Почем личные данные дяди Васи? Как мошенники зарабатывают на информации о простых людях

«Я не звезда, не знаменитость. Кому нужны мои персональные данные?», — скептически усмехаются многие из нас, подписывая очередную бумагу в банке, магазине и прочих организациях. И сильно ошибаются. Мало кому известный дядя Вася и обычная соседка — тетя Маша, а точнее их фото, номер и серия паспорта, прописка, девичья фамилия матери, кличка любимой собаки и прочие «мелочи» представляют немалый интерес для мошенников. Мы поговорили с экспертом по кибербезопасности «Лаборатории Касперского» Дмитрием Галовым о том, кто охотится на простых россиян и как защитить от угона свою личность и деньги.

Зачем охотятся за персональными данными

— Мы ходим к врачу, покупаем технику и билеты, бронируем отели и заказываем доставку товаров в курьерских службах. Везде оставляем информацию о себе. Неужели кому-то действительно нужны сведения про простого дядю Васю?

— Конечно, каждый индивидуум по отдельности может быть и не очень интересен злоумышленникам, но совокупный массив данных представляет большую ценность для злоумышленников. Со временем интерес к таким сведениям никуда не исчезает, наоборот, расширяется перечень данных, за которыми охотятся мошенники. Еще лет пять назад под персональными данными понимали в основном скан паспорта с указанными там серией, номером и адресом. Сейчас конфиденциальной информацией можно считать что угодно. Перечень товаров, которые человек заказывает, номера машин, на которых он ездит…

Многие компании активно внедряют систему know your customer (в переводе с английского языка «знай своего клиента») — то есть проверяют человека, который регистрируется в сервисе. Собранные там данные зачастую становятся целью злоумышленников. В своих схемах они пытаются выдать себя за кого-то другого и для этого покупают персональные данные. И чем они полнее, тем дороже. Год назад пакет документов на человека — паспорт, ИНН, СНИЛС — в даркнете (теневой сегмент интернета. — Прим. ред.) стоил от 300 рублей, скан паспорта с ИНН — 100 рублей, сканы удостоверений и селфи с документами — от 5 до 25 долларов. Стоимость данных банковских карт колебалась от $6–20 в зависимости от региона.

Если говорить о доступе к интернет-банку, то здесь цена зависит от того, сколько денег осталось на потенциальном счету. Злоумышленники не всегда продают данные эксклюзивно, иногда в погоне за наживой их по несколько раз перепродают. Если сведения уже использовались, то цена набора может сократиться до 20 рублей. А при покупке данных «оптом», в больших объемах, цена может быть еще меньше.

— Откуда берутся все эти данные и как попадают в теневой интернет?

— Тут можно выделить несколько источников. Во-первых, классический взлом аккаунтов. Например, с помощью фишинга или распространения вредоносных программ. Стандартный пример: злоумышленники рассылают ссылки, ведущие на фейковые копии известных сайтов, или письма типа «Смени/Подтверди свой пароль». Человек переходит на фишинговый сайт, вводит свои данные, ему говорят «Молодец» — и всё, информация уходит злоумышленникам. Но это достаточно трудозатратно и не дает моментально таких объемов данных, как «корпоративный взлом».

Поэтому в последнее время мы всё чаще слышим о взломах инфраструктуры крупных организаций, после которого большие базы данных клиентов утекают в Сеть. Это могут быть как целевые атаки, так и действия инсайдеров. В этом случае злоумышленники целенаправленно ищут и привлекают нечистых на руку сотрудников какой-либо организации, имеющих доступ к приватной информации. Это могут быть банковские данные, сведения по телефонной активности, перелетам, доставкам. Такие данные пользуются спросом, например у телефонных мошенников, которым они помогают втереться в доверие к жертве во время звонков.

Отдельно я бы отметил одну из самых больших проблем современности — овершеринг, когда люди по своей воле, не задумываясь об опасности, выкладывают чрезмерно подробную приватную информацию о себе в Сеть. Вплоть до селфи с паспортом, водительским удостоверением или авиабилетами. Агрегируя всё это, можно составить достаточно цельный портрет жертвы.

