Абсолютно легальные инструменты за смешные деньги могут позволить вам звонить всем активным клиентам ваших конкурентов, построить десяток эффективных мошеннических схем или даже позвонить предполагаемому любовнику вашей девушки/жены, а заодно проверить, где она была вчера вечером! Обнаружил я это в ходе одного из расследований утечек клиентов. И я твердо уверен, что такого быть не должно. Инструмент, использующийся в статье, эффективнее утечек баз. Нашими данными не должны так легко легально торговать практически в режиме онлайн. Можно найти любого, куда он ходит, где живет и спит, и позвонить им. Почему и как это работает, какие риски это несет и как этому противодействовать? Расскажу далее.

❯ Расследование, с которого всё началось

Осенью ко мне обратился крупный заказчик с довольно типовой проблемой — утечкой лидов с сайта, собирающего заявки. Работало это так:

• Клиент оставляет заявку на сайте.

• В этот же день с ним связывается колл-центр заказчика.

• На следующий день ему звонят злоумышленники и начинают продавать уже свое.

Это затрагивало значительную часть клиентов, но не всех. К моменту начала расследования утечке был уже не первый месяц.Отрабатывали мы стандартные гипотезы:

• Слив сотрудниками колл-центра.

• Технический фактор слива данных с сайта.

• Слив данных партнерами и контрагентами.

• Таргетинг на клиентов компании.

Но эта статья ни в коем случае не пиар расследования, и я не буду утомлять вас подробностями того, как мы исключали одну версию за другой. Важно то, что мы нашли.

Многие знают, как работает таргетированная реклама, и провайдеры сотовой связи открыто продают маркетинговым агентствам данные о переходах на сайты.

Вот, например, прогноз аудитории одного из провайдеров сотовой связи, на таргетинг всех, кто за последнюю неделю заходил на Хабр! Примерно 280 тыс. человек, цена смс каждому будет в районе нескольких рублей + 0.5 рубля за этот доп фильтр. Да, информация по вашему входу на сайт стоит 50 копеек.

Как это работает? Это все входы на сайт через мобильный интернет! Провайдер видит домен к которому вы обращаетесь, он не шифруется по умолчанию в TLS.

Можно купить только у одного провайдера? Нет, они перепродают сервисы друг друга, поэтому можно оттрекать абонентов нескольких провайдеров в личном кабинете одного. Они сами распределяют прибыль от продажи ваших данных.

Данными о заходах на сайты торгуют уже давно, позволяют отправлять СМС,  а маркетинговые агентства, покупая этот трафик, позволяют ПОЗВОНИТЬ жертве клиенту, правда, без передачи номера. За оплату такого слива вам дадут ссылку через которую можно позвонить через гейтвей IP-телефонии.

Но это не так страшно и эффективно, ведь на сайт много кто заходит, будет много мусорных звонков от случайных заходов. А у нашего заказчика утекали именно оформленные заявки. Звонили только тем, кто их оставил, и только через мобильный интернет. Но не всем, кто вообще заходил на сайт.

Но не так давно появилась новая опция, позволяющая отследить звонки!

Вам предлагают вбить от 5 номеров, и посмотреть, а сколько ваших жертв, тьфу, клиентов звонили на указанные номера? Или им звонили с этих номеров, или как на скрине “любое направление”. 190 человек из 280 тысяч пользователей Хабра за последнюю неделю общались с техподдержкой Госуслуг, ведь ее номер 78001007010.

Почему я уверен, что их 190, и туда не попали другие 4 номера? Их не существует, туда можно вбить любые несуществующие номера. Вот подтверждение, я поменял первый номер на также не существующий, поменял 0 на конце на 1, и в выборке аудитории стало пусто!

Именно так угоняли заявки у нашего клиента, они ставили фильтры:

• Заход на сайт компании.

• Звонок с номера колл-центра компании.

Колл-центр заказчика звонил по всем заявкам, а уже на следующий день это появлялось в личном кабинете маркетологов, которые за небольшую сумму могли совершить звонок всем, кто попадал в фильтр!

