У россиян каждый день крадут личные данные. Как их используют мошенники и организаторы терактов? И можно ли себя защитить?

Наши личные данные — это валюта XXI века. За ней охотится целая армия преступников, которые хотят использовать ее для собственной выгоды. Они по крупицам собирают данные о жертве, чтобы составить ее полный портрет и с помощью психологического воздействия попытаться обокрасть ее или завербовать, а затем толкнуть на серьезные преступления.

В наших предыдущих карточках мы уже рассказывали, как в попытке убедить человека пойти на преступление вербовщики используют целый арсенал манипуляций, активно прибегают к фейкам и давят на болевые точки своих жертв. Но чтобы эффективнее на них воздействовать, преступники формируют целые досье. На помощь им приходит интернет, где россияне часто довольно легкомысленно разбрасываются информацией о себе.

Как и какая информация о нас попадает в руки злоумышленников, можно ли защитить свои данные от краж и утечек и что еще предпринять, чтобы обезопасить себя в сети, — рассказываем в наших карточках в рамках проекта «Попавшие в сети».

Помимо радикально настроенных граждан, вербовщики делают ставку на:

• незащищенные слои населения, которые ищут способы заработать: проблемных должников, безработных, несовершеннолетних, пенсионеров;

• подростков, маргиналов, психически больных людей и всех тех, у кого отсутствует критическое мышление;
• родственников людей, которые находятся в зоне СВО или пропали без вести, и других россиян в подавленном состоянии;
• тех, кто публично выражает недовольство политикой властей, а также открыто рассказывает в сети о своих серьезных жизненных проблемах.

Часто за объявлениями о быстром заработке кроются предложения совершить за деньги преступление, но откликнувшийся на такое объявление не всегда сразу понимает, что может попасть под тяжкую уголовную статью.

Закон интернет-джунглей прост: чем больше мы рассказываем в интернете о своих проблемах, тем выше риск привлечь внимание аферистов и вербовщиков, говорит генеральный директор АНО «Цифровые платформы» Арсений Щельцин.

Это не пустые слова, ведь чем больше информации о себе вы раскрываете в сети, тем проще злоумышленнику обернуть ее против вас. Технологии вывели социальную инженерию на запредельный уровень. Сегодня мошенники могут без труда получать о человеке огромные массивы информации и очень быстро ее обрабатывать. Жертва даже не заподозрит, что ее обводят вокруг пальца — настолько реалистичными становятся легенды, которые придумывают злоумышленники, опираясь на раздобытые о вас данные.

«Угрозу могут представлять любые сведения: от мест, где и когда вы тренируетесь, до фактов ваших поездок, будь то командировки или путешествия», — предупреждает глава отдела информационной безопасности группы компаний «Гарда» Виктор Иевлев.

Специалист советует россиянам быть внимательными и постараться как можно меньше публиковать, особенно в соцсетях, следующие данные о себе:

• информацию о месте жительства, работы, учебы и отдыха;
• номер мобильного телефона;
• адрес электронной почты;
• фотографии документов;
• личные и откровенные фотографии.

«Минимизируйте размещение о себе той информации, которая может привести к установлению ваших родственников, коллег или уровня достатка», — в свою очередь, призывает россиян основатель компании «Интернет-розыск» Игорь Бедеров.

Из слитых баз данных. Откуда они берутся? При регистрации в сервисах или на сайтах мы оставляем очень много личных данных. Банки, сотовые операторы, маркетплейсы, службы доставки, медицинские учреждения — все они регулярно подвергаются атакам хакеров, которые пытаются пробить их защиту и продать добытые данные клиентов на черном рынке. А это далеко не только ФИО, номер вашего телефона и телефонная почта, но информация о ваших заказах, адресах, перемещениях, финансовом состоянии и людях, с вами связанных.

Масштабы утечек огромны. Только за 2024 год в России произошло 134 утечки баз данных. И это только то, что официально фиксировал Роскомнадзор. А годом ранее из банков и финансовых компаний утекло 170 миллионов записей персональных данных клиентов, подсчитали эксперты.

