Мобильный спам
ОБЪЕМ МОБИЛЬНОГО спама, как и общую сумму ущерба, которую причиняют абонентам сотовых операторов такие сообщения, не берется оценить никто — ни сами операторы, ни компании, предоставляющие услуги в области информационной безопасности. Тем не менее все они сходятся во мнении, что количество рекламных SMS, в том числе вредоносных, растет очень динамично, и соответственно теми же темпами растет прибыль тех, кто эти сообщения распространяет

Мобильный спам не только надоедлив, но и опасен, поскольку с помощью таких сообщений могут распространяться вредоносные приложения или осуществляться фишинг-атаки.

Объем мобильного спама, как и общую сумму ущерба, которую причиняют абонентам сотовых операторов такие сообщения, не берется оценить никто – ни сами операторы, ни компании, предоставляющие услуги в области информационной безопасности. Тем не менее все они сходятся во мнении, что количество рекламных SMS, в том числе вредоносных, растет очень динамично, и соответственно теми же темпами растет прибыль тех, кто эти сообщения распространяет.

Подписаться на рекламу

Условно рекламные SMS, приходящие на мобильный телефон, можно разделить на три большие группы. В первую попадают «легальные» сообщения, распространяющиеся с согласия абонента. Согласие может быть получено разными путями. Самый распространенный – при заполнении анкеты покупателя в магазине или сервисе. Кроме того, рекламные блоки могут включаться в сервисные SMS, которые однократно отправляются на номер, введенный пользователем при оплате услуг сотовой связи, рассказал коммерческий директор «Qiwi Реклама» Данило Шевченко. Например, SMS, которые получают клиенты Qiwi после оплаты сотовой связи через платежный терминал, делятся на две части: первая часть содержит информацию о совершенной оплате через Qiwi-терминалы, а вторая – рекламу. При этом, по словам Шевченко, номера мобильных телефонов пользователей не включаются в базы данных и не передаются в третьи руки, что обеспечивает конфиденциальность их персональных данных в соответствии с законами РФ.

Мобильная реклама – распространенная практика для мобильных операторов не только России, но и всего мира, сообщил руководитель управления по борьбе с мобильным мошенничеством компании «МегаФон» Сергей Хренов. Для оказания услуг по организации и проведению рекламных кампаний «МегаФоном» создана дочерняя компания «МегаЛабс». При проведении таких кампаний с использованием абонентской базы «МегаФона», подчеркнул Хренов, никакая персональная информация об абонентах никогда не передается компании-рекламодателю. Все технологические действия — обработка информации, подготовка отчетности и т. п. — осуществляются сотрудниками «МегаФона» или дочерних компаний, имеющих специальный доступ к работе с секретной информацией, и тайна связи и переписки никогда не нарушается. Рекламные сообщения отправляются только тем абонентам, которые при заключении договора с оператором согласились получать рекламу на свои мобильные устройства, отметил Хренов. Он советует рекламодателям не верить на слово организаторам рекламных рассылок, утверждающих, что у них заключены договоры с сотовыми операторами: как правило, эти «организаторы» оказывают свои услуги незаконно.

«Билайн» также предлагает услуги для B2B-сектора, позволяющие организовать SMS-информирование своих клиентов. Но обязательное требование таких договорных отношений — письменное согласие абонента на получение SMS-информации о компании или ее акциях, рассказала руководитель проектов корпоративной социальной ответственности компании «ВымпелКом» Евгения Чистова.

Согласия не требуется

Во вторую категорию мобильного спама попадают сообщения, формально безвредные, но тем не менее нарушающие закон «О рекламе», поскольку рекламодателем не было получено предварительное согласие абонента на рассылку. Такие сообщения сами операторы называют коммерческим спамом, рассказал Хренов. По его словам, доля такого спама растет в геометрической прогрессии: если в 2011 году доля коммерческого спама в общем объеме жалоб на спам абонентов «МегаФона» составляла всего 14%, то в 2012 году она выросла до 62%.

Вряд ли утечки персональных данных своих абонентов организовывают сами операторы, считают представители компаний, специализирующихся на защите информации. Самим операторам подобные противоправные действия ни к чему, уверен руководитель отдела антивирусных разработок и исследований компании «Доктор Веб» Сергей Комаров. Во-первых, если факт разглашения персональной информации абонентов подтвердится, операторам могут грозить серьезные штрафы контролирующих органов и иски со стороны пользователей. Кроме того, может серьезно пострадать имидж компании-оператора, а это, в свою очередь, негативно скажется на абонентской базе и прибыли. Более вероятны случаи раскрытия баз данных с абонентской информацией отдельными недобросовестными сотрудниками, ищущими свою выгоду, считает Комаров.

Хренов утверждает, что базы данных абонентов надежно защищены и никому никогда не передаются. По его словам, спамеры, как правило, отправляют сообщения методом обычного перебора телефонных номеров либо используют базы, которые собирают различные торговые точки и заведения при заполнении анкет для выдачи скидочных карт, предоставления бонусов, скидок и т. п. Эта версия объясняет, каким образом абоненты получают «адресный» рекламный спам. Например, после пользования услугами такси могут начать приходить сообщения о расценках других транспортных компаний, а клиенткам салонов красоты – буквально сыпаться предложения попробовать новые косметические продукты или сервисы.

Основной вид спама приходит сейчас из Интернета, отмечает Чистова, так как именно там наиболее высока вероятность оставить номер телефона, который выманивается спамерами под любыми предлогами.

