НОВОСТИ СЕГОДНЯ
Даже не используя специализированные программы, о человеке можно собрать всю необходимую информацию исключительно из открытых источников. Это контактная информация (электронная почта, телефон), интересы, хобби, наиболее часто посещаемые места и заведения, рассказал "Газете.Ru" Александр Дворянский, консультант по кибербезопасности КРОС.
По его словам, пользователь, как правило, сам оставляет о себе всю информацию, зачастую избыточную, в глобальной информационной сети путем участия в различных опросах, лотереях, программах лояльности, различных приложениях для голосования. Начиная с соцсетей, где пользователь указывает о себе всю необходимую информацию, а на основании постов можно сделать вывод о хобби, интересах, уровне дохода и социального статуса, и заканчивая различными опросами или IQ-тестами, где в завершении предлагают заполнить анкету: пол, возраст, сфера деятельности, город проживания, контактная информация, уровень дохода и т.п. Этого вполне достаточно для формирования полноценного профиля пользователя.
"Эта информация в дальнейшем может быть использована злоумышленниками для таргетированной рекламы, фишинга и социальной инженерии", — объяснил он.
Например, человек заполняет большой IQ-тест, потратил много времени, а ответ можно получить только заполнив окно обратной связи, в котором собирается вся персональная и социальная информация: пол, возраст, хобби, место проживания, уровень дохода, социальный статус и контакты.
"Как правило, такая информация используется в дальнейшем для различных рекламных кампаний и социальных исследований. С учетом того, что компании, проводящие исследования, небольшие, они не всегда соблюдают необходимые требования безопасности информации, а данные рано или поздно окажутся в общем доступе или могут быть использованы злоумышленниками", — поделился эксперт.
Или другой пример: пользователь, указавший в разделе хобби "горные лыжи", вдруг начинает получать рассылки (контакты он ведь тоже указал) о скидках на горнолыжное оборудование, экипировку, распродажах туров на горнолыжные курорты и т.д.
"Помимо безобидных спам-рассылок, потенциальной жертве могут направлять фишинговые письма с поддельной ссылкой на крупный магазин горнолыжного снаряжения или предложение поехать на известный горнолыжный курорт, конечно же, с очень привлекательной ценой и с формулировкой: "только для вас, скидка действует в течение 5 минут". Таким образом мошенники вынуждают потенциальную жертву принять быстрое, импульсивное решение и как можно быстрее произвести оплату", — рассказал специалист.
Собранная и консолидированная база данных о "профилях" пользователей может быть просто продана злоумышленниками в интернете на основании какого-либо объединяющего признака. Например, есть безобидные варианты использования: владелец специализированного автосервиса покупает базу потенциальных клиентов, использующих данную марку авто, для адресной рассылки с предложением сотрудничества.
"Но существуют и более сложные схемы, где якобы от владельца этого же сервиса идет рассылка всем пользователям о льготном (минус 50%) условии прохождения, например, технического обслуживания автомобиля. Конечно же, 100% предоплату необходимо произвести в момент записи на ТО на сайте. О том, что сайт ненастоящий и денежные средства уйдут злоумышленникам, даже напоминать не нужно", — заявил он.
Для снижения рисков правильным решением станет не указывать о себе дополнительную информацию в сети интернет. Если какие-то поля необязательны к заполнению, то и заполнять их не стоит.
Также рекомендуется создавать отдельный почтовый адрес для использования в интернете, социальных сетях, программах лояльности и т.п. Так вы оградите себя (или свой основной почтовый ящик) от спама.
В социальных сетях без необходимости не указывайте дополнительную информацию о себе, своих хобби и интересах. Фактически это цифровой профиль, и его могут использовать злоумышленники в своих целях: таргетированная реклама, спам, фишинг, социальная инженерия, попытка взлома ("угона") аккаунта и дальнейшая "работа" с контактами владельца аккаунта.
"Есть еще одна рекомендация: используйте разный пароль к каждой системе. В этом случае вы не рискуете, скомпрометировав пароль к одному ресурсу, потерять доступ сразу ко всем. Выполняйте требования к сложности и уникальности пароля. Пароль ко всем ресурсам необходимо менять не реже чем один раз в год, а в идеале — раз в полгода", — резюмировал он.
Похожие новости: