Я тебя найду и позвоню

Абсолютно легальные инструменты за смешные деньги могут позволить вам звонить всем активным клиентам ваших конкурентов, построить десяток эффективных мошеннических схем или даже позвонить предполагаемому любовнику вашей девушки/жены, а заодно проверить, где она была вчера вечером! Обнаружил я это в ходе одного из расследований утечек клиентов. И я твердо уверен, что такого быть не должно. Инструмент, использующийся в статье, эффективнее утечек баз. Нашими данными не должны так легко легально торговать практически в режиме онлайн. Можно найти любого, куда он ходит, где живет и спит, и позвонить им. Почему и как это работает, какие риски это несет и как этому противодействовать? Расскажу далее.

Осенью ко мне обратился крупный заказчик с довольно типовой проблемой — утечкой лидов с сайта, собирающего заявки. Работало это так:

Это затрагивало значительную часть клиентов, но не всех. К моменту начала расследования утечке был уже не первый месяц.Отрабатывали мы стандартные гипотезы:

Но эта статья ни в коем случае не пиар расследования, и я не буду утомлять вас подробностями того, как мы исключали одну версию за другой. Важно то, что мы нашли.

Многие знают, как работает таргетированная реклама, и провайдеры сотовой связи открыто продают маркетинговым агентствам данные о переходах на сайты.

Вот, например, прогноз аудитории одного из провайдеров сотовой связи, на таргетинг всех, кто за последнюю неделю заходил на Хабр! Примерно 280 тыс. человек, цена смс каждому будет в районе нескольких рублей + 0.5 рубля за этот доп фильтр. Да, информация по вашему входу на сайт стоит 50 копеек.

Как это работает? Это все входы на сайт через мобильный интернет! Провайдер видит домен к которому вы обращаетесь, он не шифруется по умолчанию в TLS.

Можно купить только у одного провайдера? Нет, они перепродают сервисы друг друга, поэтому можно оттрекать абонентов нескольких провайдеров в личном кабинете одного. Они сами распределяют прибыль от продажи ваших данных.

Данными о заходах на сайты торгуют уже давно, позволяют отправлять СМС, а маркетинговые агентства, покупая этот трафик, позволяют ПОЗВОНИТЬ жертве клиенту, правда, без передачи номера. За оплату такого слива вам дадут ссылку через которую можно позвонить через гейтвей IP-телефонии.

Но это не так страшно и эффективно, ведь на сайт много кто заходит, будет много мусорных звонков от случайных заходов. А у нашего заказчика утекали именно оформленные заявки. Звонили только тем, кто их оставил, и только через мобильный интернет. Но не всем, кто вообще заходил на сайт.

Но не так давно появилась новая опция, позволяющая отследить звонки!

Вам предлагают вбить от 5 номеров, и посмотреть, а сколько ваших жертв, тьфу, клиентов звонили на указанные номера? Или им звонили с этих номеров, или как на скрине “любое направление”. 190 человек из 280 тысяч пользователей Хабра за последнюю неделю общались с техподдержкой Госуслуг, ведь ее номер 78001007010.

Почему я уверен, что их 190, и туда не попали другие 4 номера? Их не существует, туда можно вбить любые несуществующие номера. Вот подтверждение, я поменял первый номер на также не существующий, поменял 0 на конце на 1, и в выборке аудитории стало пусто!

Именно так угоняли заявки у нашего клиента, они ставили фильтры:

Колл-центр заказчика звонил по всем заявкам, а уже на следующий день это появлялось в личном кабинете маркетологов, которые за небольшую сумму могли совершить звонок всем, кто попадал в фильтр!

Да, за слив метаданных ваших телефонных звонков нужно доплатить всего-то 2 рубля!

Полный список доступных фильтров и условий прикладываю:

Отдельно обратите внимание на “присутствие в геозоне” и условие “вход в геозону”. Где-то год назад мой коллега по кибербезопасности Дмитрий Евдокимов спросил у меня, не замечаю ли я, что в командировках в Москву спам звонков и смс прилетает больше, чем дома в Питере? Тогда я не мог аргументированно ответить почему, но вот, Дима (@d1g1), тебе ответ! Таргетят нас именно так.