Прогноз неутешительный: те или иные данные практически обо всех гражданах России уже утекли в сеть, говорит генеральный директор компании Zecurion Алексей Раевский. И вербовщики, и мошенники уже давно собрали и обобщили информацию из тех сливов, которые происходили в России в последние годы. Вопрос лишь в объеме этих данных и их актуальности.

При утечках у банков оказывались слиты паспортные данные клиентов вместе с пропиской, ИНН, данные о картах клиентов и сроке их действия. В другой раз в сеть утекли данные граждан, подававших заявки на кредит: контакты их родственников, место работы и должность, размер дохода.

То, какие данные о человеке попадут в интернет, зависит и от вида деятельности компании, которой он предоставлял информацию о себе. Если это сервис доставки — под угрозой данные об адресах и суммах заказов, а из медицинских организаций и вовсе могут утечь результаты ваших анализов. Например, при взломе системы популярных лабораторий «Ситилаб» в открытом доступе оказались целых 1,7 терабайта отсканированных результатов анализов, исследований, договоров и чеков.

Какая еще информация о человеке может оказаться в открытом доступе из-за утечки:

• гражданство;
• семейное положение;
• СНИЛС;
• данные о кредитах;
• данные о покупках;
• госномер автомобиля;
• логины и пароли.

Базы данных сливают не только хакеры. Бывает и так, что сливы организуют сотрудники учреждений, чтобы подзаработать на информации о клиентах на черном рынке.

Так, несколько лет назад молодой сотрудник российского банка попытался реализовать огромный массив информации. У него был доступ к 60 миллионам учетных записей по кредитным картам клиентов, а это детальные персональные данные: ФИО, номер паспорта, номер карты, лимит кредита, место и адрес работы, срок действия карты, номер счета карты, дата рождения держателя, процентная ставка, операции по карте. Но сотруднику банка не дали реализовать свою схему, его действия быстро пресекли.

Чтобы составить более точный портрет предполагаемой жертвы, и сетевые вербовщики, и мошенники прибегают к нелегальным Telegram-ботам для пробива информации. Такие сервисы тоже способны многое рассказать: раскрыть номера телефонов конкретного человека, его профили в соцсетях и аккаунты в мессенджерах, место проживания, данные об автомобиле и авиаперелетах, информацию об объявлениях, которые он где-либо размещал.

Подобные боты предоставляют отчет за считаные секунды. Один такой отчет стоит всего несколько сотен рублей, но у профессиональных аферистов есть подписки на боты для пробива, их цена колеблется от 700 рублей до нескольких тысяч рублей.

Откуда боты получают информацию? Во-первых, собирают те данные, которые человек сам добровольно размещает о себе в сети. Об этом говорил, например, создатель бота для пробива информации «Глаз Бога» Евгений Антипов. Но основной их источник — все те же самые утечки данных от компаний и сливы при участии их сотрудников.

Собранная через бота информация о человеке становится основой для перехода к другому этапу — социальной инженерии. Когда портрет составлен, злоумышленники приступают к непосредственной обработке жертвы: пытаются вытащить из нее еще больше необходимой им конфиденциальной информации и толкнуть ее на конкретные поступки.

Это так. Во-первых, есть риск, что данные, которые вы оставите в процессе пробива, тоже украдут. Например, боты нередко просят для регистрации указывать номер телефона и другую информацию. Также нужно помнить, что такие боты в большинстве случаев нарушают закон. По словам юриста Наталии Дорофеевой, то, что данные доступны в интернете, не делает их законными. Если человек использует украденные данные, то он находится в зоне уголовной ответственности.

А если окажется, что Telegram-бот, которому гражданин перевел средства, принадлежит украинской стороне, то пользователя и вовсе могут привлечь к уголовной статье о финансировании терроризма, предупреждает основатель «Интернет-розыска» Игорь Бедеров.

Самый распространенный метод социальной инженерии — фишинг. Как правило, это кража ваших данных через поддельные сайты, которые невероятно похожи на оригинальные. Допустим, вам приходит СМС об огромной скидке в любимом интернет-магазине. Вы переходите по присланной ссылке, вводите логин и пароль для входа в личный кабинет, привязываете свою карту, чтобы оплатить заказ. Но никакой заказ вам, конечно же, не придет. Более того, теперь у мошенников есть логин и пароль от вашего личного кабинета на оригинальном сайте, а еще все данные вашей карты.

