Мошенничество и сбор персональных данных

Мошенничество и сбор персональных данных

Когда говорят о мошенничестве в Интернет, все сразу вспоминают классический фишинг или его разновидности – смишинг, вишинг. Так как не все читатели помнят о том, что это такое, давайте вспомним определения.

Фишинг (phishing) – вид интернет-мошенничества, основной целью которого является получение доступа к логинам и паролям пользователей. Как правило это массовая рассылка электронных сообщений от имени банков. Возможно в виде электронных писем или сообщений в социальных сетях. В сообщении содержится прямая ссылка на сайт, внешне не отличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадет на такую страницу, злоумышленники с помощью различных психологических приемов пытаются уговорить пользователя ввести свои логин и пароль для доступа к определенному сайту.

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности.

Вишинг — один из методов мошенничества с использованием социальной инженерии. Злоумышленники, используя звонок по телефону и играя определенную роль (сотрудника банка, покупателя и т. д.), под разными предлогами выманивают у держателя платежной карты конфиденциальную информацию или стимулируют к совершению определенных действий со своим карточным счетом / платежной картой.

Как распознать вишинг:

Основные признаки

  • Вас спрашивают карточные реквизиты…
  • Вас настойчиво принуждают выполнить то действие, которое вы еще минуту назад совершать не собирались.

Дополнительные признаки:

  1. Сотрудники банка никогда ни при каких обстоятельствах не спросят код безопасности на обратной стороне карты и код из банковского смс-сообщения.
  2. Тревожная тема обращения. Чтобы напугать жертву и заставить скорее совершить нужное действие, мошенники придумывают пугающие сценарии. Сообщают о том, что карта заблокирована, счет взломан, родственник попал в беду и т. д.
  3. Обещание легко получить деньги, которые вы или не ожидали получить, или не думали получить так легко. Чтобы завлечь жертву, мошенники обещают легко и быстро перевести деньги на ваш счет: например, пенсионеру начислена неожиданная надбавка к пенсии.
  4. Вас торопят и очень настойчиво пытаются переубедить.
  5. Звонок поступает с незнакомого номера или мобильного.
  6. Вас уверяют в том, с помощью банкомата вы можете перевести деньги с чужой карты — на свою.

Сми?шинг — (англ. SMiShing — от «SMS» и «фишинг») — вид фишинга через SMS. Мошенники отправляют жертве SMS-сообщение, содержащее ссылку на фишинговый сайт и мотивирующее её войти на этот сайт. Как вариант жертве предлагается отправить в ответном SMS-сообщении конфиденциальную информацию, касающуюся платёжных реквизитов или персональных параметров доступа на информационно-платёжные ресурсы в сети Интернет.

Однако если вы думаете, что этим исчерпали виды мошенничества в Интернет – вы ошиблись.

С появлением смартфонов и планшетов злоумышленники стали использовать тягу пользователей к развлечениям. И более того, теперь использование подобных способов обмана считается вполне допустимым и даже вполне легальным.

В данной статье мы с вами попробуем показать на нескольких примерах, как нас с вами обманывают производители ПО, причем вполне легально и абсолютно безнаказанно. И более того, как мы сами даем этому повод.

Операционные системы

О том, что ваши данные собирают практически все операционные системы, говорится много. О том, что вы сами с этим соглашаетесь, говорится еще больше. Результат? Никакого!

Читая бесконечные стенания о том, что Microsoft снова и снова собирает ваши данные, причем уже не только в Windows 10, а и в Windows 7/8, очень хочется задать вам вопрос. А что, вы раньше этого не понимали? В эпоху первых смартфонов и гаджетов? Вы не понимали, читая лицензионное соглашение Apple? И, тем более Google? Вы все еще ничего не понимали? А может просто не читали никогда?

Тороплюсь вас огорчить. С недавних пор вы, господа пользователи, как и я, банальнейший товар! Да-да, товар! Более того, товар, который не требует ни усилий по созданию, ни средств для этого, сам себя воспроизводящий и сам себя бесплатно предоставляющий в руки продавца! Ну кто ж откажется?

Посмотрим лицензионные соглашения Apple и Google

Итак, Apple.

