СМС-таргетинг для получения информации о клиентах

Наверняка у каждого была ситуация, когда требовались конкретная услуга или продукт и сразу же начинала приходить масса СМС-сообщений с предложениями того, что ищется. У многих после этого возникают мысли: "Меня прослушивают? Как это прекратить? Откуда они это узнали?". Я расскажу об одной из причин подобных рассылок, но главная цель – показать, кто этому содействует и как такое происходит.

Данную тему в последнее время все чаще обсуждают не только обычные граждане, но и коллеги, как из области безопасности, так и бизнеса.
В моем примере не будет названо никаких наименований организаций, адресов сайтов и т.д. Я уверен, что и так читатель сможет понять, о чем идет речь. Я опишу и прокомментирую ситуацию из моей рабочей практики.

Регистрация на сайте – и сразу спам-атака

Ситуация следующая. Руководство передает мне информацию о том, что была замечена такая тенденция: клиент регистрируется на нашем сайте для взятия займа и через нескольких минут ему начинают приходить СМС-сообщения от разных организаций, предоставляющих подобные услуги, со ссылками на их онлайн-продукты или рекламу. Таким образом, мы с большой вероятностью можем потерять клиента, портится также и репутация компании: по мнению клиента, именно из-за регистрации на нашем сайте он стал получать множество спам-сообщений. Первая мысль клиента: мы слили его данные всем, кому только могли, причем сразу же после регистрации.

Безусловно, я поднимаю на уши весь отдел информационной безопасности, мы начинаем крупное расследование утечки информации, долго и тщательно проверяем и анализируем любые пути реализации внешних и внутренних угроз… И не находим в итоге ничего, что могло бы подтвердить утечку в интервал между моментом прохождения клиентом процедуры регистрации (когда он попал в нашу базу данных) до момента начала рассылки спама. Все каналы передачи информации, логи выгрузок и действий проверены. Итог: никто ничего за пределы защищаемого контура не передавал, вирусов и бекдоров не обнаружено. Единственной зацепкой было то, что все клиенты перед началом спам-атаки получили сообщение от нашей компании о завершении процедуры регистрации и одобрении требуемого заема.

Проводим тест

Тогда мы решили провести контролируемый тест, с разными условиями, позволяющий сделать ключевые выводы о том, каким образом наше стандартное автоматическое сообщение вызывает спам-атаку. Через нашу систему рассылки СМС принудительно (вручную) были отправлены сообщения об одобрении займа (с точно таким же текстом, как в сообщениях, которые автоматически получают клиенты после регистрации на сайте) на три разных номера телефона, зарегистрированных в трех разных городах, у трех разных сотовых операторов. Одним из главных условий теста было отсутствие данных номеров телефонов в наших базах данных, а также отсутствие регистрации через них на сайтах с подобными услугами. Аналогичный текст был отправлен еще на один номер, но не через систему рассылки, а с личного номера сотрудника компании (для проверки таргетирования по отправителю). После завершения рассылки на один из номеров в течение часа начали приходить сообщения об одобрении займа, со ссылками на страницу-агрегатор. На остальные номера также начали приходить подобные сообщения, но через разный промежуток времени.

На номер телефона, на который был направлен текст не через систему рассылки, никаких сторонних сообщений не поступало.

Выводы по результатам теста

Исходя из полученных результатов, были сделаны следующие выводы:

• используемые телефонные номера не присутствовали в базах данных компании – это подтверждает, что угроза внешняя и находится за пределами защищаемого контура компании;  
• все три основных тестовых номера получили спам-сообщения, следовательно подтверждается утечка информации со стороны операторов сотовой связи, через которых были отправлены СМС с текстом об успешной регистрации;
• так как спам-сообщения поступали на тестовые номера в разное время, можно сделать вывод, что реакция на таргетирование зависит от конкретного оператора сотовой связи;
• все три тестовых номера получили спам-сообщения, поэтому можно сделать вывод, что триггером является текст в сообщении об одобрении займа (словосочетание, которое присутствовало во всех трех тестовых рассылках).
• на номер телефона, на который отправили аналогичные сообщения с личного номера сотрудника компании, без использования системы рассылки, спам-сообщений не поступило – можем сделать вывод, что таргетированию подвержены только определенные сервисы/отправители.