Существует великое множество фишинговых схем — от фейковых банковских уведомлений и сообщений о выигрыше в лотерею до имитации публичных Wi-Fi-сетей в общественных местах. Казалось бы, фишинг как метод кражи данных стар как мир, но аферисты каждый раз придумывают что-то новенькое, вводя в заблуждение даже подкованных в цифровых технологиях людей.

Так, в 2020 году 17-летний подросток с помощью фишинга и других инструментов социальной инженерии завладел Twitter-аккаунтами Джо Байдена, Илона Маска, Барака Обамы, Билла Гейтса, Ким Кардашьян, Канье Уэста и прочих известных людей Америки. Во всех аккаунтах он от лица знаменитостей обещал пользователям удвоить биткоины, которые в течение 30 минут будут отправлены на его кошелек. Результат — 100 000 долларов в биткоинах за полчаса.

Оказалось, что подросток с командой получили доступ к внутренней системе управления аккаунтами Twitter (сегодня соцсеть называется X). Для этого они нашли на LinkedIn сотрудников компании, которые могли иметь доступ к этой системе. В том же LinkedIn нашли их телефоны и начали обзвон. Мошенники представлялись коллегами и, используя уже собранную информацию, убеждали собеседников перейти на поддельный сайт, имитирующий страницу входа во внутренние системы Twitter. Когда жертвы последовали их указаниям, хакеры получили необходимые им данные для входа в реальную систему соцсети, где они могли управлять аккаунтами знаменитостей.

Но кража данных может происходить и без применения изощренной социальной инженерии. Например, интернет-магазины и сайты-агрегаторы зачастую собирают много данных о пользователях — затем они могут продать эту информацию третьей стороне. А порой сам пользователь загружает программы и данные со взломанных ресурсов, зараженных вирусами, и тем самым предоставляет злоумышленникам доступ к своим устройствам.

На утечку данных в результате хакерских взломов повлиять невозможно. Но фишинг и другие методы социальной инженерии можно распознавать и пресекать. А также не разбрасываться своими данными при использовании различных сервисов. Об этом расскажем поподробнее.

Подключение к бесплатному Wi-Fi в кафе, аэропортах, вокзалах и других общественных местах почти всегда означает риск. Дело в том, что множество таких сетей не защищены должным образом, чем могут пользоваться хакеры. У них есть целый арсенал приемов для любителей бесплатного Wi-Fi в публичных местах. Один из них — техника «человек посередине», когда хакеры перехватывают всю информацию, передающуюся между сервером и клиентом: логины, пароли, соцсети, сообщения в мессенджерах, банковские операции.

Видя, что вы пытаетесь получить доступ к своей электронной почте, злоумышленник может перенаправить вас на фальшивый сайт, который будет еле заметно отличаться от вашей почты. Схема такая: вы вводите в привычные окна логин и пароль, в это время хакер их получает.

Еще одна опасность подключения к незащищенному Wi-Fi — риск подхватить вредоносное программное обеспечение. Если на вашем устройстве установлено разрешение на обмен файлами в сети, то на него легко могут загрузить зараженную программу.

Конечно, идеальный способ защититься от атак с использованием публичного Wi-Fi — вообще не пользоваться такими точками доступа. Но если вам все же нужно это сделать, то будьте осторожны и во время использования ни в коем случае не переводите деньги и не входите в какие-либо аккаунты. Публичный Wi-Fi можно использовать для чтения новостей, просмотра прогноза погоды или загрузки карт.

Некоторые VPN-сервисы сохраняют журналы активности пользователей (они же — логи), то есть записывают, что пользователь делает в сети. Затем эта информация может быть использована для рекламных целей либо и вовсе продана третьей стороне.

Наиболее коварны в этом плане бесплатные VPN — например, как уточнял директор департамента корпоративного бизнеса ESET Антон Пономарев, 80 процентов самых популярных бесплатных VPN-сервисов в AppStore передают персональные данные третьим лицам. Это то, что указано в пользовательском соглашении мелким шрифтом. А одно из недавних исследований и вовсе выявило, что почти 90 процентов бесплатных VPN в Google Play так или иначе сливают данные пользователей.

