Эксперт отметил, что пользователь сам оставляет о себе информацию в глобальной информационной сети, зачастую избыточную, участвуя в различных опросах, лотереях, программах лояльности и приложениях для голосования. В социальных сетях пользователь указывает о себе всю необходимую информацию, а на основании постов можно сделать вывод о его хобби, интересах, уровне дохода и социальном статусе. Различные опросы или IQ-тесты в завершении предлагают заполнить анкету, где собираются пол, возраст, сфера деятельности, город проживания, контактная информация и уровень дохода. Этого достаточно для формирования полноценного профиля пользователя.
«Эта информация в дальнейшем может быть использована злоумышленниками для таргетированной рекламы, фишинга и социальной инженерии», — сообщил Дворянский.
Например, человек тратит время на большой IQ-тест, а ответ получает только после заполнения окна обратной связи, в котором собирается вся персональная и социальная информация. Такая информация в дальнейшем используется для рекламных кампаний и социальных исследований, причем проводящие их небольшие компании не всегда соблюдают необходимые требования безопасности, из-за чего данные рано или поздно оказываются в общем доступе или могут быть использованы злоумышленниками.
Он подчеркнул, что если пользователь указывает в разделе хобби «горные лыжи», он начинает получать рассылки на указанные контакты о скидках на горнолыжное оборудование, экипировку и распродажах туров на горнолыжные курорты. Помимо безобидных спам-рассылок, потенциальной жертве могут направлять фишинговые письма с поддельной ссылкой на крупный магазин горнолыжного снаряжения или предложение поехать на известный горнолыжный курорт с привлекательной ценой и формулировкой о скидке, действующей ограниченное время, вынуждая принять быстрое импульсивное решение и произвести оплату.
Собранная и консолидированная база данных о профилях пользователей может быть продана злоумышленниками в интернете на основании какого-либо объединяющего признака, рассказал эксперт. Существуют безобидные варианты использования, когда владелец специализированного автосервиса покупает базу потенциальных клиентов, использующих определенную марку авто, для адресной рассылки с предложением сотрудничества.
Однако существуют и более сложные схемы, добавил Дворянский, где якобы от владельца этого же сервиса идет рассылка о льготном условии прохождения технического обслуживания автомобиля со скидкой, причем стопроцентную предоплату необходимо произвести в момент записи на сайте, который оказывается ненастоящим, а денежные средства уходят злоумышленникам.
Для снижения рисков правильным решением становится отказ от указания дополнительной информации в интернете: если поля необязательны к заполнению, их не стоит заполнять. Эксперт рекомендует создавать отдельный почтовый адрес для использования в интернете, социальных сетях и программах лояльности, чтобы оградить основной почтовый ящик от спама.
В социальных сетях без необходимости не стоит указывать дополнительную информацию о себе, своих хобби и интересах, поскольку этот цифровой профиль могут использовать злоумышленники для таргетированной рекламы, спама, фишинга, социальной инженерии, а также для попытки взлома аккаунта и дальнейшей работы с контактами его владельца, поделился ИБ-эксперт.
«Есть еще одна рекомендация: используйте разный пароль к каждой системе. В этом случае вы не рискуете, скомпрометировав пароль к одному ресурсу, потерять доступ сразу ко всем. Выполняйте требования к сложности и уникальности пароля. Пароль ко всем ресурсам необходимо менять не реже чем один раз в год, а в идеале — раз в полгода», — заключил он.
«Данная информация носит исключительно информационный (ознакомительный) характер и не является индивидуальной инвестиционной рекомендацией».
