылку от лица конкурента или агрегатора, без фактической передачи информации. Интересная лазейка: 152-ФЗ "О персональных данных" технически не нарушен, так как с абонентов берется согласие на рассылку сообщений при заключении договора на обслуживание. Причем, как показала практика, такие услуги по таргетированию и рассылкам целевым клиентам сотовые операторы публикуют официально, как свою легальную услугу, на своих сайтах.

Кто-нибудь наверняка подумает: ну молодцы они, что нашли лазейку и зарабатывают. Возможно, только они зарабатывают путем порчи репутации других компаний, клиенты которых, возможно, не захотят с ними работать после такой спам-атаки или уйдут к конкурентам из тех же ссылок. При этом поток спама у них не прекратится еще долгое время. Если рассматривать полученную схему со стороны, то это замкнутый круг, где сотовый оператор получает прибыль за счет лазейки, агрегатор – от компании (за размещение логотипов и ссылок на своих лендинг-страницах), но при этом делает таргетированные рассылки через сотового оператора и получает выгоду от других компаний, с которыми у него договор. В такой ситуации здоровая конкуренция просто "выходит из зала", если ты не участвуешь в этой схеме и не платишь агрегатору. А компания при этом платит очень большие деньги сотовым операторам за отправку своих автоматических сообщений клиентам. То есть и деньги платишь всем, и остаешься виноватым, по мнению клиента. Скажите, разве это справедливо?

Когда я учился в университете на курсе информационной безопасности, один старенький преподаватель несколько раз повторял нам такие слова: "Не каждый злоумышленник нарушает закон. И скорее всего потому, что считает: то, что не запрещено, разрешено". С каждым годом работы в этой области все лучше понимаю смысл этого высказывания.

Мнения экспертов по другим темам >>

Как минимизировать риски срабатывания таргета

В качестве рекомендаций по итогам расследования я могу предложить следующие варианты, направленные на снижение конверсии в рамках срабатывания того или иного таргета. Это тот минимум, который можно предложить компаниям, оказавшимся в похожей ситуации:

  • использовать для информирования хотя бы части клиентов (например, делающих заявку через мобильное приложение) отправку текста не через СМС-сообщения, а через push-уведомления (уменьшается взаимодействие с клиентами через сотовых операторов);
  • изменять текст сообщения (с использованием латинских букв и символов) таким образом, чтобы снизить вероятность срабатывания триггера (временная мера, но может помочь);
  • заменить систему рассылки СМС-сообщений на аналогичную (возможно временное снижение конверсии за счет изменения отправителя)
  • обсудить вопрос с агрегаторами, написать юридическую претензию.

В заключение хотелось бы сказать, что, на мой взгляд, единственным решением данной проблемы является законодательный запрет на подобное теневое обогащение информации о клиентах компании путем таргетирования. Я думаю, что описанный мною пример в полной мере показал, какие риски это несет для организации и кто в данном случае является "потенциальным злоумышленником". По крайне мере, когда вы в следующий раз получите спам-рассылку через СМС-сообщения, вы сможете сделать правильные выводы о том, какие действия ее инициировали, кто непосредственно за ней стоит и кому в наибольшей степени она выгодна.

Опубликовано в журнале "Системы безопасности" №1/2022

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Ближайшие ключевые темы в журнале и на сайте

Темы:Информационная безопасностьЖурнал "Системы безопасности" №1/2022
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ РЕКЛАМОДАТЕЛЕМ
Комментарии

More...