Кроме того, VPN-сервисы ловили на лжи клиентам о том, что они не сохраняют журналы активности. Так, несколько лет назад в сети были обнаружены 1,2 терабайта информации о пользователях семи VPN. Там были и история посещения ресурсов, и пароли с логинами, и адреса, и многое другое — хотя компании до этого уверяли, что не сохраняют такие данные.

Чтобы обезопасить свои данные, лучше не отправлять важную информацию — номера банковских карт, логины, пароли, паспортные данные, — пока включен VPN. А еще полезно будет проверить в настройках, к каким функциям вашего устройства у VPN есть доступ, и максимально их ограничить. К примеру, можно запретить доступ к камере или геолокации — они, по сути, не нужны для работы такого сервиса.

Крупные IT-компании предлагают сервисы, которые помогают выявить утечки данных. Они обычно платные и предназначены для бизнеса. Но и простой пользователь тоже может наткнуться на сайты, предлагающие бесплатно проверить, утекли ли его личные данные в общий доступ. С такими ресурсами нужно быть осторожными.

Руководитель отдела информационной безопасности группы компаний «Гарда» Виктор Иевлев предостерегает: хотя существуют известные и проверенные сервисы такого рода — например, Have I Been Pwned, — другие подобные ресурсы могут быть небезопасными. Некоторые из них сами нацелены на фишинг — у пользователя запрашивают данные якобы для проверки, а на самом деле используют их для кражи аккаунта или для продажи. «Некоторые подобные сервисы запрашивают у пользователя логин и пароль, без которых проверка якобы невозможна», — добавляет Иевлев.

А иногда такие ресурсы могут обманывать пользователя и на самом деле даже не проверять, утекли ли его данные, говорит специалист.

Еще одна угроза при использовании таких сервисов — они могут требовать установить дополнительные приложения, которые приводят к утечке информации, обращает внимание генеральный директор Zecurion Алексей Раевский. Эксперты сходятся во мнении, что доверять таким сервисам не стоит.

Опрошенные «Лентой.ру» эксперты рекомендуют в первую очередь внимательно отнестись к созданию паролей. Об этом все специалисты твердят уже десяток лет, но люди по всему миру продолжают их игнорировать: самыми популярными на планете паролями по-прежнему являются наиболее примитивные — «123456», «123456789» и «1000000».

Нередко пользователи используют два-три стандартных пароля для всех своих учетных записей. Это тоже опасно, ведь после взлома одного из паролей злоумышленник получает доступ сразу к нескольким системам.

«Разрабатывайте уникальные и сложные пароли для каждого аккаунта, используя не менее 12 символов, включая буквы, цифры и специальные символы», — советуют россиянам в ГК «Солар». Кроме того, для надежности нужно установить двухфакторную аутентификацию, где это только возможно.

При двухфакторной аутентификации войти в аккаунт можно, если подтвердить личность двумя независимыми способами. Например, ввести пароль от аккаунта, а затем код из СМС, которое придет на привязанный к учетке номер телефона или электронную почту. Этот метод способен предупредить пользователя о попытке взлома. Если на ваш номер или почту приходит одноразовый код для входа в аккаунт, а вы его не запрашивали, значит, в него пытается войти кто-то посторонний.

Хранить пароли и другую важную информацию в избранных сообщениях в мессенджерах — очень плохая идея. Ведь аккаунты там — лакомый кусок для киберпреступников, они входят в топ данных, которые больше всего им интересны, говорит глава аналитического центра компании Zecurion Владимир Ульянов.

«Представьте, что вместе с аккаунтом мессенджера у вас угоняют учетные записи других сервисов и приложений. Это чревато серьезными последствиями», — отмечает эксперт.

Лучше всего использовать для паролей специальные защищенные хранилища, советует Виктор Иевлев. При этом менеджеры паролей помогают не только безопасно хранить данные, но и генерировать надежные пароли.

Контрольные вопросы, которые обычно просят придумать на случай утери пароля, не самый надежный способ восстановления доступа к аккаунту. ИБ-специалисты советуют по возможности его избегать. Но если придумать контрольный вопрос все же необходимо, нужно отнестись к нему так же внимательно, как и к паролю.

