Как спам проник в телефоны большинства россиян

В уходящем году наши сограждане страдали не только от пандемии и связанных с коронавирусом ограничений, но и от резко активизировавшегося телефонного и интернет-мошенничества, а также от растущей массы телефонного спама. Газета ВЗГЛЯД выяснила, почему спамеры знают ваш номер телефона, даже если вы никому его не называли, и как обезопасить себя от навязчивой рекламы по телефону.

Как спам проник в телефоны большинства россиян
© Деловая газета "Взгляд"

«Время накануне новогодних праздников – пик мошеннического и рекламного спама и в интернете, и по телефону. Люди закрутились, не купили подарки – вот им и «впаривают» усиленно, – говорит адвокат Максим Сологуб, много лет проработавший в МУРе в отделе по борьбе с мошенничеством. – Но самый бич – предложения от банков. Это просто лавина звонков сейчас идет. Оформи кредит, купи близким подарки!».

Газета ВЗГЛЯД уже писала о буме электронного и телефонного мошенничества на фоне пандемии. Проблема спама стоит также крайне остро. Это признают и чиновники. «Все большее количество граждан жалуется на нежелательные звонки с рекламными предложениями, в том числе от финансовых организаций. В данном случае, помимо активизации работы антимонопольных органов, потребуется корректировка законодательства о связи и о рекламе», – заявил глава Федеральной антимонопольной службы Максим Шаскольский в ходе недавнего заседания Совета по развитию финансового рынка при Совете Федерации.

Половина неизвестных звонков – спам

«По нашим подсчетам, спам-звонки составляют не менее половины от общего числа звонков с неизвестных номеров, – рассказывает корреспонденту газеты ВЗГЛЯД директор компании «Интернет-розыск», резидент Технопарка Санкт-Петербурга Игорь Бедеров. – Этот объем, конечно, относителен и зависит от множества факторов. Если владелец телефонного номера коммерсант, то он получит спама в разы больше, чем дворник. Тут все зависит от того, входит ли тот или иной человек в целевую аудиторию спамеров. Где-то до 20% спама составляют звонки от кредитных и банковских учреждений, предлагающих оформление кредитов. Актуальный продукт для кризисного периода в стране и мире. Самый, наверное, агрессивный сегмент».

«Действительно, больше половины всех звонков, поступающих с незнакомых телефонов – это разнообразный спам», – соглашается аналитик в сфере телекоммуникаций, генеральный директор агентства Telecom Daily Денис Кусков. Схожие результаты показывают недавнее исследование «Лаборатории Касперского» и данные сервиса «Яндекс. Взгляд». Так, по подсчетам «Яндекса», за январь–ноябрь 2020 года, доля звонков с неизвестных номеров составила 55%. В прошлом году она составляла 50%. «Лаборатория Касперского» примерно за тот же период фиксирует еще более внушительные цифры: доля спам-звонков в 2020 году составила 63%. При этом, как подсчитал «Яндекс», 83% россиян получают как минимум один спам-звонок в неделю. В 2019 году таких было только 64%.

Еще один наглядный показатель роста спам-звонков и одновременно роста озабоченностью такими звонками – количество запросов в поисковиках, связанных с выяснением происхождения неизвестного побеспокоившего номера (запросы «определитель номера», «кто звонил», «чей номер»). Этот показатель стабильно растет. С января 2018 года по ноябрь 2020 года доля таких обращений выросла втрое – со 100 до 310 запросов в расчете на миллион запросов к «Яндексу».

Социолог и криминолог Валерий Юнусов, специализирующийся в области IT-преступности, связывает рост числа спам-звонков с пандемией по нескольким причинам. «Во-первых, в какой-то момент через спам стали предлагать медицинские товары и услуги. Во-вторых, потребитель, опять же в какой-то момент, стал меньше ходить по магазинам – стал более восприимчив к спаму. В-третьих, те, кто терял работу, пополнял ряды операторов кол-центров, многие из которых работают удаленно», – объясняет Юнусов.

Оценить однозначно общий объем рынка спам-звонков собеседники газеты ВЗГЛЯД затруднились. Для сравнения: по данным компании BrandMonitor, в 2020 году телефонные и интернет-мошенники «заработали» на наших гражданах порядка 150 миллиардов рублей. По мнению Юнусова, цифры спам-индустрии «вероятно сопоставимы», но «труднее вычленяются». Бизнес не чисто криминальный, потому более массовый, но не такой сверхвыгодный: спамеры работают как подрядчики к производителям продукции.

Большой бизнес-брат следит за тобой

Типовая ситуация – вы не давали свой мобильный номер какой-то организации (например, банку, страховому брокеру, продавцу окон или квартир), но вам все равно позвонили. К вам даже могли обратиться по имени и отчеству. Откуда у спамеров ваш номер?