Да, за слив метаданных ваших телефонных звонков нужно доплатить всего-то 2 рубля!

Полный список доступных фильтров и условий прикладываю:

Отдельно обратите внимание на “присутствие в геозоне” и условие “вход в геозону”. Где-то год назад мой коллега по кибербезопасности Дмитрий Евдокимов спросил у меня, не замечаю ли я, что в командировках в Москву спам звонков и смс прилетает больше, чем дома в Питере? Тогда я не мог аргументированно ответить почему, но вот, Дима (@d1g1), тебе ответ! Таргетят нас именно так.

❯ А если не маркетологи?

Но кто еще может использовать подобный инструмент? Покупая ссылки на звонки у маркетинговых компаний за скромные деньги или вовсе бесплатно пользуясь фильтрами?

Конкуренты

Могут таргетировать ваших сотрудников, и звонить вашим клиентам под любым предлогом,копируя вашу базу.

Они же могут таргетировать ваших сотрудников с целью коммерческого шпионажа, фильтры по гео могут даже позволить им следить за перемещениями! Главное — просто правильно их настроить.

Ревнивые мужья/жены

• Ваша жена/девушка с кем-то очень мило беседовала вчера?

Вы можете позвонить всем, с кем она вчера говорила!

• Она куда-то ездила на выходных и вы ей звонили?

По фильтру звонков таргетите именно ее, а геозоной начинаете искать, сужая круг и перемещая его куда угодно. Вуаля, вы найдете в каких зонах она была в определенный момент в течение дня. И ее подруга живет совсем не там.

Мошенники

• Узнать, что жертва (да, тут уже жертва) уехала в геозону?

• Позвонить всем, кто общался вчера с центром элитных автомобилей, и попросить предоплату за бронь?

• Позвонить всем клиентам дорогого отеля, которые вчера туда заехали и звонили в него? Можно предложить что-то элитное с “предоплатой”!

И многое многое другое, такой инструмент — настоящий подарок для продвинутых и таргетированных атак “колл-центров служб безопасности”. Все, что нужно, — оплатить услуги любого из кучи агентств, или напрямую закупать у провайдеров на любое юрлицо.

Внимание, платить нужно только за звонок/смс, отслеживать геолокацию абонента можно абсолютно бесплатно в предпросмотре аудитории фильтров!

❯ А как этому противодействовать?

Если у вас своя компания и вы боитесь утечек клиентов, изобразите клиента. Возьмите новую симку, зайдите к себе на сайт с мобильного интернета и оформите заявку, позвоните на телефон, указанный на сайте. Словом просто пройдите клиентский путь.

Если после такого вам позвонят конкуренты/мошенники, у вас проблема, но уже хорошо, что о ней вы узнали. Первое, что вам придется сделать, — выбить из их рук фильтр звонков, ведь он самый эффективный в таргетинге. Для этого придется сменить привычный номер на сайте, а в идеале заменить его динамическим. При большом и сменяемом пуле номеров, фильтр работать перестанет, отследить, с кем именно общается ваша компания звонками, станет невозможно.

Альтернативный вариант — звонить через мессенджеры, но далеко не всем это будет по душе(

А для обычных пользователей?

Меньше серфите через мобильный интернет, используйте Wi-Fi. Также по возможности прячьте свои коммуникации от провайдера с помощью сервисов защиты трафика, их как раз сейчас используют для совсем другого, о чем сейчас не стоит писать по просьбе РКН. Но это надёжно закроет доступ к посещаемым вами сайтам.

Геозону контролировать невозможно, не оставлять же дома телефон, как некоторые криминальные элементы?

❯ А что с этим делать глобально?

Реклама должна работать, это драйвер бизнеса! Но не такой ценой. По моему скромному мнению, необходимо ограничивать инструменты рекламы. Сейчас провайдеры и маркетинговые агентства открыто торгуют очень чувствительной информацией, позволяющей даже узнать, где находился их абонент в течение дня!