Подобрать ответ на них достаточно легко, если предварительно собрать информацию о человеке, поясняют в Сбере.

В целом вопрос должен быть таким, чтобы ответ на него нельзя было узнать, изучив ваши соцсети. При этом ответ на контрольный вопрос не обязательно должен быть правдой — вы можете написать все что угодно.

Как и с паролями, контрольные вопросы для разных систем не должны повторяться. В противном случае киберпреступник, знающий всего один ответ на такой вопрос, сможет получить доступ сразу к нескольким вашим учеткам. Взломанные аккаунты затем могут использовать для обмана ваших родных, друзей и коллег.

Куки (cookie) — это фрагменты данных о пользователе, которые хранятся в браузере. В них содержится информация о сайтах, которые вы посещали, а еще логины и пароли. Чтобы каждый раз не вводить их для входа в аккаунты, браузер предлагает их запомнить. Это очень удобно, но никто из специалистов не рекомендует хранить пароли в куки-файлах.

Во-первых, куки — желанная добыча для хакеров. Во-вторых, с их помощью другие сайты могут отслеживать ваши действия. Если сайт выдает вам сообщение, что для продолжения его использования вам надо принять файлы cookie, это означает, что он запомнит ваши предпочтения и при повторном посещении вам не придется настраивать все заново. И вновь звучит как нечто очень удобное, но некоторые сайты собирают данные, которые затем могут быть переданы третьим лицам. Чтобы понять, кому и для чего именно они передаются, нужно подробнее читать условия принятия файлов. Но, как правило, у пользователя нет на это времени, а баннер с требованием принять куки загораживает пол-экрана, поэтому он просто нажимает «принять» и пользуется сайтом дальше.

Чтобы обезопасить себя, специалисты советуют:

• не сохранять пароли в браузере, лучше вводить их повторно;
• раз в 2-3 недели чистить куки.

Разные браузеры хранят куки в разных папках. Но в большинстве случаев их можно найти во вкладке «Приватность» в разделе настроек. «Какие бы параметры куки вы ни использовали, лучше всего не терять бдительности и почаще удалять эти файлы с устройства», — рекомендуют в «Лаборатории Касперского».

• Используйте разные почтовые ящики для личной переписки и для регистрации в интернет-магазинах. Это позволит защититься от спама и ограничить доступ мошенников к информации о вас.
• Не привязывайте лишний раз свой номер телефона и электронную почту в магазинах.
• Не сообщайте в переписках свои персональные данные.
• Регулярно обновляйте программное обеспечение и проверяйте при установке приложения, доступ к каким функциям оно просит.
• Пользуйтесь официальными антивирусами.
• Установите надежный пароль на домашнем роутере. Это защитит ваше домашнее соединение от взлома и перехвата ваших данных. Неплохо поменять и имя пользователя на такое, в котором не будет фигурировать имя вашего провайдера или производителя маршрутизатора.

Какого-то одного суперспособа, позволяющего решить проблему в случае утечки данных, нет, констатирует IT-эксперт Виктор Иевлев. Но кое-что все же нужно предпринять — например, сменить пароль и включить двухфакторную авторизацию.

В случае утечки нужно обратиться в Роскомнадзор, чтобы заблокировать сайты, на которых размещена эта информация, рассказывает управляющий партнер компании «Русяев и партнеры» Илья Русяев. Кроме того, если утечка привела к финансовым потерям, вы можете подать иск к компании, допустившей ее, и требовать компенсации, говорит юрист.

Популярно мнение, что замена номера телефона обеспечит вашим данным дополнительную защиту. На практике это бесполезно — как заявил глава АНО «Цифровые платформы» Арсений Щельцин, слишком часто номера телефонов утекают в общий доступ.

В бытовом общении мы обычно используем понятие «личные данные». Но в законах указана формулировка «персональные данные».

Основной закон в этой области — это федеральный закон 152-ФЗ «О персональных данных». Стоит отметить, что документ не приводит конкретный перечень того, что именно относится к персональным данным. Согласно его формулировке, это любая информация, относящаяся к какому-либо лицу. Так что принято считать, что персональные данные — это любая информация, которая позволяет определить конкретного человека.

