COVID-19 в Молдове Подробнее

ГЛАВНЫЕ ТЕМЫ Все новости

ещё темысвернуть

Это невероятное желание знать, кто нам звонит…

Это невероятное желание знать, кто нам звонит…

Вопрос о желании идентифицировать звонящего с неизвестного номера и даже увидеть его фотографию, не имея его контактов в адресной книге своего телефона, относится к категории риторических.

Любой психолог скажет, что любопытство относится к категории базовых эмоций, унаследованных нами от наших далёких предков, эмоций, которые существуют на подсознательном уровне и которые человеку очень сложно контролировать. Злоумышленники, использующие методы социальной инженерии, не хуже квалифицированных специалистов разбираются в нюансах человеческого мышления и, не стесняясь, пользуются особенностями нашего менталитета для незаконного, в большинстве случаев, обогащения.

Данная статья посвящена набирающим в нашем регионе популярность бесплатно распространяемым программам, эксплуатирующим наше любопытство под невинным предлогом защиты от спама, но фактически предоставляющих третьим лицам сведения из адресных книг наших телефонов, а также фотографии, адреса электронной почты, записи телефонных разговоров и другой информации если не персонального, то очень чувствительного характера.


В связи с тем, что подобного рода программ существует достаточно много, и их названия могут быть легко изменены производителями в случае их блокирования в ряде государств по причине несоответствия требованиям национального законодательства по защите персональных данных, в данной статье рассматривается негативное воздействие на примере приложения GetContact, завоевавшего популярность несколько лет назад.

На первый взгляд потенциальная опасность этого приложения связана только с тем, что после завершения процедуры регистрации на его использование сведения из адресной книги телефона мгновенно копируются в глобальную базу данных, доступную в данный момент нескольким миллионам совершенно незнакомых вам людей. Отметим, что в лицензионном соглашении производитель откровенно предупреждает пользователей о своём праве передавать полученные персональные данные сторонним поставщикам услуг и партнерам, оказывающим услуги обработки данных, в том числе, находящимися за пределами территории вашего проживания. Однако это редко останавливает пользователей нашего региона, так как, как правило, содержание лицензионного соглашения никто внимательно не читает.

Анализируя содержание адресной книги собственного телефона, можно обратить внимание, что мы обычно заносим туда данные в удобном для нас виде, часто ассоциируемом с чем-то конкретным: профессией, характерной особенностью внешности, например, «Коля – культурист» или «Наташа – маникюр», хотя встречаются и более «интересные» варианты.

Любопытство, о котором мы упоминали ранее, мотивирует пользователей на поиск именно такой информации, потому что функциональные возможности программы позволяют отобразить абсолютно все записи, имеющиеся в базе данных, связанные с номером интересующего вас телефона (у самых общительных их может быть несколько десятков). В связи с этим в Интернете изложена масса примеров успешных разоблачений супружеской неверности, обидных и необоснованных увольнений с работы, потери давних дружеских отношений, детали глубоких психологических травм и так далее.

Однако самым опасным и наименее явным в данном контексте является то, что благодаря этой несложной технологии злоумышленники могут получить доступ к интересующей их конфиденциальной информации, которою они в дальнейшем могут использовать как для прямых хищений с помощью недальновидно записанных в адресную книгу паролей, номеров кредитных карт и PIN-кодов к ним, так и для дальнейших манипуляций, осуществляемых с помощью полученных точных домашних адресов, записей телефонных разговоров и иных подробностей личной жизни потенциальных жертв.

Безусловно, формально разработчиками предусмотрена возможность удалить номер телефона из базы данных GetContact, однако в действительности это можно далеко не всегда. Например, нам при проверке одного из легальных способов удаления номера, предлагаемого производителями, это сделать не удалось, на одном из шагов предложенной процедуры было получено сообщение о том, что GetContact является недоступным для нашего региона. К тому же, даже самые наивные из нас сегодня прекрасно осведомлены, что безвозвратное удаление информации, попавшей однажды в Интернет, просто по определению невозможно, и никто не даст гарантии, что после официального подтверждения, что номера в базе данных больше не существует, прекратится поток рекламных звонков, спам сообщений, а также обращений не вполне адекватных людей.

Потерпевшие, на своём горьком опыте осознав серьезность ситуации, начинают задавать вопрос о законности подобного рода процедуры обработки персональных данных, так как наше законодательство достаточно чётко и строго регламентирует процедуру распространения персональных данных без согласия их владельца (ведь именно это происходит, когда человек, с которым мы обменялись телефонными номерами, передаёт их третьим лицам), тем более их трансграничную передачу для хранения на серверах, размещённых за пределами нашей страны для которой операторы вообще обязаны предварительно получать наше письменное согласие. К сожалению, нам неизвестна позиция Национального центра по защите персональных данных по данному поводу, однако известно, что в Азербайджане и Казахстане приложение GetContact уже давно заблокировано, а в России в данный момент компетентные органы устанавливают степень соответствия требованиям законодательства в данной области.

Безусловно, рано или поздно наши специалисты в области защиты персональных данных обязательно официально отреагируют по поводу использования подобных приложений, но пока этого не произошло, рекомендуем всем пользователям осознавать серьёзность последствий проявления своего любопытства, так при использовании данных приложений никому точно не известно, куда могут попасть данные контактов из адресной книги, и с какой целью в действительности они могут быть использованы, ведь подобного рода данными активно интересуются отправители целевой рекламы, коллекторы, злоумышленники для проведения вишинговых или фишинговых атак.

Ну, а тем, кто все же проиграл битву с собственным любопытством, дружески советуем при регистрации в GetContact или в приложениях с аналогичным функционалом использовать пустую адресную книгу. Это никак не отразится на работоспособности самого приложения, но здорово обезопасит ничего не подозревающих людей, включенных в списки контактов телефонов от утечек их персональной информации в открытый доступ.

Андрей Сорокин,
специалист в области информационной безопасности, CISA

Подпишитесь на нас в Twitter, если хотите знать больше

Нашли ошибку в тексте? Выделите ее и нажмите Ctrl+Enter


Новости наших партнеров
Ещё
load