Мошенничество в сети. Кейс #2

Ну, скорее не мошенничество, а головотяпство с персональными данными. Но, как говорится, "если у вас паранойя, это еще не значит, что за вами не следят"

Предыдущая статья - https://telegra.ph/Moshennichestvo-v-seti-Kejs-1-01-17

Немного запоздалый дисклеймер: в предыдущей, этой и всех последующих статьях я не ставлю своей целью очернение каких-либо сайтов и изданий, через рекламные блоки на которых распространяются ссылки на противоправный контент. Я прекрасно понимаю, как работают механизмы контекстной рекламы, и понимаю, что площадка, размещающая виджеты рекламных сетей, имеет, с одной стороны, в них высокую финансовую потребность, а с другой - крайне скромные возможности по контролю за контентом, выдаваемым пользователям виджетами. Мои претензии обычно направлены не в сторону площадок, а в направлении механизмов рекламных сетей, допускающих такое безобразие (ну и против самих редисок-мошенников, разумеется).

Итак, тема сегодняшнего "пузыря рекомендаций" - кредиты и микрозаймы. Ни для кого не секрет, что эта сфера относится к числу наиболее хлебных как для законных спекулянтов, так и для разной степени незаконности "нехороших людей"

1. Создаем новый профиль в браузере
2. Идем в умолчальный поисковик и усиленно ищем разную информацию про "кредиты, займы, займы на карту, занять до зарплаты, ...". Ходим по сайтам, имитируем активность
3. Устав от дел праведных, идем почитать разные инфо-площадки - ТАСС, Ленту, Рамблер.... Постойте-ка! А вот и реклама в тему наших новых "интересов" (конкретно этот блок Яндекс.Директ был выловлен на https://finance.rambler.ru, но см. дисклеймер)

Пройдемся по предложениям. Разнообразия ради - справа налево (спойлер: просто самое интересное - в начале)

• Сайт https://money-v-dom.ru. На первый взгляд - типичная подбиралка кредитов. Но бросаются в глаза некоторые нарушения 152 -ФЗ

Во-первых, галка "Я даю согласие..." выставлена автоматически. Насколько я знаю, так делать нельзя - пользователь должен акцептовать согласие самостоятельно (поправьте меня, если я не прав)

Во-вторых, если посмотреть подробности, в глаза бросаются просто колоссальные разрешения, отдаваемые сайту в части управления персональными данными.

В-третьих, как мне кажется, должен быть явно указан оператор ПД (юр лицо, ИП, физ лицо). URL сайта, думаю, применять в качестве имени оператора неправильно (опять же, я не юрист. Но все же...)

В-четвертых, думаю, неплохо было бы в принципе где-нибудь на сайте указать какие-то реквизиты, кроме email. Хотя бы обратный адрес. Но это уже придирки

В целом - сайт не тянет на надежного хранителя персональных данных. Рекламная сеть повесила на баннер плашку "Содействие в получении финансовых услуг", а проверить законность работы сайта - "Тут наши полномочия всё..."

• Следующий баннер не скрывает ничего интересного - типичный цветастый сайт очередной МКК, с минималистичной формой заявки, кучей лигал-документов и корректной галочкой согласия. Претензий нет

• Третий участник - еще одна подбиралка кредитов. Больших форм на сайте нет, документов нет, "воды нет, населена роботами". И даже реквизиты компании в футере есть. Ничего особо интересного. Ну, кроме не спрашивающей согласие на обработку ПД формы обратной связи

Из косяков, кроме отсутствующей галочки согласия - разве что передача данных в открытом виде без шифрования. Фи, конечно, но вроде как не преступление. Что любопытно - рекламная сеть не отметила этот баннер как "Содействие в получении финансовых услуг". Возможно, из-за направленности больше на банкротство, чем на займы.

• И наш финалист - замечательный сайт http://rfbrokers.com! Сколько тут всего интересного: незащищенный протокол http, отсутствие реквизитов компании (даже в тексте "Публичной оферты"), а главное - дивная форма заявки:

Тут прекрасно все: ФИО, номер телефона, дата рождения, потребная сумма, регион и город, отсутствие каких бы то ни было упоминаний об обработке ПД как в самой форме, так и где-либо еще на сайте. Помножив это на тот факт, что реквизитов и адресов компании нигде не представлено (за отсутствием, судя по всему, самой компании), получаем, что те бедняги, которые введут свои данные на этом сайте, успешно профукают достаточно чувствительную информацию, и отозвать свое согласие будет просто не у кого.

Что характерно, на баннере в ЯДиректе стоит плашка "Содействие...", то есть какую-то валидацию этот сайт проходил.

Что имеем в сухом остатке? Люди, находящиеся в стрессовом состоянии (а быстрые займы не ищут люди без финансовых проблем. Я - не в счет), видят в рекламных блоках баннеры подобных сайтов, идут на них, заполняют многочисленные заявки - и сливают таким образом кучу ПД о самих себе безо всякого контроля.

Для чего эти сайты могут использовать полученные ПД? Для разных грязных делишек, думаю. От пополнения спам-баз, до вещей похуже - вроде подделки документов, шантажа, клонирования сим-карт (по номеру можно определить оператора, по ФИО и дате рождения - найти абонента, а дальше - найти нечистого на руку работника сотового оператора, готового за 500 рублей клонировать любую сим-карту), да и, уверен, много для чего еще. Те же аккаунты в соц.сетях взломать, например.

Как этого избежать? Ну, например, обязать рекламные сети немного внимательнее модерировать рекламу. А то получается, что плашки "Содействие..." рекламная сеть Яндекса выдает совсем уж направо и налево, даже тем, кто вместо содействия только навредит