Журнал "Системы Безопасности" № 1‘2022

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я , A I , I o T 120 Д анную тему в последнее время все чаще обсуждают не только обычные граждане, но и коллеги, как из области безопасности, так и бизнеса. В моем примере не будет названо никаких наименований организаций, адресов сайтов и т.д. Я уверен, что и так читатель сможет понять, о чем идет речь. Я опишу и прокоммен- тирую ситуацию из моей рабочей практики. Регистрация на сайте – и сразу спам-атака Ситуация следующая. Руководство передает мне информацию о том, что была замечена такая тенденция: клиент регистрируется на нашем сайте для взятия займа и через несколь- ких минут ему начинают приходить СМС- сообщения от разных организаций, предостав- ляющих подобные услуги, со ссылками на их онлайн-продукты или рекламу. Таким образом, мы с большой вероятностью можем потерять клиента, портится также и репутация компании: по мнению клиента, именно из-за регистрации на нашем сайте он стал получать множество спам-сообщений. Первая мысль клиента: мы слили его данные всем, кому только могли, причем сразу же после регистрации. Безусловно, я поднимаю на уши весь отдел информационной безопасности, мы начинаем крупное расследование утечки информации, долго и тщательно проверяем и анализируем любые пути реализации внешних и внутренних угроз… И не находим в итоге ничего, что могло бы подтвердить утечку в интервал между моментом прохождения клиентом процедуры регистрации (когда он попал в нашу базу дан- ных) до момента начала рассылки спама. Все каналы передачи информации, логи выгрузок и действий проверены. Итог: никто ничего за пределы защищаемого контура не передавал, вирусов и бекдоров не обнаружено. Единствен- ной зацепкой было то, что все клиенты перед началом спам-атаки получили сообщение от нашей компании о завершении процедуры регистрации и одобрении требуемого заема. Проводим тест Тогда мы решили провести контролируемый тест, с разными условиями, позволяющий сделать ключевые выводы о том, каким образом наше стандартное автоматическое сообщение вызыва- ет спам-атаку. Через нашу систему рассылки СМС принудительно (вручную) были отправле- ны сообщения об одобрении займа (с точно таким же текстом, как в сообщениях, которые автоматически получают клиенты после регист- рации на сайте) на три разных номера телефона, зарегистрированных в трех разных городах, у трех разных сотовых операторов. Одним из главных условий теста было отсутствие данных номеров телефонов в наших базах данных, а также отсутствие регистрации через них на сай- тах с подобными услугами. Аналогичный текст был отправлен еще на один номер, но не через систему рассылки, а с личного номера сотрудни- ка компании (для проверки таргетирования по отправителю). После завершения рассылки на один из номеров в течение часа начали прихо- дить сообщения об одобрении займа, со ссыл- ками на страницу-агрегатор. На остальные номе- ра также начали приходить подобные сообще- ния, но через разный промежуток времени. На номер телефона, на который был направлен текст не через систему рассылки, никаких сто- ронних сообщений не поступало. Выводы по результатам теста Исходя из полученных результатов, были сде- ланы следующие выводы: l используемые телефонные номера не присут- ствовали в базах данных компании – это под- тверждает, что угроза внешняя и находится за пределами защищаемого контура компании; l все три основных тестовых номера получили спам-сообщения, следовательно подтвержда- ется утечка информации со стороны операто- ров сотовой связи, через которых были отправлены СМС с текстом об успешной регистрации; l так как спам-сообще- ния поступали на тестовые номера в разное время, можно сделать вывод, что реакция на таргетиро- вание зависит от кон- кретного оператора сотовой связи; l все три тестовых номе- ра получили спам- сообщения, поэтому можно сделать вывод, что триггером является текст в сообщении об одобрении займа (словосочетание, которое при- сутствовало во всех трех тестовых рассылках). l на номер телефона, на который отправили ана- логичные сообщения с личного номера сотруд- ника компании, без использования системы рассылки, спам-сообщений не поступило – можем сделать вывод, что таргетированию подвержены только определенные сервисы/отправители. На основе анализа полученной информации была сформирована схема (см. рис.). Описание порядка действий: 1. Компания оповещает клиента об одобрении займа, отправляя СМС-сообщения через систе- му рассылки. 2. Система рассылки направляет текст СМС- сообщения и номер операторам сотовой связи для осуществления рассылки. 3. Операторы сотовой связи осуществляют тар- гетирование по тексту от определенных серви- сов/отправителей. Из этого делается вывод: клиент является ликвидным для конкретной услуги. Соответственно, происходит теневое обогащение данных об абоненте. 4. Оператором сотовой связи делается рассылка своим абонентам, на которых сработали триг- геры (предположительно, словосочетание "заем одобрен"), с оговоренным текстом и ссылками, в рамках заключенного с агрегатором/конку- рентом договором. Таким образом, фактически передача номера телефона или персональных данных клиентов не происходит, а значит сотовый оператор не нару- шает закон, и информации, обогащенной при помощи таргетирования, ему достаточно, чтобы инициировать рассылку от лица конкурента или агрегатора, без фактической передачи информа- февраль – март 2022 www.secuteck.ru Денис Богданов Руководитель отдела информационной безопасности ООО МФК "ВЭББАНКИР" СМС-таргетинг для получения информации о клиентах Схема и методы противодействия Наверняка у каждого была ситуация, когда требовались конкретная услуга или про- дукт и сразу же начинала приходить масса СМС-сообщений с предложениями того, что ищется. У многих после этого возникают мысли: "Меня прослушивают? Как это прекратить? Откуда они это узнали?" Я расскажу об одной из причин подобных рас- сылок, но главная цель – показать, кто этому содействует и как такое происходит