Закон «О персональных данных» устанавливает, например, что нельзя собирать, хранить и распространять личные данные без согласия их владельца. Это не касается бытовых ситуаций, когда вы используете чьи-то данные только для личных и семейных нужд (но при условии, что вы не нарушаете права человека, которому принадлежат данные).

Наказание за нарушение правил работы с персональными данными может быть и административным, и уголовным. Например, сегодня за обработку персональных данных без согласия человека в письменной форме компанию могут оштрафовать на сумму до 700 тысяч рублей. А создателям или администраторам ресурса, который хранит и распространяет персональные данные, полученные незаконным путем, грозит лишение свободы на пять лет.

В последние годы в России ужесточают законы о защите данных. Среди недавних нововведений — закон об оборотных штрафах за утечку персональных данных. При повторной утечке данных юрлица должны выплатить оборотные штрафы в размере до 3 процентов от суммы общей выручки. А еще в законе ужесточили ответственность за то, что компания вовремя не сообщила Роскомнадзору об утечке данных, — юрлицам в этом случае грозит штраф до трех миллионов рублей.

Могут. С точки зрения закона оператором, обрабатывающим персональные данные, может быть как государственный орган, так и юридическое и физическое лицо. «Любой из них будет нести ответственность за неправомерный доступ к персональным данным», — предостерегает руководитель Центра правопорядка в городе Москве и Московской области Александр Хаминский.

За нарушение закона в области защиты персональных данных грозит штраф до шести миллионов рублей. Это административная ответственность. А за нарушение неприкосновенности частной жизни и неправомерный доступ к компьютерной информации установлена ответственность уголовная.

Допустим, кто-то решил заскринить личную переписку и фотографии другого человека без его разрешения и опубликовать эти материалы в открытом доступе, чтобы посмеяться над ним или с целью шантажа. Такого человека могут привлечь к ответственности по статье 137 Уголовного кодекса, которая запрещает незаконный сбор, хранение, использование или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия.

В зависимости от обстоятельств виновный может быть оштрафован на сумму до 200 тысяч рублей, лишен права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо его арестуют или отправят в тюрьму на срок до двух лет.

По уголовной статье о незаконном доступе к персональным данным в информационных системах. Представим ситуацию: сотрудник компании, обслуживающей интернет-магазины, получает доступ к базе данных клиентов, содержащей их телефоны, адреса и историю покупок. Он копирует эту информацию и продает третьей стороне, которая затем использует ее для спам-рассылки или мошенничества. За такое ему полагается до семи лет лишения свободы, говорит юрист Илья Русяев, либо суд может назначить штраф до 500 тысяч рублей.

«Например, в одном из реальных случаев в Якутии сотрудники телекоммуникационной компании незаконно продавали клиентские данные, за что были осуждены на пять с половиной лет лишения свободы», — приводит пример юрист.

Более того, в 2024 году в России усилили ответственность за использование и передачу данных, которые получены в результате вмешательства в работу компьютерных систем. Эта статья (272.1) была добавлена в Уголовный кодекс, по ней может грозить до 10 лет тюрьмы.

Допустим, пользователь взламывает защищенную базу данных образовательной платформы и скачивает списки студентов с их личной информацией, включая номера телефонов и адреса электронной почты. Затем он использует эти данные, чтобы создать фейковые аккаунты для распространения рекламы или с другими корыстными целями. Такое преступление квалифицируется как незаконное использование информации и будет караться по статье 272.1.

Важно осознавать, что сбор и использование персональных данных без согласия владельца незаконны. Нарушением закона может являться даже ситуация, когда человек делает скриншоты личных сообщений своего друга и передает их третьим лицам без его согласия. Но если владелец сам опубликовал о себе информацию, например, в публичном блоге, такие действия не считаются нарушением.

Чтобы определить, нарушает ваш поступок закон или нет, ответьте себе на два вопроса:

• давал ли человек согласие на получение и (или) хранение его личных данных?
• давал ли он согласие на распространение таких сведений?

Если хотя бы на один из этих вопросов вы ответили отрицательно, то это повод задуматься, а правильно ли вы поступаете.