— В этом году прогремело несколько историй с утечкой. В марте в открытый доступ попали данные клиентов «Яндекс.Еды», в мае — Delivery Club и «Гемотеста», позже — сервиса доставки СДЭК. Волна сливов нарастает?

— В последнее время количество утечек действительно увеличилось. К тому же сильно вырос интерес общественности к этому вопросу. Люди стали понимать, что это не придуманная проблема.

Нашумевших историй много. Но еще больше фейковых, когда таким образом пытаются навредить имиджу той или иной компании. Что такое фейковый слив? Это либо старые данные, либо вообще видоизмененные скриншоты с недостоверной информацией.

— Весной, после начала спецоперации, перестали работать карты зарубежных платежных систем. Люди начали искать способы оформить их удаленно или вывести деньги. Отмечался ли на этом фоне рост мошеннических действий?

— Мошенники всегда используют в своих схемах актуальную повестку, и схемы с переводом денег на якобы безопасный счет из-за угрозы отключения Swift тоже встречались, особенно в телефонном мошенничестве.

Не играй в нигилиста!

— Мы послушно раздаем свои персональные данные налево и направо. Как обезопасить себя обычным людям?

— Часто ли вы отдаете свой паспорт при заселении в отель? Думаю, что всегда. И с этим ничего не поделаешь. Оставляя свои данные, мы просто доверяемся той или иной организации. Каждый раз, когда вас спрашивают персональные данные, у вас выбор простой — либо пользуетесь сервисом, либо нет.

Пользователям следует приготовиться к тому, что любые их данные могут оказаться у злоумышленников. Даже если вам звонят и называют Ф. И. О., адрес, марку машины и предлагают купить ОСАГО со скидкой, но для этого перейти куда-то и оставить еще больше сведений о себе, надо быть на сто процентов готовым, что это может быть обман.

Очевидный, но действенный способ защитить себя — не оставлять свои данные где попало: в соцсетях, на форумах, файлообменниках, в облачных хранилищах. Если всё-таки надо отправить кому-то документ с персональными данными, не поленитесь — отправьте в зашифрованном виде, положите в запароленный архив — хоть какой-то уровень безопасности обеспечите.

Важно всегда помнить о мобильных устройствах. Там вся наша жизнь — и работа, и личные фото, мы просыпаемся и засыпаем со смартфоном в руках. Можно контролировать хотя бы свои учетные данные и данные доступа к сервисам. Проверить, оказались ли в общем доступе ваши учетные данные — логины, пароли и e-mail, можно с помощью сервиса Have I Been Pwned. Это крупнейшая в мире база по утечкам аккаунтов и паролей.

— До сих пор в интернете популярны викторины типа «Узнай, кем ты был в прошлой жизни», «Какой ты цветок?» или тому подобное. Участие грозит лишь рекламным спамом или более серьезными последствиями?

— Не весь сбор данных в интернете — это сразу происки мошенников. Составление цифрового портрета может использоваться для той же самой таргетированной рекламы. Надоедлива? Возможно. Но ничего преступного в этом нет. Финансовым организациям известно про нас очень многое: какие покупки и когда мы совершаем, средний чек, какими устройствами пользуемся. Эти данные они в том числе используют в антифрод-системах, то есть для борьбы с мошенничествами. Опираясь на данные, они могут зафиксировать подозрительную активность и делают это очень эффективно. Но злоумышленники не дремлют, они тоже покупают и перепродают данные, чтобы прикинуться человеком, создать условный профиль и провести транзакцию, стремясь обойдя антифрод-системы. Это тоже целый отдельный мир.

В то же время не надо играть в нигилиста — мол, мой паспорт и так «утечет», поэтому буду спокойно кидать его в соцсети, хранить на файлообменниках, пересылать всем подряд по почте и так далее. Злоумышленники всегда бегают за самым низко висящим кокосом. Чем проще его достать, тем больше выгоды и меньше затрат. Так что не надо упрощать им жизнь!

— Надо ли заводить отдельный номер для курьерских доставок, например?

