Аналитики компании InfoWatch подсчитали, что за 2022 год в России произошло 710 случаев утечек данных. Количество записей с персональными данными, которые попали в публичный доступ, составило 667 млн. Это в 4,5 раза больше, чем население нашей страны. Получается, что данные каждого из нас утекли не один и даже не два раза и из разных организаций.

Большинство людей относятся к новостям об утечках спокойно, если не равнодушно. Самая частая реакция — «да ничего страшного, кому я нужен. Ну, позвонят мошенники, поиздеваюсь над ними и повешу трубку. И вообще, у меня нет миллионов, чтобы мне чего-то бояться».

К сожалению, те, кто так считает, ошибаются. Каждая утечка — дополнительные возможности для преступников и мошенников, заинтересованных в том, чтобы заполучить ваши деньги. Даже если у вас на счетах пара тысяч, есть же и другие люди. Две тысячи у вас, три тысячи у вашего соседа, коллеги, бабушки… А ведь можно и не ограничиваться деньгами на счетах, оформить на вас кредит или рассрочку или использовать ваши данные для создания виртуальных личностей, которые будут обманывать людей.

Вот примеры того, к чему может привести утечка персональных данных.

Доксинг

Доксинг — это неологизм, калька с английского слова «doxing», которое в свою очередь является сокращением словосочетания «dropping dox», жаргонного выражения, означающего «сбросить доки», то есть «прислать документы». Означает слово «доксинг» публикацию в общем доступе приватной информации о человеке, полученной как путем сбора данных из открытых источников, так и с помощью взломов различных ресурсов, социальной инженерии и мошенничества.

Доксинг — олдскульный способ мести, возникший в хакерской среде в 1990-х годах. В этот период хакеры, работавшие вне правового поля, использовали нарушение анонимности оппонента как способ устранения противника: обнародование личности хакера давало возможность правоохранителям произвести арест или наложить штраф.

Но на дворе 2023 год, поэтому доксы XXI века выглядят более технологично и масштабно. Например, вот так:

Эти данные получены с сайта, на котором заботливыми руками программистов собраны базы с данными клиентов компаний, попавшие в публичный доступ. Для понимания масштабов проблемы напомним, что только база с утекшими сведениями сервиса «Яндекс.Еда» содержала 49 441 507 строк с заказами. Каждая строчка включала:

• имена и фамилии клиентов, как они записаны в профиле пользователя;
• номера телефонов из РФ (6 882 230), Казахстана и Беларуси (206 725);
• полный адрес доставки клиента;
• комментарии к заказу;
• дату заказа (с 19.06.2021 по 04.02.2022).

Используя этот ресурс, можно выяснить самые разные подробности о владельцах утекших данных, например, то, на какие адреса они заказывали еду или доставку в СДЭК или Wildberries. Ауч! Легко представить, что начнется в одной отдельно взятой ячейке общества, если, скажем, жена, воспользовавшись таким сервисом, обнаружит, что ее муж числится в Wildberries не только как «Игорь Петрович», но и как «Машенька», а в дни, когда он задерживался на работе, ему доставляли еду на квартиру в соседнем районе.

А теперь вспомним, что эта информация доступна кому угодно, в том числе тем, кто может использовать ее для шантажа и вымогательства, для уничтожения репутации и устранения конкурентов.

Люди, которых «задоксили», могут стать объектом преследования — например, их могут подписывать на рассылки, заказывать доставку пиццы, устраивать SMS-бомбинг. В некоторых случая недоброжелатели могут пойти дальше и устроить «свотинг» (от англ. S.W.A.T.) — сделать ложное сообщение об угрозе и отправить антитеррористическую группу на адрес жертвы. Прекратить такое преследование можно, если перечислить преследователям денег, но вряд ли стоит рассчитывать на порядочность вымогателей.

Доксинг — очень неприятная штука. К сожалению, в арсенале преступников есть и другие способы «обналичить» наши персональные данные, и эти способы ничем не лучше.

Микрокредиты

Если вы не передали в руки мошенникам разблокированный смартфон с открытым банковским приложением, маловероятно, что они смогут взять кредит в банке по данным из утечки. Для этого не обойтись без оригинала паспорта и других документов, а если вы не проходили биометрическую идентификацию, потребуется личное присутствие. Но кредит можно взять не только в банке, но и в микрофинансовой организации (МФО).

У МФО требования к заемщикам и их документам значительно ниже — часто для оформления микрозайма достаточно просто паспортных данных.

Сумма одного микрозайма не так уж и велика, но ведь никто не помешает злоумышленникам обратиться в несколько МФО — благо выбор достаточно богатый. А уж если в данных утечки есть ваш СНИЛС, отказов от МФО практически не будет.