«Давая свое согласие на участие в сборе диагностической информации и сведений об использовании, Вы соглашаетесь с тем, что Apple, ее дочерние предприятия и агенты могут собирать, хранить и обрабатывать диагностическую, техническую, пользовательскую и сопутствующую информацию и сведения об использовании, включая, помимо прочего, уникальный системный или аппаратный идентификатор, техническую информацию о Вашем компьютере, а также системном и прикладном программном обеспечении и периферийных устройствах, в целях предоставления и улучшения продукции и услуг Apple, облегчения доставки обновлений ПО, поддержки продукта и оказания других услуг, связанных с ПО Apple (если такие предоставляются), а также для проверки соблюдения условий настоящей Лицензии».

«Посредством ПО Apple компания Apple, ее партнеры, лицензиары и сторонние разработчики могут предоставлять определенные услуги, основанные на информации о местоположении. Для предоставления и улучшения таких услуг там, где это возможно, Apple и ее партнеры, лицензиары и сторонние разработчики могут передавать, собирать, хранить, обрабатывать и использовать данные о Вашем местоположении, включая географическое положение Вашего компьютера в режиме реального времени и запросы о местоположении».

«Используя любые услуги на основе местоположения, предоставляемые ПО Apple или посредством ПО Apple, Вы даете Apple и ее партнерам, лицензиарам и сторонним разработчикам согласие на передачу, сбор, хранение, обработку и использование данных и запросов о Вашем местоположении в целях предоставления и улучшения таких продуктов и услуг».

«Если Вы используете Диктовку с использованием сервера, Ваши слова записываются и отправляются в Apple для преобразования в текст, а Ваш компьютер отправляет в Apple другую информацию, в том числе Ваше имя и никнейм, а также имена, никнеймы и отношение к Вам (например, „мой папа“) контактов Вашей адресной книги (совместно именуемые Вашими „Пользовательскими данными“)».

«Выбирая Диктовку с использованием сервера, Вы даете компании Apple и ее партнерам и агентам право на передачу, сбор, хранение, обработку и использование этой информации, включая Ваши голосовые запросы и Пользовательские данные, в целях предоставления и улучшения Диктовки и работы Siri в продуктах и услугах Apple».

«Используя ПО Apple, Вы соглашаетесь с тем, что Apple может передавать, собирать, хранить, обрабатывать и использовать эти идентификаторы, включая предоставляемую Вами информацию о Вашем адресе (или адресах) электронной почты и Apple ID, в качестве уникальных идентификаторов учетной записи в целях предоставления и улучшения функции FaceTime».

«Используя ПО Apple, Вы соглашаетесь с тем, что компания Apple может передавать, собирать, сохранять, обрабатывать и использовать эти идентификаторы в целях предоставления и улучшения услуг, предоставляемых с помощью службы iMessage».

«Используя Карты, Вы даете компании Apple и ее партнерам, и агентам право на передачу, сбор, хранение, обработку и использование этой информации в целях предоставления и улучшения функций и услуг Карт и других продуктов, и услуг Apple».

А вот выдержки из лицензионного соглашения Google от 19 августа 2015 г.

  • «Информация от пользователей. При создании аккаунта Google запрашиваются персональные данные имя, адрес электронной почты, номер телефона или реквизиты кредитной карты.
  • Анализ действий. Мы собираем информацию о том, как и какие сервисы вы используете. Это происходит, когда вы, например, смотрите видео на YouTube, посещаете веб-сайты, рекламируемые в AdWords или AdMob, или просматриваете или взаимодействуете с нашими объявлениями либо контентом. Эти данные включают следующее:
  • Сведения об устройстве. Мы собираем сведения об устройствах, такие как модель, версия операционной системы, уникальные идентификаторы , а также данные о мобильной сети и номер телефона. Кроме того, идентификаторы устройств или номера телефона могут быть привязаны к аккаунтам Google.
  • Сведения журналов:
  • подробные сведения об использовании служб, включая поисковые запросы;
  • данные о телефонных вызовах, включая номера телефонов для входящих, исходящих и переадресованных звонков, дата, время, тип и продолжительность вызовов, а также информация о маршруте SMS;
  • IP-адреса;
  • данные об аппаратных событиях, в том числе о сбоях и действиях в системе, а также о настройках, типе и языке браузера, дате и времени запроса и URL перехода;
  • файлы cookie, которые служат уникальным идентификатором вашего браузера или аккаунта Google.
  • Сведения о местоположении. В сервисах Google мы собираем и обрабатываем данные о вашем фактическом местоположении. Также мы используем различные технологии определения координат, например, анализируем ваш IP-адрес, данные GPS и других датчиков устройства с целью выявления ближайших к вам устройств, точек доступа Wi-Fi и вышек сотовой связи.
  • Уникальные номера приложений. В некоторых службах используются уникальные идентификаторы программ. Они вместе с информацией о приложении (например, о номере версии или типе операционной системы) могут отправляться в Google при установке или удалении службы, а также во время автоматических сеансов связи с серверами (при загрузке обновлений и т. п.).
  • Локальное хранилище. Мы собираем и храним данные (в том числе и персональные) на ваших пользовательских устройствах с помощью таких средств, как веб-хранилище браузера (включая HTML5) и кеш данных, используемых приложениями.»

