Наверняка у каждого была ситуация, когда требовались конкретная услуга или продукт и сразу же начинала приходить масса СМС-сообщений с предложениями того, что ищется. У многих после этого возникают мысли: "Меня прослушивают? Как это прекратить? Откуда они это узнали?". Я расскажу об одной из причин подобных рассылок, но главная цель – показать, кто этому содействует и как такое происходит.
Данную тему в последнее время все чаще обсуждают не только обычные граждане, но и коллеги, как из области безопасности, так и бизнеса.
В моем примере не будет названо никаких наименований организаций, адресов сайтов и т.д. Я уверен, что и так читатель сможет понять, о чем идет речь. Я опишу и прокомментирую ситуацию из моей рабочей практики.
Ситуация следующая. Руководство передает мне информацию о том, что была замечена такая тенденция: клиент регистрируется на нашем сайте для взятия займа и через нескольких минут ему начинают приходить СМС-сообщения от разных организаций, предоставляющих подобные услуги, со ссылками на их онлайн-продукты или рекламу. Таким образом, мы с большой вероятностью можем потерять клиента, портится также и репутация компании: по мнению клиента, именно из-за регистрации на нашем сайте он стал получать множество спам-сообщений. Первая мысль клиента: мы слили его данные всем, кому только могли, причем сразу же после регистрации.
Безусловно, я поднимаю на уши весь отдел информационной безопасности, мы начинаем крупное расследование утечки информации, долго и тщательно проверяем и анализируем любые пути реализации внешних и внутренних угроз… И не находим в итоге ничего, что могло бы подтвердить утечку в интервал между моментом прохождения клиентом процедуры регистрации (когда он попал в нашу базу данных) до момента начала рассылки спама. Все каналы передачи информации, логи выгрузок и действий проверены. Итог: никто ничего за пределы защищаемого контура не передавал, вирусов и бекдоров не обнаружено. Единственной зацепкой было то, что все клиенты перед началом спам-атаки получили сообщение от нашей компании о завершении процедуры регистрации и одобрении требуемого заема.
Тогда мы решили провести контролируемый тест, с разными условиями, позволяющий сделать ключевые выводы о том, каким образом наше стандартное автоматическое сообщение вызывает спам-атаку. Через нашу систему рассылки СМС принудительно (вручную) были отправлены сообщения об одобрении займа (с точно таким же текстом, как в сообщениях, которые автоматически получают клиенты после регистрации на сайте) на три разных номера телефона, зарегистрированных в трех разных городах, у трех разных сотовых операторов. Одним из главных условий теста было отсутствие данных номеров телефонов в наших базах данных, а также отсутствие регистрации через них на сайтах с подобными услугами. Аналогичный текст был отправлен еще на один номер, но не через систему рассылки, а с личного номера сотрудника компании (для проверки таргетирования по отправителю). После завершения рассылки на один из номеров в течение часа начали приходить сообщения об одобрении займа, со ссылками на страницу-агрегатор. На остальные номера также начали приходить подобные сообщения, но через разный промежуток времени.
На номер телефона, на который был направлен текст не через систему рассылки, никаких сторонних сообщений не поступало.
Исходя из полученных результатов, были сделаны следующие выводы:
На основе анализа полученной информации была сформирована схема (см. рис.).
Описание порядка действий:
Таким образом, фактически передача номера телефона или персональных данных клиентов не происходит, а значит сотовый оператор не нарушает закон, и информации, обогащенной при помощи таргетирования, ему достаточно, чтобы инициировать рассылку от лица конкурента или агрегатора, без фактической передачи информации. Интересная лазейка: 152-ФЗ "О персональных данных" технически не нарушен, так как с абонентов берется согласие на рассылку сообщений при заключении договора на обслуживание. Причем, как показала практика, такие услуги по таргетированию и рассылкам целевым клиентам сотовые операторы публикуют официально, как свою легальную услугу, на своих сайтах.
Кто-нибудь наверняка подумает: ну молодцы они, что нашли лазейку и зарабатывают. Возможно, только они зарабатывают путем порчи репутации других компаний, клиенты которых, возможно, не захотят с ними работать после такой спам-атаки или уйдут к конкурентам из тех же ссылок. При этом поток спама у них не прекратится еще долгое время. Если рассматривать полученную схему со стороны, то это замкнутый круг, где сотовый оператор получает прибыль за счет лазейки, агрегатор – от компании (за размещение логотипов и ссылок на своих лендинг-страницах), но при этом делает таргетированные рассылки через сотового оператора и получает выгоду от других компаний, с которыми у него договор. В такой ситуации здоровая конкуренция просто "выходит из зала", если ты не участвуешь в этой схеме и не платишь агрегатору. А компания при этом платит очень большие деньги сотовым операторам за отправку своих автоматических сообщений клиентам. То есть и деньги платишь всем, и остаешься виноватым, по мнению клиента. Скажите, разве это справедливо?
Когда я учился в университете на курсе информационной безопасности, один старенький преподаватель несколько раз повторял нам такие слова: "Не каждый злоумышленник нарушает закон. И скорее всего потому, что считает: то, что не запрещено, разрешено". С каждым годом работы в этой области все лучше понимаю смысл этого высказывания.
В качестве рекомендаций по итогам расследования я могу предложить следующие варианты, направленные на снижение конверсии в рамках срабатывания того или иного таргета. Это тот минимум, который можно предложить компаниям, оказавшимся в похожей ситуации:
В заключение хотелось бы сказать, что, на мой взгляд, единственным решением данной проблемы является законодательный запрет на подобное теневое обогащение информации о клиентах компании путем таргетирования. Я думаю, что описанный мною пример в полной мере показал, какие риски это несет для организации и кто в данном случае является "потенциальным злоумышленником". По крайне мере, когда вы в следующий раз получите спам-рассылку через СМС-сообщения, вы сможете сделать правильные выводы о том, какие действия ее инициировали, кто непосредственно за ней стоит и кому в наибольшей степени она выгодна.
Опубликовано в журнале "Системы безопасности" №1/2022
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>