Но кто еще может использовать подобный инструмент? Покупая ссылки на звонки у маркетинговых компаний за скромные деньги или вовсе бесплатно пользуясь фильтрами?

Конкуренты

Могут таргетировать ваших сотрудников, и звонить вашим клиентам под любым предлогом,копируя вашу базу.

Они же могут таргетировать ваших сотрудников с целью коммерческого шпионажа, фильтры по гео могут даже позволить им следить за перемещениями! Главное — просто правильно их настроить.

Ревнивые мужья/жены

Вы можете позвонить всем, с кем она вчера говорила!

По фильтру звонков таргетите именно ее, а геозоной начинаете искать, сужая круг и перемещая его куда угодно. Вуаля, вы найдете в каких зонах она была в определенный момент в течение дня. И ее подруга живет совсем не там.

Мошенники

И многое многое другое, такой инструмент — настоящий подарок для продвинутых и таргетированных атак “колл-центров служб безопасности”. Все, что нужно, — оплатить услуги любого из кучи агентств, или напрямую закупать у провайдеров на любое юрлицо.

Внимание, платить нужно только за звонок/смс, отслеживать геолокацию абонента можно абсолютно бесплатно в предпросмотре аудитории фильтров!

Если у вас своя компания и вы боитесь утечек клиентов, изобразите клиента. Возьмите новую симку, зайдите к себе на сайт с мобильного интернета и оформите заявку, позвоните на телефон, указанный на сайте. Словом просто пройдите клиентский путь.

Если после такого вам позвонят конкуренты/мошенники, у вас проблема, но уже хорошо, что о ней вы узнали. Первое, что вам придется сделать, — выбить из их рук фильтр звонков, ведь он самый эффективный в таргетинге. Для этого придется сменить привычный номер на сайте, а в идеале заменить его динамическим. При большом и сменяемом пуле номеров, фильтр работать перестанет, отследить, с кем именно общается ваша компания звонками, станет невозможно.

Альтернативный вариант — звонить через мессенджеры, но далеко не всем это будет по душе(

А для обычных пользователей?

Меньше серфите через мобильный интернет, используйте Wi-Fi. Также по возможности прячьте свои коммуникации от провайдера с помощью сервисов защиты трафика, их как раз сейчас используют для совсем другого, о чем сейчас не стоит писать по просьбе РКН. Но это надёжно закроет доступ к посещаемым вами сайтам.Геозону контролировать невозможно, не оставлять же дома телефон, как некоторые криминальные элементы?

Реклама должна работать, это драйвер бизнеса! Но не такой ценой. По моему скромному мнению, необходимо ограничивать инструменты рекламы. Сейчас провайдеры и маркетинговые агентства открыто торгуют очень чувствительной информацией, позволяющей даже узнать, где находился их абонент в течение дня!

Более того, чтобы “пробить” геолокацию, зная номер абонента, не нужно платить ни одного рубля, проходить какую-то модерацию, нужно просто иметь логин и пароль к любому кабинету рекламы! И сделать ему один единственный сброс-звонок, для эффективной фильтрации по звонкам.

Почему это законно? Номер не передается, персональных данных фактически нет. Передается ссылка для звонка, или отправляется СМС сообщение. Геолокация тоже передается "всего фильтра", а не конкретной персоны. Но никого не волнует, что отфильтровать одного человека довольно просто.

Чтобы понять как это стоит ограничить, нужно понять, а где грань этичного таргетинга? Как можно таргетировать группы людей, без возможности вычленить конкретных людей?

Напишите свое мнение в комментариях, попробуем разобраться вместе. По моему мнению, мы эту грань уже давненько прошли. И эта грань — фильтр по звонкам, именно он позволяет нам легко таргетировать и сливать информацию по конкретному абоненту! Зная его номер и сделав ему пустой разовый звонок.

Автор текста: Antxak

Больше интересных статей в нашем блоге на Хабре и телеграм-канале.

Облачные сервисы Timeweb Cloud — это реферальная ссылка, которая может помочь поддержать авторские проекты.

Хочешь стать автором (или уже состоявшийся автор) и есть, чем интересным поделиться (за вознаграждение) в рамках наших блогов — пиши сюда.