«Тут много самых разных способов. Первый – это так называемый парсинг досок объявлений, социальных сетей, тематических форумов и так далее. Парсинг – это сбор и систематизация разнообразных данных программами и специальными интернет-ботами. Например, номеров телефонов и имен, что нас интересует. Если когда-нибудь вы оставили свой телефон, допустим, на сайте по продаже автомобилей, то он легко мог попасть в базу парсеров. Серьезные платформы с парсингом пытаются бороться, а более простые ничего даже и не предпринимают», – рассказывает Максим Сологуб.

«Второй способ – это покупка баз данных в даркнете. Это могут быть базы данных сетевых магазинов, сотовых операторов, снова социальных сетей и любые другие,

– продолжает Сологуб. – Этим летом была громкая утечка личных данных нескольких миллионов пользователей Telegram, а в мае в очередной раз выложили базу ГИБДД. За доступ к базе просили 0,3 биткоина (на тот момент это примерно 2800 долларов – прим. ВЗГЛЯД), не очень много. Как правило, продаются устаревшие базы. Первые покупатели становятся продавцами, цена мгновенно падает. Потом базы даже можно найти бесплатно. Базы постоянно миксуют между собой».

Однако можно вообще нигде и никогда не оставлять свой номер телефона и тем не менее стать жертвой спам-звонков. Достаточно просто зайти на сайт с услугами или товарами – и вам через некоторое время поступит звонок с предложением этот товар-услугу приобрести. «Метод существовал и раньше, но по-настоящему раскрылся в этом году. Это еще один привет от 2020 года. Большой бизнес-брат следит за тобой», – шутит Сологуб.

В любом поисковике достаточно вбить «определение контактов посетителей сайта» – и вы увидите массу коммерческих структур, которые предлагают подобные услуги. Средняя цена за личную информацию одного посетителя – 20-30 рублей.

«Интернет давно не анонимен. Как это работает? Когда человек заходит на такой сайт, то скрипт (программа, которая запускается если пользователь заходит на сайт – прим. ВЗГЛЯД) на таком сайте открывает его куки (небольшой фрагмент данных, который используется для идентификации пользователя, автоматически пересылается от пользователя через браузер на сервер в случае посещения сайта – прим. ВЗГЛЯД). По кукам вытаскивается уже его электронная почта и социальные сети, а потом уже по почте и социальным сетям смотрится его IP и телефон», – рассказывает Игорь Бедеров.

Если же человек заходит на сайт не при помощи стационарного интернета, а со смартфона или использует мобильник как модем, деанонимизация может пройти даже проще. Скрипт сразу вытягивает его IP из смартфона и получает телефонный номер.

Маленьким шрифтом в интернете

Корреспондент газеты ВЗГЛЯД позвонил в WantResult – одну из фирм, которая рекламирует «определение контактов посетителей», представился потенциальным клиентом и спросил о легальности услуги.

«Когда пользователь заходит на такую страницу, где мы размещаем свой сервис, он во всплывающих окнах «нажимает» на согласие на обработку данных. Даже если он просто остается на сайте, то в окнах прописано – если остаешься, то согласен на обработку данных. Легальность – ключевой момент нашего бизнеса. Мы работаем только с теми данными, где пользователи сами это разрешили, а значит, деятельность осуществляется в полном соответствии с законом «О персональных данных» и другими законами», – рассказывает представитель компании WantResult Алексей Лесников. При этом Лесников в качестве доказательства легальности выслал на почту учредительные документы и лицензии и привел тот факт, что его фирма внесена в реестр операторов баз данных Роскомнадзора. И она действительно там есть.

«Это как маленьким шрифтом прописать в договоре, но не на бумаге даже, а в интернете, что вы даете согласие на обработку данных. Формально, да – никак не придерешься. Но бывает, что даже этих всплывающих окон нет»,

– говорит адвокат Сологуб.

В прошедшем году достаточно активно эту технологию стали использовать торговцы недвижимостью. ВЗГЛЯД поговорил с двумя потенциальными покупателями квартир, которые просто заходили на сайт крупной девелоперской компании и уже через пару часов им звонили оттуда с «уникальным предложением». Факт использования технологий газете ВЗГЛЯД подтвердил руководитель департамента субагентских продаж компании «Миэль-Новостройки» Василий Богачев. При этом, по его словам, «строительные компании пользуются технологиями не напрямую, а через подрядчиков-продажников».

«В компаниях держать свой кол-центр нерентабельно, если он не загружен работой постоянно. Поэтому кол-центры мы чаще всего встречаем у коллекторов или рекламных компаний. Они зависят в своих показателях от заказов и могут быть различны как по обороту, так и по числу сотрудников. Тарификация их работы может зависеть от количества минут в общении с клиентами или от иных показателей. В отличие от криминального рынка, где операторы работают за хорошие условия содержания в исправительном учреждении или долю от прибыли, сотрудник обычного кол-центра получает небольшую зарплату, от 15 до 35 тысяч рублей, и мотивационную надбавку по итогам работы», – говорит Бедеров.