Microsoft

Конфиденциальность. Согласие на использование данных. Ваша конфиденциальность важна для нас. Некоторые компоненты программного обеспечения предусматривают отправку или получение данных при их использовании. Многие из этих компонентов можно отключить в пользовательском интерфейсе или не использовать их вообще. Принимая условия настоящего соглашения и используя программное обеспечение, вы соглашаетесь с тем, что Microsoft может собирать, использовать и раскрывать сведения, как описано в Заявлении о конфиденциальности Microsoft (aka.ms/privacy), а также как может быть описано в пользовательском интерфейсе, связанном с компонентами программного обеспечения.

Использование персональных данных ( https://privacy.microsoft.com/ru-ru/privacystatement )

Корпорация Майкрософт использует собираемые данные для предоставления предлагаемых продуктов; сюда также относится использование данных для повышения качества и персонализации этих продуктов. Также мы можем использовать эти данные для связи с вами, например, для информирования о состоянии вашей учетной записи и обновлениях системы безопасности, а также для предоставления сведений о продуктах. Мы используем эти данные, чтобы показывать интересующую вас рекламу как в собственных продуктах, таких как MSN и Bing, так и в сторонних продуктах. Однако мы не используем для подбора целевой рекламы фразы из ваших сообщений электронной почты, чатов, видеоконференций или голосовой почты, а также ваши документы, фотографии и другие личные файлы.

Как видно из этих лицензионных соглашений, сбором пользовательских данных занимаются практически все компании, работающие на мобильном рынке. Более того, не редкость, когда данные собирают мобильные приложения, которым они якобы совсем уж ни к чему.

Несомненно, более всего пользователей возмутил тот факт, что Microsoft собирает характеристики используемого ПО, которые могут быть переданы и третьим лицам. Потенциально это означает, что громадное количество установленного как у частных, так и у корпоративных пользователей пиратского ПО может быть обнаружено. И не просто отключено, а им могут быть выставлены финансовые претензии.

Но вспомним снова лицензионное соглашение Apple, приведенное выше (абзац 1) о том, что «Apple, ее дочерние предприятия и агенты могут собирать, хранить и обрабатывать … информацию о системном и прикладном программном обеспечении и периферийных устройствах, в целях предоставления и улучшения продукции и услуг Apple, облегчения доставки обновлений ПО, поддержки продукта и оказания других услуг, связанных с ПО Apple (если такие предоставляются), а также для проверки соблюдения условий настоящей Лицензии».

Не правда ли, практически слово в слово. А что говорит по этому поводу Google в абзаце посвященном «уникальным номерам приложений»? Да практически то же самое, слово в слово. Так что не стоит удивляться.

Официально вся собираемая информация будет использована для улучшения работы ОС. А неофициально? Да для чего угодно.

Вы думаете, что ваши данные собирают только операционные системы? Вы ошибаетесь!

Вспомним недавний пример. Изменение пользовательского соглашения бесплатного антивируса AVG в части сбора пользовательской информации. С 1 октября 205 года AVG не только собирает вашу информацию, но и вполне официально ее продает. Вы довольны? Вас это устраивает? Привыкайте!

Но мало того, давайте трезво посмотрим, сколько личных данных оставляют пользователи сами в социальных сетях? Не редкость фотографии с отдыха, фото машин, детей. ЗАЧЕМ? Уважаемые пользователи, ведь вы же сами привлекаете к себе внимание. Более того, впечатление такое, что идет соревнование, кто привлечет к себе больше внимания.

