По экспертным подсчётам, за 2023–2025 годы в России утекло 4,5 млрд записей персональных данных. С большой долей уверенности можно утверждать, что часть этой информации уже могла быть или ещё будет использована мошенниками в криминальных целях. Рассказываем, как уберечь личные сведения.
Сегодня персональные данные – это цифровой актив, представляющий немалую ценность и для законопослушного бизнеса, и для злоумышленников. Пожалуй, нет сектора экономики, участники которого не собирали бы информацию о своей аудитории. Так поступают банки, интернет-сервисы, медицинские и образовательные учреждения, маркетплейсы, службы доставки, государственные платформы, операторы связи. Частью сведений мы делимся со своим работодателем, организаторами различных мероприятий, транспортными компаниями, гостиницами. И редкий человек способен представить себе, какой объём информации о нём существует в цифровом пространстве. А если произошла её утечка?
Впрочем, далеко не каждая компрометация персональных данных означает, что надо готовиться к худшему. Например, если злоумышленники узнали ваши имя, фамилию и номер телефона, они вряд ли доберутся с таким набором сведений до вашего банковского счёта. Но в то же время криминал получает возможность использовать даже эти данные для социальной инженерии – психологических манипуляций, направленных на обман человека.
Аферистам может пригодиться любая информация: ФИО, дата рождения, место работы, сведения о покупках в интернете. Согласитесь, когда к нам обращаются по имени, доверие к незнакомому собеседнику автоматически возрастает.
Как отмечают специалисты Сбера, именно из-за доступности персональных данных современные мошеннические схемы всё реже строятся только на взломе техники и всё чаще – на эксплуатации нашей психологии. Приёмы социальной инженерии делают такие атаки убедительнее и повышают вероятность того, что человек сам передаст аферистам то, что им нужно: код подтверждения, пароль или другую чувствительную информацию.
Слишком откровенно
Большая проблема здесь в том, что мы сами, зачастую даже не воспринимая это как риск, публикуем собственные персональные данные в открытом доступе. Делимся событиями из жизни в соцсетях, размещаем объявления на торговых площадках и сайтах знакомств, не закрываем профили от посторонних глаз. А ведь вся эта информация может стать опасным инструментом в руках мошенников.
Иногда мы сами, не задумываясь о последствиях, выкладываем слишком много сведений о себе: фото документов, посадочных талонов, банковских карт, номеров автомобилей, геолокацию, адреса доставки, информацию о членах семьи и месте работы.
Казалось бы, по отдельности эти данные не всегда представляют большую ценность. Но в совокупности они помогают собрать подробный цифровой портрет человека. Опасность часто не в одном конкретном фрагменте данных, а в их сочетании. Имя, телефон, город, место работы и недавний заказ сами по себе могут казаться безобидными. Но вместе они помогают мошеннику звучать как человек, который «всё знает» о собеседнике.
Серьёзную угрозу таит и компрометация паролей, особенно если один и тот же пароль используется для разных сервисов. Если злоумышленники получили пароль от электронной почты, они проверят, подходит ли он к другим сервисам – соцсетям, облачным хранилищам, маркетплейсам, личным кабинетам и банковским приложениям.
Богатство выбора
С 30 мая текущего года в России вступают в силу новые штрафы за нарушения в сфере защиты персональных данных, которые могут достигать 15 миллионов рублей.
Справедливости ради стоит сказать, что не только сами пользователи могут привлекать внимание злоумышленников к своим данным.
Часто аферисты получают информацию о нас вследствие хакерских атак на компании и организации – маркетплейсы, перевозчиков, клиники, сервисы доставки и другие площадки. Причём причиной таких утечек нередко становится сочетание слабой внутренней защиты и человеческого фактора. Иногда достаточно, чтобы один сотрудник перешёл по фишинговой ссылке на поддельную страницу авторизации, ввёл пароль – и злоумышленники получают доступ к внутренним системам компании.
Важно понимать: чем больше происходит утечек персональной информации, тем свободнее чувствует себя криминал. Базы данных объединяются, дополняются новыми сведениями, и наши цифровые портреты становятся всё подробнее: с электронной почтой, номерами телефонов, старыми и новыми адресами, сведениями о покупках, привычках и интересах.
Невидимые угрозы
Бывает и так, что мы сами разрешаем собирать сведения о себе не самым надёжным сервисам и приложениям.
Многие приложения аккумулируют значительно больше информации о пользователе, чем требуется для их работы: запрашивают доступ к геолокации, списку контактов, микрофону, камере или буферу обмена. Особенно этим может грешить программное обеспечение, скачанное с недоверенных ресурсов. И даже если оно напрямую не участвует в мошеннических схемах, оно может передавать собранные данные рекламным партнёрам или брокерам данных. А там уже и до формирования детального цифрового профиля недалеко.
Специалисты отмечают: на фоне развития искусственного интеллекта ситуация с уязвимостью персональных данных становится ещё сложнее. Криминал уже использует ИИ для генерации убедительных писем, персонализированных сообщений и deepfake-звонков с имитацией голоса и стиля общения человека. В сочетании с утекшей чувствительной информацией это особенно опасно, потому что создаёт у человека ощущение достоверности происходящего.
Меры защиты
Можно ли если не полностью исключить, то хотя бы минимизировать угрозу столкновения со злоумышленниками? Можно, если придерживаться нескольких простых правил поведения в цифровом пространстве.
Вот они:
- используйте разные пароли для разных сервисов.
- не храните важные данные в открытом виде, используйте надёжные методы защиты, например шифрование – так информация останется недоступной для посторонних даже при утечке.
- проверяйте разрешения мобильных приложений.
- с осторожностью относитесь к звонкам и сообщениям с просьбой срочно выполнить какие-либо действия: назвать код из СМС, перейти по ссылке, установить программу. Так часто действуют мошенники.
- минимизируйте объём личных данных в открытом доступе. Не публикуйте сведения, которые могут быть использованы криминалом: номера телефонов, адреса, паспортные данные, информацию о работе и семье.
Главная рекомендация от специалистов такова: относитесь к своим персональным данным как к финансовому активу. Контролируйте, кому и в каком объёме они передаются.
Опасна не только сама утечка, но и то, как эти сведения могут быть использованы потом: для убедительного звон-ка, фишингового письма, взлома аккаунта или давления на человека.
Кстати
Киберполиция России предупреждает: есть информация, которую нельзя передавать в чужие руки.
- Документы: паспорт, ИНН, СНИЛС. Фотография паспорта в ответ на просьбу «подтвердить личность» может быть использована в мошеннических схемах.
- Коды доступа: любые одноразовые пароли из СМС или push-уведомлений. Их не запрашивают – их пытаются выманить.
- Ваша жизнь: адрес, местоположение в реальном времени, маршруты, номера близких. Особенно осторожно стоит относиться к таким данным в открытых профилях. Эти сведения могут использовать, чтобы сделать обман более убедительным.
- Комбинации: ваше имя + дата рождения + телефон. Такой набор может помочь мошенникам попытаться восстановить доступ к аккаунтам, подобрать ответы на контрольные вопросы или сделать звонок более правдоподобным.
Использована информация с ресурсов Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД.
Благодарим Сбер за помощь в подготовке материала!
