Даже не используя специализированные программы, о человеке можно собрать всю необходимую информацию исключительно из открытых источников. Это контактная информация (электронная почта, телефон), интересы, хобби, наиболее часто посещаемые места и заведения, рассказал «Газете.Ru» Александр Дворянский, консультант по кибербезопасности КРОС.
По его словам, пользователь, как правило, сам оставляет о себе всю информацию, зачастую избыточную, в глобальной информационной сети путем участия в различных опросах, лотереях, программах лояльности, различных приложениях для голосования. Начиная с соцсетей, где пользователь указывает о себе всю необходимую информацию, а на основании постов можно сделать вывод о хобби, интересах, уровне дохода и социального статуса, и заканчивая различными опросами или IQ-тестами, где в завершении предлагают заполнить анкету: пол, возраст, сфера деятельности, город проживания, контактная информация, уровень дохода и т.п. Этого вполне достаточно для формирования полноценного профиля пользователя.
«Эта информация в дальнейшем может быть использована злоумышленниками для таргетированной рекламы, фишинга и социальной инженерии», — объяснил он.
Например, человек заполняет большой IQ-тест, потратил много времени, а ответ можно получить только заполнив окно обратной связи, в котором собирается вся персональная и социальная информация: пол, возраст, хобби, место проживания, уровень дохода, социальный статус и контакты.
«Как правило, такая информация используется в дальнейшем для различных рекламных кампаний и социальных исследований. С учетом того, что компании, проводящие исследования, небольшие, они не всегда соблюдают необходимые требования безопасности информации, а данные рано или поздно окажутся в общем доступе или могут быть использованы злоумышленниками», — поделился эксперт.
Или другой пример: пользователь, указавший в разделе хобби «горные лыжи», вдруг начинает получать рассылки (контакты он ведь тоже указал) о скидках на горнолыжное оборудование, экипировку, распродажах туров на горнолыжные курорты и т.д.
«Помимо безобидных спам-рассылок, потенциальной жертве могут направлять фишинговые письма с поддельной ссылкой на крупный магазин горнолыжного снаряжения или предложение поехать на известный горнолыжный курорт, конечно же, с очень привлекательной ценой и с формулировкой: «только для вас, скидка действует в течение 5 минут». Таким образом мошенники вынуждают потенциальную жертву принять быстрое, импульсивное решение и как можно быстрее произвести оплату», — рассказал специалист.
Собранная и консолидированная база данных о «профилях» пользователей может быть просто продана злоумышленниками в интернете на основании какого-либо объединяющего признака. Например, есть безобидные варианты использования: владелец специализированного автосервиса покупает базу потенциальных клиентов, использующих данную марку авто, для адресной рассылки с предложением сотрудничества.
«Но существуют и более сложные схемы, где якобы от владельца этого же сервиса идет рассылка всем пользователям о льготном (минус 50%) условии прохождения, например, технического обслуживания автомобиля. Конечно же, 100% предоплату необходимо произвести в момент записи на ТО на сайте. О том, что сайт ненастоящий и денежные средства уйдут злоумышленникам, даже напоминать не нужно», — заявил он.
Для снижения рисков правильным решением станет не указывать о себе дополнительную информацию в сети интернет. Если какие-то поля необязательны к заполнению, то и заполнять их не стоит.
Также рекомендуется создавать отдельный почтовый адрес для использования в интернете, социальных сетях, программах лояльности и т.п. Так вы оградите себя (или свой основной почтовый ящик) от спама.
В социальных сетях без необходимости не указывайте дополнительную информацию о себе, своих хобби и интересах. Фактически это цифровой профиль, и его могут использовать злоумышленники в своих целях: таргетированная реклама, спам, фишинг, социальная инженерия, попытка взлома («угона») аккаунта и дальнейшая «работа» с контактами владельца аккаунта.
«Есть еще одна рекомендация: используйте разный пароль к каждой системе. В этом случае вы не рискуете, скомпрометировав пароль к одному ресурсу, потерять доступ сразу ко всем. Выполняйте требования к сложности и уникальности пароля. Пароль ко всем ресурсам необходимо менять не реже чем один раз в год, а в идеале — раз в полгода», — резюмировал он.
Ранее выяснилось, что мошенники нацелились на аккаунты россиян в ИИ-сервисах.