На основе анализа полученной информации была сформирована схема (см. рис.).

Описание порядка действий:

1. Компания оповещает клиента об одобрении займа, отправляя СМС-сообщения через систему рассылки. 
2. Система рассылки направляет текст СМС-сообщения и номер операторам сотовой связи для осуществления рассылки.
3. Операторы сотовой связи осуществляют таргетирование по тексту от определенных сервисов/отправителей. Из этого делается вывод: клиент является ликвидным для конкретной услуги. Соответственно, происходит теневое обогащение данных об абоненте.
4. Оператором сотовой связи делается рассылка своим абонентам, на которых сработали триггеры (предположительно, словосочетание "заем одобрен"), с оговоренным текстом и ссылками, в рамках заключенного с агрегатором/конкурентом договором.

Таким образом, фактически передача номера телефона или персональных данных клиентов не происходит, а значит сотовый оператор не нарушает закон, и информации, обогащенной при помощи таргетирования, ему достаточно, чтобы инициировать рассылку от лица конкурента или агрегатора, без фактической передачи информации. Интересная лазейка: 152-ФЗ "О персональных данных" технически не нарушен, так как с абонентов берется согласие на рассылку сообщений при заключении договора на обслуживание. Причем, как показала практика, такие услуги по таргетированию и рассылкам целевым клиентам сотовые операторы публикуют официально, как свою легальную услугу, на своих сайтах.

Кто-нибудь наверняка подумает: ну молодцы они, что нашли лазейку и зарабатывают. Возможно, только они зарабатывают путем порчи репутации других компаний, клиенты которых, возможно, не захотят с ними работать после такой спам-атаки или уйдут к конкурентам из тех же ссылок. При этом поток спама у них не прекратится еще долгое время. Если рассматривать полученную схему со стороны, то это замкнутый круг, где сотовый оператор получает прибыль за счет лазейки, агрегатор – от компании (за размещение логотипов и ссылок на своих лендинг-страницах), но при этом делает таргетированные рассылки через сотового оператора и получает выгоду от других компаний, с которыми у него договор. В такой ситуации здоровая конкуренция просто "выходит из зала", если ты не участвуешь в этой схеме и не платишь агрегатору. А компания при этом платит очень большие деньги сотовым операторам за отправку своих автоматических сообщений клиентам. То есть и деньги платишь всем, и остаешься виноватым, по мнению клиента. Скажите, разве это справедливо?

Когда я учился в университете на курсе информационной безопасности, один старенький преподаватель несколько раз повторял нам такие слова: "Не каждый злоумышленник нарушает закон. И скорее всего потому, что считает: то, что не запрещено, разрешено". С каждым годом работы в этой области все лучше понимаю смысл этого высказывания.

Как минимизировать риски срабатывания таргета

В качестве рекомендаций по итогам расследования я могу предложить следующие варианты, направленные на снижение конверсии в рамках срабатывания того или иного таргета. Это тот минимум, который можно предложить компаниям, оказавшимся в похожей ситуации:

• использовать для информирования хотя бы части клиентов (например, делающих заявку через мобильное приложение) отправку текста не через СМС-сообщения, а через push-уведомления (уменьшается взаимодействие с клиентами через сотовых операторов);
• изменять текст сообщения (с использованием латинских букв и символов) таким образом, чтобы снизить вероятность срабатывания триггера (временная мера, но может помочь);
• заменить систему рассылки СМС-сообщений на аналогичную (возможно временное снижение конверсии за счет изменения отправителя)
• обсудить вопрос с агрегаторами, написать юридическую претензию.

В заключение хотелось бы сказать, что, на мой взгляд, единственным решением данной проблемы является законодательный запрет на подобное теневое обогащение информации о клиентах компании путем таргетирования. Я думаю, что описанный мною пример в полной мере показал, какие риски это несет для организации и кто в данном случае является "потенциальным злоумышленником". По крайне мере, когда вы в следующий раз получите спам-рассылку через СМС-сообщения, вы сможете сделать правильные выводы о том, какие действия ее инициировали, кто непосредственно за ней стоит и кому в наибольшей степени она выгодна.

Опубликовано в журнале "Системы безопасности" №1/2022

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>