Более того, чтобы “пробить” геолокацию, зная номер абонента, не нужно платить ни одного рубля, проходить какую-то модерацию, нужно просто иметь логин и пароль к любому кабинету рекламы! И сделать ему один единственный сброс-звонок, для эффективной фильтрации по звонкам.

Почему это законно? Номер не передается, персональных данных фактически нет. Передается ссылка для звонка, или отправляется СМС сообщение. Геолокация тоже передается "всего фильтра", а не конкретной персоны. Но никого не волнует, что отфильтровать одного человека довольно просто.

Чтобы понять как это стоит ограничить, нужно понять, а где грань этичного таргетинга? Как можно таргетировать группы людей, без возможности вычленить конкретных людей?

Напишите свое мнение в комментариях, попробуем разобраться вместе. По моему мнению, мы эту грань уже давненько прошли. И эта грань — фильтр по звонкам, именно он позволяет нам легко таргетировать и сливать информацию по конкретному абоненту! Зная его номер и сделав ему пустой разовый звонок.

Написано специально для Timeweb Cloud и читателей Пикабу. Больше интересных статей и новостей в нашем блоге на Хабре и телеграм-канале.

Хочешь стать автором (или уже состоявшийся автор) и есть, чем интересным поделиться в рамках наших блогов (за вознаграждение) — пиши сюда.

Облачные сервисы Timeweb Cloud — это реферальная ссылка, которая может помочь поддержать авторские проекты.

Сегодня мы хотим поделиться с Вами действительно интересной и уникальной информацией, которая как минимум расширит ваш кругозор в сфере безопасности, а как максимум вы узнаете, как же работает Европол?

У этой статьи есть видео формат с комментариями автора и историей от 1 лица, как он побывал в главном здании управления Европола. Ссылка на видео

Часть 1 Закулисье Европола: экскурсия в сердце европейской кибербезопасности

Нашему спикеру удалось пообщаться с сотрудником такой организации, и теперь мы готовы поделиться знаниями и опытом с Вами, уважаемые читатели канала CyberYozh. Наверняка, многие из вас слышали про организацию, которая гордо носит название Интерпол- интернациональная полицейская организация, подобно Интерполу есть организация под названием Европол, она занимается расследованием преступлений, совершенных на территории Европы.

При этом нарушителям даже не обязательно находиться в Европе для того, чтобы совершить там преступление. Дело в том, что это может быть связано с личными данными, с человеком, находящимся на территории Евросоюза, с местным банком, либо же с магазинами, компаниями, платежным шлюзом и так далее. Так вот, Европол занимается расследованием преступлений, совершенных на территории Европы.

Возможно, многие из Вас не знают, но штаб-квартира данной организации находится в Гааге, где нам посчастливилось оказаться. Фактически в любой стране мира спецслужбы агитируют студентов на работу у них, поэтому часто проводят дни открытых дверей и экскурсионные часы. И наша команда смогла попасть туда вместе со студентами Лейденского университета. Для них как раз была организована экскурсия.

Сейчас хотим немного отвлечься и поговорить о кинематографе, чуть позже вы поймете почему. Наверняка многие из вас смотрели различные фильмы про хакеров. Одним из таких фильмов является кинокартина “Кто я”? Кстати, чисто с кинематографической точки зрения “Кто я?” является довольно прикольным фильмом. Конечно, если ты в теме, то многие детали могут вызвать ухмылку, но это все равно что судить работу медиков по сериалу “Доктор Хаус”

В кинематографе достаточно часто есть определенные допущения, которые созданы для того, чтобы картинка была приятна для пользователя. Поэтому там все время происходят различные приключения, необычные ситуации и так далее. И как раз в фильме “Кто я?” был показан Европол, там главный герой проводил в метрополии небольшую диверсию и, собственно говоря, туда мы и попали.

Европол состоит из нескольких корпусов. Серое здание ничем особо не примечательное, кроме вывески Европола. Работают там обычные люди, в рамках экскурсии нам показывали, что и как там работает, если честно, было не особо интересно. Мы там общались с различными людьми, с представителями разных должностей. И фактически в самом конце мы попали в отдел, который занимается расследованием преступлений в информационный среде, - отдел информационной безопасности, если можно так его назвать.

В этом отделе у нас была беседа в формате интервью с человеком, занимающим пост заместителя начальника отдела. Внешний вид сотрудника был абсолютно не примечательным, кроме его роста. Этот человек раньше был в составе так называемой тактической группы Европола. Наверняка, вам будет любопытно узнать, что такое тактическая группа? Это что-то наподобие опергруппы, только она действует не на территории какого-то города или, например, района. Она действует на территории всего Евросоюза. То есть, условно говоря, как он нам рассказывал, он проводил задержания и спецоперации в различных частях Европы. И он поделился большим количеством интересных подробностей, отвечал на наши вопросы, которые представитель нашей команды подготовил заранее.

Так вот, что хотелось бы Вам рассказать? Европол может вести расследование годами. Связано это с тем, что фактически Европол работает по протоколам, и у них нет цели достигнуть каких-то показателей. То есть, как нам известно, например, сотрудники полиции бывшего СНГ зачастую выполняют план. К примеру, в отчетах они пишут: “мы задержали столько-то наркоторговцев, такое-то количество насильников, если насильников не было, то мы создали насильников, сами подкинули запрещенные вещества и так далее”. У Европола такого нет. То есть для них самое главное — это выявить сети. К примеру, если есть какой-то подозреваемый человек, то за ним нужно следить, присматриваться к нему и т. д.

И в частности, вот что интересного рассказал нам сотрудник: даже если вы являетесь абсолютно “белым” человеком, но вы общались с кем то, кто представляет оперативный интерес, то есть с тем, кто замешан в чем-то нелегальном, то вы уже автоматически попали, условно говоря, на карандаш. Другими словами, Вы уже находитесь в базе Европола. И если что-нибудь случится в будущем, любой запрос из базы Европола позволит узнать, что человек был связан, например, с тем, кого посадили или с тем, кто в чем-то обвинялся или разыскивается.

Европейцы народ неторопливый, даже флегматичный. Однако это и есть их подход к работе. Он, если честно, иногда наводит на страх. То есть мы понимаем, что, например, условно говоря в СНГ, некий персонаж на улице разбил кому-то нос, то через час-сутки к нему приехали сотрудники, то есть имеется какая-то определенность. В Европоле же работает совершенно другой принцип: если кто-то что-то совершил плохое, то за ним никто не приходит. Почему никто не приходит? Это создает у человека, как мы понимаем, такую иллюзию безопасности и дает ему дополнительную беспечность. То есть если он видит, что за ним никто не пришел, то он продолжит совершать эти же правонарушения, таким образом увеличивая и увеличивая свою доказательную базу.

Часть 2 Тактика задержаний: юрисдикция, слежка и секреты Европола

Итак, мы остановились на том, что Европол может годами проводить расследования. А самое главное для организации - выявить не одно преступление, а сети, то есть узнать, кто и каким образом связан с теми или иными лицами, группировками и событиями.

Теперь мы хотим рассказать, как распределяется юрисдикция. Иными словами, разберем то, когда было совершено преступление на территории Европы и была собрана определенная доказательная база. Европол может передать собранные материалы в Интерпол, и они же впоследствии могут провести задержания фактически в любой стране мира. Разумеется, мы понимаем, что Северная Корея - исключение.

Европол вправе не передавать все данные сразу в Интерпол. Сотрудники могут следить на протяжении длительного времени за преступниками и подозреваемыми, и никакой необходимости в спешке зачастую не видят. К примеру, если человек, скажем, подозреваемый подал заявление на визу во Францию, то, как ни странно, Европол приложит максимум усилий, чтобы виза была получена. Наверняка вы спросите, а почему так происходит?

