Полностью легальные инструменты за смешные деньги могут позволить вам обзвонить всех активных клиентов ваших конкурентов, настроить с десяток эффективных схем мошенничества или даже позвонить предполагаемому любовнику вашей девушки/жены, а заодно проверить, где она была прошлой ночью! Я обнаружил это во время одного из расследований утечек информации от клиентов. И я твердо убежден, что этого не должно произойти. Инструмент, использованный в статье, более эффективен, чем утечки баз данных. Наши данные не должны так легко обмениваться легально и виртуально онлайн. Вы можете найти любого, где бы он ни был, живет и спит, и позвонить ему. Почему и как это работает, какие риски это представляет и как это исправить? Я скажу вам больше.

Покажите это сообщение Эдварду, пожалуйста. Я верю в сеть Хабра!

❯ Расследование, с которого все началось

Осенью ко мне обратился крупный клиент с довольно типичной проблемой: утечка лидов с сайта, собирающего заявки. Это работало следующим образом:

  • Клиент оставляет заявку на сайте.

  • В тот же день с ним связывается колл-центр клиента.

  • На следующий день ему звонят преступники и начинают продавать свое.

Это коснулось значительной части клиентов, но не всех. На момент начала расследования утечке уже больше месяца. Мы разработали стандартные предположения:

  • Освободили сотрудники колл-центра.

  • Технический фактор утечки данных сайта.

  • Слив данных партнерами и субподрядчиками.

  • Ориентируйтесь на клиентов компании.

Но эта статья ни в коем случае не является пиар-расследованием, и я не буду утомлять вас подробностями того, как мы исключали одну версию за другой. Важно то, что мы нашли.

Многие знают, как работает таргетированная реклама, а операторы сотовой связи открыто продают данные о посещаемости своего сайта маркетинговым агентствам.

Хабр-аудитория мобильного оператора

Хабр-аудитория мобильного оператора

Вот, например, прогноз аудитории одного из мобильных провайдеров с таргетингом на всех, кто заходил на Хабр за последнюю неделю! Примерно для 280 000 человек цена одного СМС для каждого составит около нескольких рублей + 0,5 рубля за этот дополнительный фильтр. Да, информация о вашем входе на сайт стоит 50 копеек.

ЧИТАТЬ  Эволюция кибербезопасности в эпоху Интернета вещей и облачных вычислений

Как это работает? Это все подключения к сайту через мобильный интернет! Провайдер видит домен, к которому вы обращаетесь; по умолчанию он не шифруется с помощью TLS.

Могу ли я купить товар только у одного поставщика? Нет, они перепродают друг друга, поэтому отслеживать подписчиков от нескольких провайдеров можно в личном кабинете только одного. Они сами распределяют прибыль от продажи ваших данных.

Данные о посещениях сайта торгуются уже давно, это позволяет отправлять СМС, а маркетинговые агентства, покупая этот трафик, позволяют ЗВОНИТЬ. жертве клиенту, однако без передачи номера. Для оплаты такого стока вы получите ссылку, по которой сможете позвонить через шлюз IP-телефонии.

Но это не так страшно и эффективно, ведь сайт посещает много людей, будет много спам-звонков от случайных посетителей. И заполненные заявки наших клиентов были раскрыты. Звонили только тем, кто их покинул, и то через мобильный интернет. Но далеко не всем, кто посетил сайт.

Но не так давно появилась новая опция, позволяющая отслеживать звонки!

Вы посещали Хабр и разговаривали по телефону с госслужбами? Вы здесь

Вы бывали на Хабре и разговаривали по телефону с госслужбами? Вы здесь

Вам предлагается ввести минимум 5 номеров и посмотреть, сколько из них ваших. жертвытьфу, клиентам звонили по указанным номерам? Либо звонили с этих номеров, либо как на скриншоте «в любую сторону». За прошедшую неделю с техподдержкой госуслуг общались 190 человек из 280 000 пользователей Хабра, ведь ее номер 78001007010.

Почему я уверен, что их 190, а остальные 4 номера не пришли? Их не существует; вы можете ввести туда числа, которых не существует. Вот подтверждение, я поменял первую цифру на ту, которой тоже нет, поменял 0 в конце на 1, и выбор аудитории стал пустым!

5 неактивных номеров

5 неактивных номеров

Именно так воровали запросы нашего клиента, ставили фильтры:

Колл-центр клиента реагировал на все запросы, и уже на следующий день они появлялись в личном кабинете маркетологов, которые за небольшую сумму могли позвонить каждому, кто попал в фильтр!

ЧИТАТЬ  Вакансии в области кибербезопасности: самые высокооплачиваемые должности в США

Да, вам просто нужно доплатить 2 рубля за раскрытие метаданных ваших телефонных звонков!