Спамерам закон не писан

Федеральный закон «О рекламе» запрещает распространение любой рекламы по сетям электросвязи без предварительного согласия абонента или адресата, а Федеральный закон «О персональных данных» вообще запрещает любую передачу и обработку личных данных без согласия. Таким образом, в теории спам-звонки – вне закона. Однако на практике рекламщики и спамеры находят способы обходить запреты.

«Часто операторы связи, да и прочие организации, в которые вы передаете свой номер телефона, указывают в соглашении возможность осуществления таких звонков как от себя, так и от лица своих многочисленных партнеров», – говорит Игорь Бедеров. Тонкий момент заключается также и в том, что процедура «дачи согласия» никак не формализована. Просто нажав, даже случайно, кнопку на сайте в интернете – вы уже можете дать такое согласие и даже не заметить этого.

«Чтобы избежать сложных толкований и спекуляций вокруг «дачи согласия», можно просто запретить любые рекламные звонки и сообщения», – рассуждает Сологуб. Однако проблема – не только законотворческая, но и техническая.

«Для работы кол-центра используют SIP-телефонию, которая обеспечивает возможность связываться, используя для соединения не обычные телефонные сети, а интернет, – рассказывает Игорь Бедеров. – Для обеспечения безопасности SIP легко развертывается на базе серверов, находящихся за пределами России. Все это, как правило, ставит в тупик службы безопасности коммерческих организаций. Однако просто заблокировать в стране интернет-телефонию нельзя. Слишком много компаний, да и госорганов, используют SIP для своей повседневной деятельности. Нужен иной принцип блокировки, основанный не просто на выделении всех подозрительных SIP-звонков, но и на масштабном обмене данными», – говорит Бедеров.

«У нас каждый сотовый оператор и каждый банк сражается со спам-звонками самостоятельно, если они и обмениваются данными, то по доброй воле в рамках корпоративных договоренностей, которые ни обществу, ни государству не понятны. А это категорически неправильно!

– возмущается криминолог, специалист по IT-преступности Валерий Юнусов. – Победить спам в принципе невозможно. Но его можно минимизировать, если создать общую систему обмена данными, когда признанный по прозрачным критериям спамер блокируется не в одной компании, а сразу везде».

В середине ноября проект закона о единых критериях противодействия телефонному мошенничеству и спамерству обсуждался на совещании межведомственной рабочей группы с участием Минцифры, МВД, ФСБ, Роскомнадзора, Центробанка, крупных банков и операторов связи. Подробности не сообщались. Возможно, речь идет как раз о некой общей системе или ее прототипе. «Если так, то очень хорошо. Но было бы здорово, если бы это было открытое, публичное обсуждение», – заключает Юнусов.

Как обезопасить себя от спам-звонков

Пока же единой системы не создано, газета ВЗГЛЯД попросила экспертов по информационной безопасности рассказать о том, как защититься от спама самостоятельно, а после суммировала их советы. Вот они:

1. Необходимо соблюдать элементарную информационную гигиену. Не оставлять свои данные, в том числе телефонный номер, на сомнительных сайтах. Если где-то вам пришлось оставить номер телефона, то удалите его потом. Номер все равно останется в кэше, но вероятность, что его найдет программа-пайсер, а потом использует спамер, уменьшится.

Пользуйтесь услугами надежных и проверенных интернет-магазинов. Не заходите на сомнительные сайты и тем более не делайте там покупок. Не нажимайте кнопки «принять» или «согласен», если полностью не прочитали, что вы принимаете и с чем согласны.

2. Не оставляйте свой номер в обычных бумажных документах, если в этом нет необходимости. Внимательно читайте договоры, чтобы неожиданно для себя не подписаться под согласием на рекламные звонки.

3. Закажите у мобильного оператора услугу на блокировку спам-звонков.

4. Активируйте встроенные антиспам-фильтры в своем iPhone или смартфоне с операционной системой Android. У других мобильных операционных систем тоже есть антиспам-фильтры.

5. Установите на смартфон программу телефонный «антиспам». Такие программы есть у «Яндекса», «Лаборатории Касперского» и других разработчиков.

6. В случае спам-звонка рекомендуется отчетливо несколько раз повторить оператору, что вы не даете согласие на рекламу, запрещаете дальнейшие звонки и намерены обратится в Роскомнадзор (по нарушениям, связанным с обработкой персональных данных) и ФАС (по нарушениям, связанным с незаконной рекламной деятельностью). Таким образом вы отзываете согласие на рекламу, даже если когда-то его случайно дали. Кроме того, «проблемных» клиентов часто вычеркивают из баз данных.