А ведь все это позволяет составлять ваши психологические портреты, продавая эти данные рекламным компаниям можно делать деньги просто из воздуха, ведь товар сам себя воспроизводит. И после этого вы будете говорить о том, что у вас то-то что-то ворует? Да вы сами все отдаете. Ну и почему это не подобрать?

Приложения в социальных сетях

В очередной раз увидел на Facebook, что люди, запуская различные бесплатные тесты, фактически делятся личными данными. И снова и снова появляются статьи о том, что эти данные продаются. И кто-то даже этим пытается возмущаться, выдавая это за новости в области информационной безопасности.

Очень хочется спросить у таких легковерных. Вы что, всерьез верите, что в мире бывает что-то бесплатным? Программистам, которые пишут такое ПО не нужно зарабатывать? Или кто-то из чистого альтруизма оплатит их работу вместо вас?

Давно пора понять, что если платите не вы, то вы – ТОВАР! Который продают и покупают.

Мобильные пользовательские приложения

Исследование компании HP фокусировалось на пользовательских приложениях, но нет никаких причин полагать, что проблема не распространяется на бизнес-приложения, размещаемые в Apple App Store или Google Play. Многие приложения для своей работы требуют доступ к данным или разрешения на выполнение функций, которые для работы не нужны.

Если вы захотите играть в игру, например, Angry Birds, то данному приложению не нужен доступ к вашим контактам. Приложению «Прогноз погоды», вероятно, не нужно уметь посылать электронное письмо от вашего имени. Кроме того, в приложениях существуют уязвимости. Есть проблемы в том, как приложения интегрируются с базовыми функциями мобильной операционной системы, как они взаимодействуют и делятся информацией друг с другом.

В исследовании HP 97% приложений содержали проблемы конфиденциальности, 86% испытывали недостаток в обеспечении основных функций безопасности и 75% не в состоянии должным образом зашифровать данные.

Примеры приложений, нарушающих вашу конфиденциальность.

Facebook

Это одно из самых популярных приложений социальных сетей в App Store.

Риски

  • Не использует шифрование для обмена данными (отправляет данные в открытом виде).
  • Имеет доступ к книге контактов пользователя и данным о его расположении (геоданным).
  • Отправляет координаты расположения в незашифрованном виде.
  • Включает пути к файлам исходного кода в отладочной информации. Эти пути содержат имя пользователя и информацию, связанную с разработчиком приложения.

Внимание! Приложение сегодня лучше обрабатывает пользовательскую аутентификацию при использовании учетной записи Facebook для регистрации на сторонних сайтах или службах. Аутентификационные маркеры истекают через час.

QR Pal

Это бесплатный сканер QR-кодов и штрих-кодов, приложение для iPhone. Позволяет сканировать штрих-код и сравнивать цены на продукт со значением, закодированным в штрих-коде.

Риски

  • Отправляет данные пользователей в открытом виде.
  • Получает доступ к расположению пользователя, календарю и книге контактов.
  • Включает пути к файлам исходного кода в отладочной информации. Эти пути содержат имя пользователя и информацию, связанную с разработчиком приложения.

iTorcia

Это популярное приложение фонарика.

Риски

  • Включает уникальный идентификатор устройства как строковый параметр запроса в URL, который отправляется незашифрованным через HTTP.
  • Получает доступ к геоданным, календарю и книге контактов.
  • Включает пути к файлам исходного кода в отладочной информации. Эти пути содержат имя пользователя и информацию, связанную с разработчиком приложения.
  • Собирает данные и аналитику для платформы сети рекламных объявлений.

WhatsApp Messenger

Популярное приложение обмена сообщениями, которое позволяет пользователям отправлять бесплатные мгновенные сообщения другим смартфонам. Но одно является бесспорным: Это было опасное приложение.

Риски

  • Отправляет уязвимые данные в открытом виде (шифрование не применяется).
  • Получает доступ к расположению пользователя и книге контактов.
  • Имеет возможность читать SMS.
  • Имеет доступ к данным расположения от FourSquare и Google Maps.

Не стоит думать, что все приложения, содержащие проблемы с безопасностью, разработаны злоумышленниками. Отнюдь нет. В основном это ошибки программистов, связанные с ленью, желанием поскорее выставить продукт на рынок и т. д. В случае бесплатных приложений — это, безусловно, желание заработать деньги на рекламе.