— Смотря какая задача ставится. Для ограничения доступа к аккаунтам есть технические решения, например, двухфакторная авторизация. Для нее можно завести отдельный телефон, куда будут приходить СМС только от проверенных сервисов, или, наоборот, можно выделить отдельный «мусорный» телефон. Точно так же делают «мусорную» почту. Вообще если человек начинает задумываться об этих вопросах, это уже хорошо. Значит, скорее всего, он не будет использовать везде один и тот же легкий пароль — 12345 или qwerty.

Для покупок в интернете лучше завести отдельную карту, например, виртуальную, использовать другой телефонный номер. Сейчас многие сервисы, тот же «Авито», делают внутренние сервисы для звонков, которые скрывают настоящий номер пользователя. Потому что подавляющее большинство всех разводов, которые связаны с такими интернет-площадками, — это переход на сторонний ресурс. Пользователям сто раз сказали: не переходите в другие мессенджеры! А люди, как увидят что-нибудь очень заманчивое, всё — пелена перед глазами, и все усилия по защите перечеркнуты одним махом.

От бота слышу

— Чем больше активен Роскомнадзор, тем более популярны VPN-сервисы (Virtual Private Network — в переводе с английского «виртуальная частная сеть»). Их много — платные и бесплатные. Понятно, что просто так халявы не бывает. Так чем нам грозит использование VPN и можно ли пользоваться бесплатной версией?

— Бесплатный сыр бывает только в мышеловке. Многие сравнивают такие сервисы с пиратскими программами, но это не так. Каждый мегабайт данных использования VPN стоит этой компании денег. Благотворительностью заниматься никто не будет. Либо вы платите ей деньги за использование сервиса, либо она каким-то способом будет монетизировать свою работу — за счет сбора данных или рекламных предложений. Еще один миф, что VPN — это такой синоним безопасности в Сети. Нажал на кнопку в браузере, включил расширение — и всё. VPN — это не антивирус.

Любой совет по части безопасности всё равно будет связан с доверием к провайдеру. Сможете ли вы ходить с охранником, которого плохо знаете, и быть уверенным, что он не совершит покушения? Просто надо выбирать проверенного провайдера и понимать условия, на которых предоставляется VPN.

— Сейчас каждый второй телеграм-канал обзавелся ботом. А они вообще опасны для простых пользователей или нет?

— Если злоумышленник получит доступ к боту, ему откроются все данные, которые пользователь оставлял в «беседе» с ним, поэтому компаниям стоит максимально ответственно подходить к безопасности онлайн-помощников. А пользователям в свою очередь стоит быть бдительными, ведь боты изначально могут быть сделаны злоумышленниками, чтобы собирать данные или выманивать деньги.

Но вообще злоумышленникам более интересны страницы крупных блогеров, доступ к которым они стремятся получить с помощью социальной инженерии. Например, могут предложить 1000 долларов за публикацию на канале в обмен на логин и пароль. Или присылают коммерческое предложение на миллион долларов, а требуется «всего-то» открыть какой-то документ и всё активировать. Так и угоняют аккаунты, с которых затем мошенники распространяют информацию на большую аудиторию.

Правила цифровой гигиены:

• не переходите по сомнительным ссылкам в мессенджерах и соцсетях;

• устанавливайте приложения только из официальных источников и не давайте приложениям лишние разрешения;

• не оставляйте сканы документов и номера телефонов в соцсетях и на форумах, не выкладывайте их в общедоступных местах, в том числе в облачных хранилищах;

• при регистрации на онлайн-ресурсах используйте уникальные пароли для каждого аккаунта;

• используйте сложные пароли — от 12 знаков с буквами в разном регистре, цифрами и спецсимволами;

• пользуйтесь менеджерами паролей, регулярно меняйте пароли;

• настройте двухфакторную аутентификацию, если сервис это позволяет.
  

Ранее мы рассказывали, как у 21-летней жительницы Челябинска взломали аккаунт на «Госуслугах» и списали 5 тысяч рублей с ее «Пушкинской карты». А пенсионерка потеряла 330 тысяч, оформляя «социальную помощь» на сайте-клоне банка.

О том, как нельзя отвечать телефонным роботам, предостерегал эксперт по кибербезопасности Сергей Голованов.

Что делать, чтобы обезопасить себя при интернет-покупках, посоветовал эксперт по кибербезопасности Владимир Дащенко.