После выдачи микрокредитов мошенники перечислят их на свои карты или, чтобы остаться анонимными, приобретут на них криптовалюту. Затем они растворятся в закате, а вам останутся долги.

Проблема в том, что об этих долгах вы довольно долго можете даже не подозревать — до тех пор, пока судебные приставы не наложат арест на ваши счета или не закроют выезд из страны. Тогда вам придется долго и мучительно доказывать, что вы не брали никаких кредитов, что вашими данными воспользовались третьи лица и что вы не состоите с ними в сговоре. Но даже после того, как справедливость будет восстановлена, придется восстанавливать свою репутацию в бюро кредитных историй, иначе взять кредит в случае необходимости будет довольно сложно.

Мошенничество

Личные данные — идеальный инструмент для мошенников. Самый известный пример — телефонные мошенники из «cлужбы безопасности банка», которые в 2021—2022 годах стали настоящим бичом для клиентов крупных российских банков. Добиться такой эффективности им позволили данные утечек, содержавшие не только ФИО, номера телефонов и паспортные данные, но и остатки по счетам и последние выполненные операции.

В самом деле, когда во время телефонного разговора к вам обращаются по имени-отчеству и сообщают текущий остаток по счету, сложно сохранять спокойствие и повесить трубку. Особенно если «сотрудник службы безопасности» предупреждает об оформленном на вас кредите или о чем-то подобном, угрожающем подорвать ваше благосостояние.

Еще один способ использования личных данных — фишинговые атаки. Зачем звонить и общаться с людьми голосом, если можно отправить им специально подготовленное письмо по почте, в соцсетях или мессенджерах. Информация о получателе помогает сделать это письмо убедительным и заставить жертву выполнить какие-то действия, нужные атакующему. Например, сменить пароль от учетной записи на сайте, похожем на сайт банка, передав управление счетом мошенникам. Что будет после этого с деньгами доверчивой жертвы, вряд ли стоит объяснять дополнительно. Хорошо, если на ее имя не успеют взять кредит в пару миллионов и перевести его куда-то в «надежное место».

Знающие люди могут возразить, что банковские учетки защищены СМС-кодами, и будут правы. Но как насчет специальных программ, которые устанавливаются на смартфон жертвы под видом, к примеру, вполне безобидного приложения-фонарика, запрашивают расширенные права, которые жертва, не задумываясь, предоставляет, а затем в фоновом режиме перехватывают СМС от банка и передают своим операторам? Думаете, что такое невозможно? К сожалению, это не так.

Специалисты компании Avast в 2019 году изучили 937 приложений-фонариков в Google Play Store и обнаружили, что они запрашивают в среднем 25 разрешений для доступа к разным функциям и данным смартфонов. При этом 262 приложения из проверенных запрашивают от 50 до 77 разрешений. Среди них разрешение на прием СМС, фоновую загрузку других приложений без уведомления владельца, исходящие и входящие звонки, запись аудио и другие совершенно не нужные для включения и выключения светодиодной вспышки и/или экрана функции.

Убедив жертву установить подобное приложение на смартфон, мошенники могут получить данные для входа в онлайн-банк, а затем пройти двухфакторную авторизацию, перехватывая СМС-коды, которые отправляет банк. Владелец счета ничего не заметит, потому что вредоносное приложение аккуратно очистит входящие сообщения от банковских уведомлений.

А как вы относитесь к просьбам проголосовать за рисунок «племянницы» знакомого? Вам всего-то надо перейти по ссылке на сайт конкурса, авторизоваться через соцсеть, чтобы не было накруток, и выбрать «самый красивый рисунок, ребенок же старался». Выполнив эти несложные и вроде бы вполне безопасные действия, вы предоставите посторонним доступ к своему аккаунту в соцсети. А дальше уже все зависит от фантазии атакующих. Например, они могут организовать от имени жертвы сбор средств.

Сборы средств

Может показаться, что такие сообщения не работают, но несколько случаев из реальной жизни показывают, что мир все-таки не без добрых людей. В подобной ситуации, когда взломали учетную запись моей знакомой, мошенники получили больше 30 тыс. рублей буквально в течение пары часов.

Еще хуже, когда сбор средств происходит через персонализированные рассылки. Автор сам недавно получил просьбу о помощи от бывшей коллеги. У нее угнали телеграм-аккаунт и разослали сообщение по всем контактам. Мошенники удивительным образом скопировали стиль общения отправителя, так что сомнений просто не возникло.

