logo
Ещё
28 февраля 2018
52
Дебетовая карта

Опасны ли тесты в соцсетях?

Какие личные данные можно узнать, особенно если прохождение очередного теста «Какая ты страна» и пр. предполагает установку приложения на смартфон?

Ответ эксперта

avatar

Автор телеграм-канала Сайберсекьюрити и Ко.

1 марта 2018

Мобильные приложения могут получить доступ к любому содержимому вашего телефона, если вы выдаёте такому приложению соответствующие разрешения. Современные мобильные операционные системы (Android, iOS, Blackberry OS) запрашивают разрешение у пользователя, прежде чем выдают какую-либо информацию самому приложению. Но если вы такое разрешение выдали, то приложение может делать с вашими файлами абсолютно любые вещи — отправлять их на сторонние серверы, например. Возьмём приложение GetContact, которое сейчас поднялось в топ-листы App Store — по сути, вы отдаёте неизвестным разработчикам номера телефонов своих друзей, контактов, тем самым компрометируя их и свои персональные данные. В дальнейшем такая информация может быть использована для фишинга, кражи аккаунтов, денежных средств и других действий злоумышленников. Будьте бдительны и не устанавливайте подобные приложения, предлагающие вам обменять конфиденциальную информацию на прогноз по гороскопу и прочие бесполезные ништяки.

Войдите, чтобы оставить ответ или задайте свой вопрос

Еще 2 ответа

avatar

Cпециалист по информационной безопасности Group-IB

6 марта 2018

Популярные сейчас в Facebook тесты «На кого из знаменитостей ты похожа» или «Какое ты животное?» не просто сомнительны, но и опасны: они собирают персональную информацию о пользователях, их контактах и привычках. Эти данные могут быть использованы дальше для фишинга, злоумышленники могут рассылать письма от имени человека, данные которого утекли, допустим, его родственникам, коллегам, руководителю. И если раньше злоумышленники тратили месяцы для сбора подобной информации, то тут мы предоставили её сами. Чтобы всё исправить, нужно закрыть доступ к приложению в настройках Facebook — правда, сервис не гарантирует, что ваши данные оттуда окончательно исчезнут. Если не терпится узнать, кто вы из «Зачарованных», заведите вторую страницу и оставьте там самый минимум персональных данных в информации о себе. А если захочется поделиться результатами, сделайте скриншот и опубликуйте его в своей ленте.

avatar

Эксперт по информационной безопасности Positive Technologies

2 марта 2018

В последнее время интернет захлестнула волна онлайн-тестов: пользователю предлагают определить продолжительность жизни, узнать, на какого киногероя он похож, и узнать другие параметры. Если говорить о тестах в интернете (например, в социальных сетях), то в этом случае злоумышленники могут использовать атаки типа clickjacking. Принцип основан на том, что злоумышленник заставляет пользователя кликать на безопасные с виду кнопки на странице, хотя на самом деле поверх видимой страницы располагается невидимый слой, в который и загружается нужная злоумышленнику страница, при этом элемент управления (кнопка), необходимый для осуществления действия, совмещается с видимой для пользователя кнопкой. Возможны различные применения технологии — от подписки на платный ресурс до кражи конфиденциальной информации и совершения покупок в интернет-магазинах.

Для совершения мошеннических действий на мобильных устройствах злоумышленники используют тип атаки tapjacking — аналог clickjacking. Исследователи, которые рассказали миру о нём, назвали баг cloak and dagger. Суть мошенничества заключается в том, что легитимное приложение размещается снизу, а сверху — приложение-приманка. Нажатия проходят «сквозь» приманку. Пользователь думает, что отвечает на вопросы теста, но нажатие передаётся дальше и попадает на нижележащее приложение. Кроме того, ОС Android разрешает любому приложению запросить список уже установленных на устройстве приложений: к примеру, банковских. Что позволит узнать дополнительную информацию: злоумышленник может задавать пользователю личные вопросы: девичья фамилия матери или кличка домашнего животного. Вопросы будут зависеть от того, какие вопросы предлагает то или иное приложение.

Определить активность злоумышленников можно по нескольким признакам: тест заставляет пользователя кликать в разные части экрана, появляются задержки в работе, требуется указать личные данные. Если говорить про онлайн-тесты, то для дополнительной уверенности и безопасности пользователь может пройти тест в приватной вкладке браузера, где он не авторизован. Если — про мобильные приложения, то пользователю следует относится к каждому из них так, будто у него есть неограниченный доступ к устройству. Приложение может выглядеть безобидным, но действовать скрытно либо обманным путем вынуждать пользователя выполнять нежелательные действия. Стоит доверять тем разработчикам, которые размещают свои новинки в официальных маркетах (Google play, App store). Но даже при таком варианте прохождения теста не стоит оставлять свои личные данные.

Задайте вопрос

Эксперты по финансам и страхованию подробно ответят на него в течение дня