Пришлите ваши денежки

В третью, самую опасную группу мобильного спама попадают сообщения, содержащие вредоносные ссылки и приложения, а также SMS, пытающиеся заставить абонента перевести некую сумму на счет мошенника. К такому же типу вредоносного мобильного спама можно отнести всплывающие баннеры при использовании мобильных браузеров, которые перенаправляют пользователей без их уведомления на сайты с премиум-тарификацией трафика, добавил заместитель руководителя лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB Сергей Никитин.

Во вредоносных сообщениях может указываться ссылка на сайт, имитирующий настоящий (например, сайт банка или онлайн-магазина, где пользователю предлагается ввести свои персональные данные якобы для проверки или подтверждения), либо даваться ссылка, при переходе по которой на мобильное устройство пользователя загружается вредоносная программа. Такая программа может совершать все, что угодно, в зависимости от целей атакующих и типа устройства (например, красть вашу переписку и отслеживать маршрут вашего передвижения), предупреждает Комаров.

Вредоносные программы в основном отправляют SMS на платные короткие номера, и тут все зависит от бдительности пользователя, часто ли он следит за состоянием баланса, считает Никитин. Потолок для премиум-SMS, установленный большинством операторов, составляет 300–350 руб. Мобильные вредоносные программы могут быть настроены так, что будут отправлять сообщения с определенной периодичностью, чтобы не выдать свое присутствие. Таким образом, им удается достаточно долгое время незаметно для пользователя совершать хищения с его мобильного счета. Следовательно, речь может идти о суммах ущерба в несколько тысяч рублей с одного абонента, рассказывает Никитин

В черном списке

Если законы в России худо-бедно регулируют, как именно должна осуществляться легальная рекламная рассылка, то нормы, определяющие порядок действий в случае, если абонент хочет отказаться от получения рекламных сообщений, фактически не прописаны, констатирует заместитель начальника управления контроля рекламы и недобросовестной конкуренции ФАС России Ирина Василенко. По ее словам, даже процедура отказа от легальной рекламной подписки затруднительна для абонента, что же говорить о нелегальном SMS-спаме. Тем не менее первое, что должен, по ее словам, сделать получатель таких сообщений, это обратиться к своему оператору связи, и только в случае его отказа блокировать приходящие с определенного номера SMS, жаловаться в Роскомнадзор. При этом, подчеркнула Василенко, абонент должен предоставить ведомству максимальное количество доказательств нелегальной рассылки, а также самостоятельно собрать сведения о распространителе таких сообщений. Заметим, что первое условие выполнить легко, а вот второе — практически невозможно, поэтому абоненты нечасто обращаются за юридической помощью в государственные контролирующие органы, и это одна из причин, по которым деятельность «мобильных» спамеров остается безнаказанной. Если только сами операторы не предпримут меры по защите абонентов.

«Мы блокируем абонентов-спамеров в нашей сети и обращаемся к другим операторам с просьбой о блокировке, когда спам приходит к нам из других сетей», утверждает Хренов. Телекоммуникационная компания может сделать гораздо больше (чем государство) для защиты абонентов, уверен он, так как располагает специальными программно-аппаратными комплексами, позволяющими ей самостоятельно и оперативно блокировать и мошеннические, и коммерческие SMS-рассылки. Проблема здесь в том, отмечает Хренов, что по закону оператор не имеет права этого делать. В законодательстве, по его словам, вообще отсутствует понятие SMS-спама, как и право оператора связи блокировать приходящийся на его сеть SMS-спам.

Кроме того, операторы косвенно заинтересованы в мобильном спаме, так как получают доход от премиум-тарификации и SMS на короткие номера. По словам Никитина, речь идет о 30–50% денежных средств от объема проходящих через такие номера микроплатежей. Именно поэтому, считает он, с мобильным мошенничеством сотовые компании борются не очень активно. Все было бы иначе, если бы за деятельность недобросовестного партнера у оператора отзывали лицензию или хотя бы штрафовали.

Что остается абонентам? Попытаться самостоятельно повысить уровень собственной защиты от нежелательных SMS-рассылок с коротких номеров, полагает Чистова. Для этого, по ее словам, абонентам «Билайна» достаточно подключить услугу «Черно-белые списки», где можно выбрать опцию: получать SMS только от оператора и определенного банка. Функционал для фильтрации входящих SMS может присутствовать и в самом мобильном телефоне, добавил Комаров. Ведущий антивирусный эксперт «Лаборатории Касперского» Денис Масленников также советует установить на свой смартфон антиспам-решение, которое способно осуществлять фильтрацию входящих сообщений по белым или черным спискам.

Что касается противодействия мошенникам или распространителям вредоносных интернет-ссылок через SMS, то тут лучшим методом защиты по-прежнему остается бдительность и недоверчивость. Не стоит переходить по ссылкам, присланным с неизвестного номера, и вообще лучше просто игнорировать любые спам-сообщения и удалять их, считает Масленников. Помимо этого он рекомендует пользователям осмотрительнее оставлять номер своего телефона на публичных ресурсах в сети, при регистрации на различных форумах или сайтах. Времена, когда сотовая связь олицетворяла собой островок безопасности и стабильности в океане изрядно криминализованной ИТ-индустрии, остались далеко позади. А с переходом к новым технологиям связи и стандартам следующих поколений проблема безопасности в мобильных сетях будет становиться все более актуальной.