ИБ-специалист Слободчиков назвал способы помешать утечке личных данных через курьера
Курьеры имеют достаточно личных данных клиентов, чтобы продавать их мошенникам или использовать в собственных корыстных целях, считают опрошенные "Газетой.Ru" ИБ-специалисты. Они призвали покупателей соблюдать несколько правил для минимизации рисков. Чем грозит слишком легкомысленное отношение к своим данным - в этом материале.
Доставка в даркнет
Когда ритейлеры и сервисы раскрывают данные покупателей курьерам, то клиенты попадают в зону потенциальных рисков, заявил "Газете.Ru" эксперт по информационной безопасности компании Лига Цифровой Экономики Андрей Слободчиков.
"Работники доставок получают имя, адрес и номер телефона получателя для оперативной связи. Сразу после выполнения заказа доступ к этим данным пропадает. Однако мы все равно стали свидетелями случаев, когда курьер назойливо писал и звонил клиенту уже после доставки", - отметил он.
По словам ИБ-специалиста, не стоит делиться с курьером "лишними" данными. Например, указывать код от домофона подъезда. "Недобросовестный курьер может продать его в общие базы данных кодов от дверей подъездов города", - предупредил эксперт.
Однако больше всего опасностей для клиентов таит именно раскрытие личного номера телефона. "Появляются сценарии сбора данных с целью дальнейшей продажи или сопоставления с другими базами данных для их обогащения", - добавил Слободчиков.
По данным эксперта, часто базы данных клиентов доставок выгружают в даркнет, так как там востребована информация о номере телефона и ФИО. Такие базы данных используются злоумышленниками.
Чаще всего данные применяются для мошенничества с использованием социальной инженерии. Либо их используют скупщики для формирования баз данных для холодных звонков. Например, представляясь сотрудниками банка.
Директор департамента сбора, хранения и анализа данных компании "ВС Лаб" Иван Барчук рассказал "Газете.Ru", что покупатели "привыкли воспринимать курьеров как функцию, хотя это живые люди со своими ценностями и потребностями".
"Если покупатель лично встречает курьера, то курьер может оценить покупателя физически: пол, примерный возраст и так далее. Если курьер заносит коробки в квартиру, то может еще и оценить интерьер и благосостояние. Многие сервисы предоставляют информацию курьеру о том, какие именно товары он доставляет", - сообщил он.
В случае крупной доставки обычно курьер узнает целиком фамилию, имя и отчество клиента для подтверждения личности при доставке.
"Данные могут продаваться в даркнете или напрямую злоумышленникам. Гипотетически данные можно использовать для распространения наркотиков или других правонарушений, используя код домофона от тихих, малонаселенных подъездов без консьержа и камер", - добавил Барчук.
По его словам, за восьмичасовой рабочий день курьер может доставить примерно 15-25 заказов. За месяц это около 400 покупателей.
Кто под вопросом?
Слободчиков из Лиги Цифровой Экономики рассказал, что для курьеров "Яндекс.Лавки", "Утконоса", "Перекрестка Впрок", iGooods, "Азбуки вкуса", Ozon доступно имя или имя и фамилия, адрес, по которому осуществляется доставка, а также контактный номер телефона в открытом виде.
По его словам, в случае с Delivery Club, "Яндекс.Едой", "Самокатом" и "Яндекс Go" раскрываются имя и адрес, а связь осуществляется через виртуальный номер телефона.
Барчук из "ВС Лаб" отметил, что курьерские службы можно разделить условно на два типа: доставка в течение часа курьером на велосипеде и доставка на следующий день курьером на автомобиле.
По его словам, сервисы каждого из типов подписывают соглашения о неразглашении с сотрудниками, а с покупателями подписывают пользовательское соглашение в электронном виде при регистрации. В нем указано, что пользователь передает свои личные данные сервису и его сотрудникам.
В результате сервис обязуется хранить персональные данные в своих системах в соответствии с российским законодательством. "То есть получить всю базу данных клиентов сервиса курьер конечно же не может. Но сложно как-то скрывать данные о конкретном заказе от курьера, выполняющего его", - пояснил эксперт.
Специалист также отметил, что большинство сервисов должны сообщать курьеру, что же именно он доставляет. "Это делается, чтобы было меньше проблем с повреждением товаров или с неполной доставкой", - добавил он.
Как защититься?
Слободчиков сообщил, что в связи с неприятными ситуациями, когда курьеры общались с клиентами уже после доставки и на личные темы, часть ритейлеров и сервисов стали использовать виртуальные номера для связи. Технология не позволяет ни клиентам, ни курьерам увидеть реальный номер телефона собеседника.
Специалист предложил при необходимости использовать отдельный номер телефона и отдельную банковскую карту - только для взаимодействия с ритейлерами и иными сервисами.
Эксперт также посоветовал сервисам в своем приложении для доставщиков установить запрет на создание скриншотов и автоматическое удаление информации о клиенте после выполнения заказа. "Это усложнит процедуру сбора информации о клиенте", - заметил он.
По информации директора по Big Data компании "ВС Лаб" Владимира Базылева, пока кейсы продажи персональных данных именно курьерами единичные. Особую внимательность специалист призвал соблюдать при общении с курьером от банка.
"Телефон на который он фиксирует документ - только рабочий. На личный телефон он не имеет право делать снимки", - предупредил он.
Базылев также посоветовал никогда не передавать паспорт и банковское документы в руки курьеру, указывая на то, что сотрудник доставки - все-таки незнакомый человек, пусть и представляет известную компанию.
"Как-то уменьшить то количество данных, которые получают курьеры, нельзя, потому что все, что они знают, нужно для связи с клиентом", - констатировал в общении с "Газетой.Ru" руководитель отдела продвижения продуктов "Код Безопасности" Павел Коростелев.
По словам Барчука из "ВС Лаб" покупатели и сами не прочь помочь потенциальным злоумышленникам. Например, оставляя полный набор своих данных о себе на коробках, которые выносятся с мусором.
"Необходимо портить всю контактную информацию перед тем, как выкинуть коробку", - предупредил специалист.
Он также порекомендовал поставить около двери квартиры коробку "приема заказов". При каждом заказе доставки стоит использовать функцию "оставить у двери", пояснил он.
"В этом случае, курьер не сможет получить информацию о вашем внешнем виде и благосостоянии, а также о графике вашего присутствия дома", - заверил Барчук. Он также посчитал, что не стоит пускать курьеров в квартиру без острой необходимости.
"Для нерегулярных доставок безопаснее пользоваться постаматами и пунктами выдачи, не оставляя свой адрес и телефон курьерам при этом", - заключил специалист.
В пресс-службе Delivery Club заявили "Газете.Ru", что курьер в приложении получает адрес клиента, его имя и примечания с полезными комментариями от пользователя - чаще всего клиенты указывают, как лучше добраться до адреса.
"Других данных курьер не получает: еще осенью 2020 года Delivery Club запустил "анонимайзер", скрывающий реальные номера клиентов в курьерском мобильном приложении", - добавил представитель сервиса.
По его словам, система автоматически генерирует вместо реального номера подменный, который будет действовать только во время выполнения заказа. Такая система исключает личные контакты и работает в обе стороны - курьеры и пользователи смогут увидеть только подменные номера.
В пресс-службе "Яндекса" не смогли предоставить "Газете.Ru" оперативный комментарий.