Аттракционы щедрости на сайтах объявлений

Еще один популярный способ использования утекших данных — это мошенничество на порталах с частными объявлениями. Схема примитивная, но вполне рабочая.

Мошенники публикуют объявление о срочной продаже чего-нибудь дорогого и популярного по необычно низкой цене, например нового айфона за 25 тыс. рублей (с гарантией и бесплатной доставкой).

Низкую цену объясняют тем, что деньги нужны как можно быстрее, допустим, в связи с переездом в другую страну. В переписке рассказывают, что из-за такой цены очень много желающих, так что если хотите точно купить, присылайте предоплату. Чтобы у покупателя не было сомнений, ему высылают скан паспорта, полученный из утечек или сгенерированный по данным из них с помощью специальной программы (да, есть и такие, но ссылку мы не дадим).

Покупатель отправляет деньги, продавец пропадает, а в его действиях обвиняют человека, чьи данные содержатся в паспорте. И ему приходится доказывать свою невиновность и непричастность.

Идентификация электронного кошелька

Выводить похищенные деньги на собственные карты или электронные кошельки — не самое разумное занятие. Да и зачем, если можно превратить в «дропа» любого гражданина РФ, чьи данные имеются в утечке?

Возьмем, к примеру, один из самых популярных в РФ электронных кошельков QIWI. Вот что нужно, чтобы пройти идентификацию до статуса «Основной».

А вот как будут действовать злоумышленники:

• зарегистрируют электронный кошелек на имеющийся у них номер телефона, оформленный на постороннего человека;

• идентифицируют этот кошелек с помощью ваших данных, полученных из утечек;

• используют его для мошеннических операций, вывода средств и оплаты услуг.

Все претензии по этим операциям будут адресоваться вам. И доказывать свою непричастность к чему-нибудь противозаконному тоже придется вам.

Как защититься от последствий утечек

Начнем с грустного: защититься от самих утечек вы не сможете. Ваши данные есть у банков, которые открывают вам счета, у медицинских учреждений, государственных организаций и множества других ведомств и компаний. В соответствии с законом «О персональных данных» № 152-ФЗ вы можете отозвать свое согласие на обработку персональных данных у всех, кто их обрабатывает. Теоретически.

На практике вам вряд ли удастся сделать это, так как:

• нет простого способа выяснить полный перечень организаций, которые выполняют обработку ваших данных;

• даже если это удастся сделать, утечка вполне могла произойти до того, как оператор ваших данных получил заявление об отзыве согласия на обработку;

• далеко не все операторы всерьез озабочены безопасностью данных своих клиентов и скорее заплатят штраф, чем поменяют процессы, тем более что и штрафы, как показала история с «Яндекс.Едой», более чем гуманные.

Таким образом, все, что нам остается — соблюдать правила цифровой гигиены:

• защищайте все свои аккаунты сильным паролем и обязательно включите двухфакторную аутентификацию в соцсетях и мессенджерах;

• прежде чем посылать деньги по объявлениям знакомых в соцсетях и просьбам в мессенджерах, позвоните им и выясните все голосом;

• не вступайте в телефонные разговоры с незнакомцами, даже если они представляются полицией или сотрудниками банков и называют вас по имени-отчеству;

• никому не передавайте полные данные банковской карты, помните, что для перевода на ваш счет денег требуется только номер;

• не устанавливайте на смартфон приложения из непроверенных источников, а при установке из официальных маркетов обратите внимание на разрешения, которые запрашивает приложение: вряд ли добропорядочному фонарику требуется разрешение на прием СМС и запись разговоров;

• по возможности заведите отдельный номер для регистрации в банках и на «Госуслугах», чтобы коды подтверждения приходили на него, а не на смартфон, где установлено приложение онлайн-банка — чуть менее удобно, зато добраться до кодов посторонним сложнее;

• напишите у оператора связи заявление на запрет замены сим-карты без личного присутствия или по доверенности (инструкция для разных операторов), чтобы никто не смог получить симку с вашим номером по копии с данными вашего паспорта, созданной в программе-генераторе;

• проверьте свою кредитную историю (инструкция) и повторяйте проверку хотя бы раз в полгода;

• проверьте в личном кабинете налогоплательщика, не зарегистрирована ли на вас компания (разъяснения от ФНС), чтобы не оказаться виноватым в отмывании нелегальных доходов или должником по многомиллионным кредитам, оформленным на эту организацию.

Утечки — это мощнейший ресурс для преступников, поэтому будьте готовы к тому, что, несмотря на все принятые меры, все-таки придется доказывать свою непричастность к их последствиям. Но сделать это будет проще, да и возможностей у злоумышленников будет меньше, если вы воспользуетесь нашими рекомендациями.