Ответ на этот вопрос достаточно банальный, Европолу это выгодно, ведь им необходимо поймать этого человека. Когда определенный человек, скажем, интересный для Европола получает визу, то организация сразу становится в курсе того, что скорее всего ожидается визит этого персонажа в страну Евросоюза. Однако стоит отметить, что подать заявление на визу и приехать - разные вещи. Также бывают ситуации, когда для граждан некоторых стран визы в Европу не нужны, то есть посещение Евросоюза возможно в безвизовом режиме, например, для Украины. В последнее время с Украиной связано огромное число расследований в таких сферах, как хакинг, ботнет, прокси ботнет и так далее. Гражданин Украины может приехать в Европу без каких-либо проблем и, повторимся, без визы.

Но и тут есть лазейки, отследить человека, планирующего свой визит в Европу можно с момента покупки им билета на самолет. Как только подобная покупка была совершена, информация о ней и о покупателе моментально переходит в Европол.

Представим, что подозреваемый прошел регистрацию в своем аэропорту, скажем, где-то в Казахстане, сел на самолет и ждет своего вылета. Европол уже в курсе этого и сотрудники организации сразу же выезжают на место. Наверняка, вы представляете себе следующую картинку: группа спецназа готовится задерживать злоумышленника, по взлетным полосам катаются танки, а рядом летают вертолеты. Но на самом деле, этого не происходит. Человек, который давал нам интервью, объяснил это тем, что как только подозреваемый проходит паспортный контроль, пока еще не обвиняемый, а подозреваемый, не будет происходить абсолютно ничего. Сотрудник рассказал, что в аэропорту производить задержание нужно только в самых самых-самых крайних случаях.

Объясняется это политикой безопасности.

Во-первых, если человека, который, условно говоря, пришел на паспортный контроль, сразу же задержит группа захвата, то это может являться сигналом для его возможных сообщников, которые летели на этом же рейсе.

Во-вторых, это зеваки с телефонами. Они, как ни странно, представляют наибольшую опасность. Они могут начать снимать процесс, после чего информация может разлететься по социальным сетям. Например, в аэропорту Брюсселя кого-то задержали, человек с камерой может захотеть хайпануть и выложить это видео, скажем, в TikTok. Такие слитые видео могут являться большой проблемой, так как опять же могут являться сигналом для сообщников подозреваемого и предупредить о задержании.

В-третьих, после 11 сентября аэропорты являются объектами повышенной опасности, и любое аномальное действие типа людей с оружием, может вызвать панику у людей и привести к нежелательным последствиям. Это три основные причины, по которым человека не будут задерживать даже на паспортном контроле.

До момента пока человеку не поставили штамп в паспорте на паспортном контроле, юридически он еще не находится на территории Евросоюза. Как только паспортный контроль пройден, за подозреваемым начинают следить. Фактически слежка начинается с момента получения багажа. Чтобы не спугнуть злоумышленника, за ним не ставят в открытую наблюдать и страховать некую группу лиц, ведь никто не знает, как может поступить человек в экстренной ситуации. Вдруг, он возьмет людей в заложники или решит совершить самоубийство. Именно поэтому сотрудники Европола используют следующий прием: сотрудница Европола стоит рядом с лентой получения багажа с маленьким чемоданчиком, который используется для ручной клади и якобы ожидает свой багаж. То есть со стороны это выглядит, будто девушка прилетела на том же рейсе и просто ожидает багаж. Согласитесь, ничего примечательного!

После того, как подозреваемый получил свой багаж. Женщина с чемоданчиком продолжает сопровождать его, разумеется, на определенной дистанции. На моменте выхода в город, где располагаются зеленый и красный коридор, то есть таможенном досмотре, нарушителя попросят пройти на личный досмотр.