Разработчики пишут приложения, которые получают доступ ко всему, потому что это легче, чем написание более безопасного кода, и потом гораздо легче писать какие-то необходимые улучшения. Так просто проще для разработчика, но сложнее для пользователя. Но кто думает о пользователе?

Игры

Отдельно хотелось бы поговорить об играх

О том, что игры при установке требуют заведомо избыточные права, говорят много. О том, что пользователи никогда не читают лицензионные соглашения и с радостью соглашаются на все требования, говорят тоже много. Результат? Пользователи заведомо отдают свои данные с радостью и удовольствием.

Вспомним нашумевшую игру Angry Birds. Кто-то может пояснить, зачем игрушке доступ к вашим геоданным? Да еще не забудьте, что даже если игра была выключена, данные о вашем местоположении все же регулярно куда-то отправлялись. Зачем? Ответ очевиден — для продажи поставщикам рекламы, чтобы вам могли выдавать рекламу близлежащих коммерческих заведений.

Чем это опасно? Ну, во-первых, вы никогда не знаете, защищается ли ваша информация, как она будет использоваться и кому продаваться. Ведь наиболее вероятно, что собранные таким образом данные будут проданы поставщикам рекламы и аналитическим компаниям — опять-таки, скорее всего для рекламы. А может и не только для рекламы, кто знает?

Angry Birds Star Wars

Будьте внимательнее при использовании бесплатных или условно-бесплатных игровых приложений. Ведь на самом деле нет ничего бесплатного.

Риски

  • Получает доступ к геоданным, календарю и книге контактов.
  • Включает платформу сбора данных Flurry Analytics.
  • Включает пути к файлам исходного кода в отладочной информации. Эти пути содержат имя пользователя и информацию, связанную с разработчиком приложения.
  • Собирает данные и аналитику для нескольких сетей рекламных объявлений InMobi, AdMob, iAd, Google’s Double Click и Millennial Media.

Еще один пример такого приложения – приложение Meitu, которое умеет накладывать на фото аниме-фильтр. В результате из обычных селфи получаются сверкающие принцессы единорогов. Meitu — бесплатно, его можно скачать для iOS и Android.

Изначально появившись в Китае, где у него около 456 млн активных пользователей и установлено оно на 1 млрд устройств, не так давно оно получило международное признание. Сегодня у него более 430 млн пользователей вне Китая. Сегодня оно находится на 4 месте в категории Photos & Video в App Store для США.

Такому приложению для нормальной работы нужен был бы доступ к камере смартфона, интернет-доступу и месту хранения фото. Но Meitu на этом не останавливается, требуя доступ к геолокации и номер телефона.

Однако и это не все.

В iOS-версии приложения эксперт по безопасности Джонатан Здзярски обнаружил странный код: приложение проверяет iPhone на джейлбрейк, собирает MAC-адрес и IMEI-код, узнает, каким оператором пользуется владелец устройства. Эксперт считает, что все это необходимо, чтобы продавать данные об аудитории рекламодателям.

В Twitter, тем временем, появляются посты, о том, что приложение уже отсылает данные об IMEI устройств на серверы в Китай. Более детальный анализ того, к какой именно информации приложение запрашивает и получает доступ, можно прочесть в статье специалиста по защите мобильных устройств Уилла Страфака на Medium.

Однако и это не все!

Нашумевшая игра Pokemon Go нынче запрещена в Китае, так как по свидетельству китайских специалистов может использоваться для управления соответствующими пользователями. Подумайте, насколько легко собрать толпу в том или ином месте с помощью pokemon. Люди просто сбегутся их ловить.

Таким образом можно сделать довольно простой вывод. Пользователи сегодня это товар, который будут продавать и покупать.

Как это будут использовать и уже используют корпорации?

  1. Вам будут подсовывать ту или иную рекламу в зависимости от ваших предпочтений. Это уже происходит
  2. Вас могут отправить тем или иным маршрутом, ведь навигатор тоже может строить множественные маршруты. А представьте что он строит маршрут таким образом, чтобы вы увидели ту или иную рекламу?
  3. Вам, естественно, могут показать рекламу только тех магазинов, которые нужны. Не вам, а тех, которые платят.

Будет ли это рано или поздно банковской угрозой? Думаю, да. Особенно если доступ к вашим данным получат злоумышленники!

 

Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

Владимир Безмалый

О безопасности и не только