Опасны ли тесты в соцсетях?

Популярные сейчас в Facebook тесты «На кого из знаменитостей ты похожа» или «Какое ты животное?» не просто сомнительны, но и опасны: они собирают персональную информацию о пользователях, их контактах и привычках. Эти данные могут быть использованы дальше для фишинга, злоумышленники могут рассылать письма от имени человека, данные которого утекли, допустим, его родственникам, коллегам, руководителю. И если раньше злоумышленники тратили месяцы для сбора подобной информации, то тут мы предоставили её сами. Чтобы всё исправить, нужно закрыть доступ к приложению в настройках Facebook — правда, сервис не гарантирует, что ваши данные оттуда окончательно исчезнут. Если не терпится узнать, кто вы из «Зачарованных», заведите вторую страницу и оставьте там самый минимум персональных данных в информации о себе. А если захочется поделиться результатами, сделайте скриншот и опубликуйте его в своей ленте.

В последнее время интернет захлестнула волна онлайн-тестов: пользователю предлагают определить продолжительность жизни, узнать, на какого киногероя он похож, и узнать другие параметры. Если говорить о тестах в интернете (например, в социальных сетях), то в этом случае злоумышленники могут использовать атаки типа clickjacking. Принцип основан на том, что злоумышленник заставляет пользователя кликать на безопасные с виду кнопки на странице, хотя на самом деле поверх видимой страницы располагается невидимый слой, в который и загружается нужная злоумышленнику страница, при этом элемент управления (кнопка), необходимый для осуществления действия, совмещается с видимой для пользователя кнопкой. Возможны различные применения технологии — от подписки на платный ресурс до кражи конфиденциальной информации и совершения покупок в интернет-магазинах.

Для совершения мошеннических действий на мобильных устройствах злоумышленники используют тип атаки tapjacking — аналог clickjacking. Исследователи, которые рассказали миру о нём, назвали баг cloak and dagger. Суть мошенничества заключается в том, что легитимное приложение размещается снизу, а сверху — приложение-приманка. Нажатия проходят «сквозь» приманку. Пользователь думает, что отвечает на вопросы теста, но нажатие передаётся дальше и попадает на нижележащее приложение. Кроме того, ОС Android разрешает любому приложению запросить список уже установленных на устройстве приложений: к примеру, банковских. Что позволит узнать дополнительную информацию: злоумышленник может задавать пользователю личные вопросы: девичья фамилия матери или кличка домашнего животного. Вопросы будут зависеть от того, какие вопросы предлагает то или иное приложение.

Определить активность злоумышленников можно по нескольким признакам: тест заставляет пользователя кликать в разные части экрана, появляются задержки в работе, требуется указать личные данные. Если говорить про онлайн-тесты, то для дополнительной уверенности и безопасности пользователь может пройти тест в приватной вкладке браузера, где он не авторизован. Если — про мобильные приложения, то пользователю следует относится к каждому из них так, будто у него есть неограниченный доступ к устройству. Приложение может выглядеть безобидным, но действовать скрытно либо обманным путем вынуждать пользователя выполнять нежелательные действия. Стоит доверять тем разработчикам, которые размещают свои новинки в официальных маркетах (Google play, App store). Но даже при таком варианте прохождения теста не стоит оставлять свои личные данные.

​