Это достаточно классическая процедура, и как правило, она тоже не вызывает никаких подозрений. Багаж подозреваемого уезжает в ленту, а его аккуратно приглашают в соседнюю комнату, дверь в которую закрывают и дальше с ним уже ведут работу сотрудники Европола. Так происходит стандартное задержание, которое выполняется в рамках протокола Европола. Затем задержанного аккуратно выводят через отдельный выход и сажают в машину, после чего его привозят уже в локальное отделение полиции, где с ним продолжают беседы, и где его помещают в изолятор временного содержания, назовем его так. В дальнейшем с подозреваемым происходят различные другие процессуальные действия. Нас интересовало именно то, как происходит и на каком этапе задержание человека.

Но нам удалось задать еще несколько вопросов сотруднику Европола. Вопросы были следующими: возможен ли вариант того, что преступление доказано, но преступника не задерживают на таможне? И нам ответили, что такой вариант тоже действительно возможен. И разница здесь заключается в том, с какой целью этот человек приехал. Если, скажем, такой человек приехал просто отдохнуть, его вина уже доказана, все связи и сообщники выявлены, то его можно сразу заключать под стражу. А вот если этот человек может с кем-то встречаться, условно важным для расследования, на территории Евросоюза, то его могут отслеживать на протяжении всего пребывания. Этот процесс может занимать вплоть до момента обратного отъезда. И уже в этой ситуации преступника задержат уже после того, как он пройдет регистрацию, сдаст багаж и пройдет паспортный контроль, то есть совершенно противоположная история. И как раз на этом моменте его задержат именно на самом выезде из Евросоюза.

Дальше были заданы еще несколько интересных вопросов: из каких стран в данный момент происходит наибольшее количество правонарушений именно в кибер сфере? Сотрудник назвал сразу же три страны: Россия, Украина и почему-то Нигерия. Нигерия, видимо, из-за аферы четыре, один девять, но это исключительно наше предположение. Афера четыре один девять, кстати, является довольно-таки распространенной даже на данный момент. И за нее Европол может сильно наказать человека.

Часть 3 Европол не забывает: ответы на вопросы и уроки из прошлого

В завершающей части материала хотим дать ответы на другие популярные вопросы от наших подписчиков. За предоставленную информацию хотим поблагодарить нашего эксперта Дмитрия Vektora T13

Отвечаем на один из самых популярных вопросов среди нашей аудитории: что будет, если преступление совершено давно, и мошенник успел исправиться? В данном случае система фактически не меняется. Расследование может быть приостановлено до получения новой информации/данных о нарушителе. Это не значит, что обвинение будет снято даже через продолжительный срок времени. Другими словами, Европол помнит все и к этому мы вернемся немного позже.

Наших подписчиков также волнуют вопросы, связанные с шифрованием данных. На вопрос, как вы поступаете, в случае если данные, устройство или компьютер преступника зашифрованы, сотрудник Европола не дал никакого ответа. Здесь остается только гадать, почему он не смог прокомментировать наш запрос.

Еще очень много вопросов были касаемо мобильного телефона. Представитель Европола ответил следующее: в абсолютно любой точке мира локация абонента вычисляется вплоть до нескольких метров. К примеру, даже если устройство неизвестно и не имеет сим-карты, оно все равно будет вычислено. И даже если это устройство принадлежит вашему товарищу, который просто к вам приходил на кофе, все равно его можно будет вычислить.

Подводя итог для всех, кто хочет заниматься «нехорошими» вещами, ситуация складывается следующим образом: вы можете сейчас совершить преступление и через много-много лет понести за него наказание. На нашем YouTube канале мы не раз рассказывали про то, как хорошо жили мошенники, но как вы думаете, что происходит с ними сейчас? Вы угадали, практически все они сейчас находятся за решеткой и лишены свободы. Команда CyberYozh настоятельно не рекомендует нарушать законы.

Пишите в комментариях, какие вопросы вы бы задали сотруднику Европола, если бы вам посчастливилось встретиться с ним лично. На самом деле, мы задали еще вопросы, касающиеся больше технической части. Это и многое другое мы разобрали на совместном курсе от команды CyberYozh и Дмитрия Vektor T13.

Спасибо за внимание! Надеемся, что вам было интересно.