Прилагаю полный список доступных фильтров и условий:

Фильтры и цены на их добавление от одного из провайдеров

Фильтры и цены на их добавление от одного из провайдеров

И условия, при которых будет отправлено СМС

И условия, при которых будет отправлено СМС

Особое внимание обратите на условия «присутствие в геозоне» и «вход в геозону». Около года назад мой коллега по кибербезопасности Дмитрий Евдокимов спросил меня, заметил ли я, что в командировках в Москву я получаю больше нежелательных звонков и СМС, чем дома в Санкт-Петербурге? Вот я и не смог дать аргументированного ответа, но вот, Дима (@d1g1), твой ответ! Именно так они нацелены на нас.

❯ Что, если они не маркетологи?

Но кто еще может использовать такой инструмент? Купить ссылки звонков у маркетинговых компаний за небольшую плату или бесплатно использовать фильтры?

Конкуренты

Они могут атаковать ваших сотрудников и звонить вашим клиентам под любым предлогом, копируя вашу базу данных.

Они могут нацелить ваших сотрудников на корпоративный шпионаж; геофильтры могут даже позволить им отслеживать ваши перемещения! Главное просто правильно их настроить.

Ревнивые мужья/жены

Ты можешь позвони всем, с кем она разговаривала вчера!

С помощью фильтра звонков нацеливайтесь именно на нее и с помощью геозоны начинаете поиск, сужая круг и перемещая его куда угодно. Так, вы узнаете в каких районах она была в определенное время суток. А ее подруга там вообще не живет.

Кто посещает Сингера?

Кто посещает Сингера?

Кто из них был там в данный момент времени?

Кто из них был там в данный момент времени?

Мошенники

  • Выяснить, что жертва (да, жертва уже есть) зашла в геозону?

  • Обзвонить всех, кто вчера общался с автоцентром класса люкс, и попросить внести залог за бронь?

  • Обзвонить всех гостей дорогого отеля, которые заселились туда вчера, и позвонили ему? Вы можете подарить что-то элитное с «предоплатой»!

И более того, такой инструмент является настоящей находкой для продвинутых и целенаправленных атак на «колл-центры безопасности». Все, что вам нужно сделать, это оплатить услуги одного из многочисленных агентств или купить напрямую у поставщиков любого юридического лица.

Обратите внимание, вы платите только за звонок/СМС; Вы можете абсолютно бесплатно отслеживать геолокацию подписчика в фильтре обзора аудитории!

ЧИТАТЬ  Yoast SEO 22.6 содержит больше улучшений

❯ Как этому противостоять?

Если у вас свой бизнес и вы боитесь утечек клиентов, притворитесь клиентом. Возьмите новую сим-карту, зайдите на свой сайт из мобильного интернета и оформите заявку, позвоните по указанному на сайте номеру телефона. Короче говоря, просто пройдите путь клиента.

Если после этого вам позвонят конкуренты/мошенники – у вас проблема, но хорошо, что вы узнали. Первое, что нужно сделать, это сбросить на них фильтр звонков, так как это самый эффективный таргетинг. Для этого вам нужно будет изменить обычный номер на сайте, а в идеале заменить его на динамический номер. При большом и меняющемся пуле номеров фильтр перестанет работать и узнать по звонку, с кем именно общается ваша компания, станет невозможно.

Альтернативный вариант — позвонить через мессенджеры, но это понравится не всем(

А что насчет обычных пользователей?

Меньше пользуйтесь мобильным интернетом, пользуйтесь Wi-Fi. Также по возможности скройте свои коммуникации от провайдера, используя сервисы защиты трафика; они теперь используются совсем для другого, о чем сейчас писать по требованию РКН не стоит. Но он надежно заблокирует доступ к посещаемым вами сайтам.

невозможно контролировать геозону; почему бы не оставить телефон дома, как некоторые криминальные элементы?

❯ Что нам следует делать в глобальном масштабе?

Реклама должна работать, это двигатель бизнеса! Но не по этой цене. По моему скромному мнению, рекламные инструменты должны быть ограничены. Сегодня продавцы и маркетинговые агентства открыто обмениваются очень конфиденциальной информацией, позволяя даже узнать, где в течение дня находился их подписчик!

Причём, чтобы «проколоть» геолокацию, зная номер абонента, не нужно платить ни рубля.проходят своеобразную модерацию, вам достаточно иметь логин и пароль для любого рекламного аккаунта! И сделайте один вызов сброса для эффективной фильтрации вызовов.

Почему это законно? Номер не передается, личных данных практически нет. Отправляется ссылка для звонка или отправляется SMS-сообщение. Геолокация также передается «от всего фильтра», а не от конкретного человека. Но никого не волнует, что отфильтровать всего лишь одного человека довольно легко.

Чтобы понять, как это следует ограничить, нужно понять, где проходит грань этического таргетирования? Как вы ориентируетесь на группы людей, не имея возможности ориентироваться на конкретных людей?

Напишите свое мнение в комментариях, попробуем разобраться вместе. По-моему, мы уже давно превысили этот лимит. И этот край — фильтровать по звонкамИменно это позволяет нам легко таргетировать и раскрывать информацию о конкретном подписчике! Узнайте его номер и сделайте один пустой звонок.

Новости, обзоры продуктов и конкурсы от команды Timeweb.Cloud на нашем Telegram-канале

Перейти ↩

?Также читайте:

Source