Специалисты по кибербезопасности предупреждают: многие пользователи все чаще сталкиваются с ситуацией, когда при добавлении товаров в корзину, но без их оплаты, через некоторое время им звонят менеджеры этих интернет-магазинов и предлагают скидку или бесплатную доставку, если пользователи купят товар прямо сейчас. При этом пользователи не оставляли никаких контактных данных.

 С одной стороны – удобно: пользователи получили скидку или бесплатную доставку. Но если задаться вопросами: 

• Как магазин узнал контактные данные?
• Откуда менеджер знает номер мобильного?
• Что еще ему известно о пользователе?
• Не нарушает ли менеджер закон о сборе персональных данных?
• Как данные используются?
• Кому передаются?

 Чаще всего такие схемы происходят в финансовой сфере. Когда банк или другая финансовая организация перезванивает с предложение выпустить карту, получить кредит или оформить займ, хотя пользователь никому не передавали свои контакты.

 Налицо все признаки кликджекинга или, как его еще называют, соцфишинга, используемого на сайте.

 Кликджекинг — это механизм обмана пользователей на сайте, при котором размещаются невидимые элементы, с которыми пользователь взаимодействует, не подозревая об этом.

 Самым простым примером кликджекинга может быть реклама, которая расположена поверх ролика или кнопки на сайте. Пользователь жмет кнопку и ожидает одного действия, а его, например, перекидывает на другой сайт или сайт предлагает посмотреть рекламу. Это безобидный вариант кликджекинга, который просто раздражает, но что, если при подобном клике сервис узнает о пользователе гораздо больше, чем тот думает. Например, ФИО, дату рождения, круг интересов, список групп в социальных сетях, номер телефона, email и многое другое.

 Сейчас существуют сервисы, для которых клик по кнопке не требуется, например, когда одной из открытых вкладок в браузере является социальная сеть. Таким образом пользователь становится жертвой злоумышленника. При этом злоумышленник может из соцсети достать всю информацию про пользователя, конечно, в рамках той, которая в этих соцсетях  указана. При этом, дело не ограничивается только одной социальной сетью. Если удалось выудить email, то специальные программы начинают пробивать пользователя везде и отовсюду добывать крупицы информации.

 Рекомендации экспертов: пользователь должны быть осторожны при взаимодействии с незнакомыми сайтами и не доверять запросам о предоставлении личной информации, особенно, если они появляются неожиданно, например, после нажатия какой-либо клавиши на сайте.

 Материалы подготовлены группой по защите информации на основе анализа Интернет-ресурсов

16.05.2023