Две трети утечек информации происходят не в силу злого умысла. В остальных случаях это намеренные действия киберпреступников, сотрудников организации или ее подрядчиков. В новостях все чаще стали появляться сообщения о краже конфиденциальных данных: так, например, в 2021 году сообщалось, что APT-группировка Elfin переключилась с уничтожения данных на их кражу с помощью уязвимости в WinRAR, хакеры взломали NASA и похитили данные о миссии на Марс, утекли данные охранного агентства Allied Universal.
Согласно отчету специалистов Positive Technologies за II квартал 2019 года, целенаправленные атаки преобладают над массовыми. Более половины всех киберпреступлений совершаются с целью кражи информации. Персональные данные — основной тип украденной информации в атаках на юридические лица. Частные лица наиболее часто рискуют учетными записями и данными своих банковских карт.
Тактики, которые киберпреступники используют для реализации атак, описаны в матрице ATT&CK, разработанной корпорацией MITRE на основе анализа реальных APT-атак. Всего тактик двенадцать. Каждую тактику можно соотнести с соответствующим этапом атаки:
- Первоначальный доступ в систему (Initial access)
- Выполнение кода или команды (Execution)
- Закрепление (Persistence)
- Повышение привилегий в системе (Privilege escalation)
- Предотвращение обнаружения средствами защиты (Defense evasion)
- Получение учетных данных (Credential access)
- Разведка (Discovery)
- Перемещение внутри периметра (Lateral movement)
- Сбор данных (Collection)
- Управление и контроль (Command and control)
- Эксфильтрация данных (Exfiltration)
- Воздействие (Impact)
В статье мы рассмотрим техники, которые атакующие используют на этапе вывода (эксфильтрации) данных из целевой системы, после того как они проникли в систему, закрепились там и собрали всю интересующую их информацию. Также будут рассмотрены принципы обнаружения попыток вывода данных и методы их предотвращения.
С Якова на всякого
Термин «кража личности» (identity theft) впервые появился в печати в 1964 году. В англоязычном пространстве это словосочетание стало особенно активно использоваться в середине 90-х в связи с быстрым ростом рынка удаленных услуг (оформление банковских карт, получение кредитов) и распространением интернета в США.
Но кража личности — явление не новое. Первый «зарегистрированный» случай — библейское предание об Исаве и Иакове.
У Исаака было два сына. Старший — Исав — имел право первородства, а потому пользовался особым почетом перед Богом. В конце жизни Исаак ослеп и был готов благословить первенство Исава, если тот угостит его любимым блюдом. Тогда младший сын с матерью обманывают главу семейства: готовят кушанье сами, после чего Иаков одевается как Исав и получает заветное благословение.
Подделка источников с целью выдать себя за другого практиковалась и после. С III по VII век выходили послания, авторство которых лживо приписывали Клементу, одному из семидесяти учеников Христа, а в VII столетии — сборник постановлений, якобы принадлежащих перу Исидора Севильского — крупнейшего богослова той эпохи. Известное как «Дар Константина» поддельное завещание императора Константина Великого, в IV веке провозгласившего христианство официальной религией Римской империи, сыграло важную роль в истории Европы и России.
Исследователи утверждают, что такого рода фейковые труды и документы писали и тиражировали, чтобы обосновать ту или иную доктрину в рамках христианской церкви.
Уже в XIII веке в Европе могли сжечь за подделку бумаг — следовательно, явление было распространенным. Судебное разбирательство в таких случаях вели трибуналы инквизиции.
В Новое время в России поддельных людей больше всего было в эпоху Смуты. После смерти Федора Ивановича, последнего правителя из рода Рюриковичей, царский трон остался вакантным. С 1605 по 1608 год 17 человек выдавали себя за потомков Ивана Грозного, а Лжедмитрий I и Лжедмитрий II даже занимали престол. Общий срок их правления составил около двух лет. Все, что понадобилось для успешного обмана, — знание (не обязательно во всех подробностях) биографии своих «родственников» и в некоторых случаях поддержка местных или зарубежных элит.
На заре истории США подкупленные избирательные комиссии вписывали умерших и никогда не живших людей в бюллетени, после чего вбрасывали их в корзины для голосования. Гангстеры Дикого Запада убивали путников, чтобы завладеть их одеждой, удостоверяющими личность бумагами и выдать себя за них.
Мафия в США устраняла свидетелей, крала их документы и гримировала «своих» людей. Они шли на суд и отказывались от показаний. Это подтолкнуло власти к созданию «Программы защиты свидетелей».
С появлением кредитных карт в конце 50-х кража персональных данных стала обычным делом. Схема выглядела так: мошенники звонили по телефону в разные квартиры и говорили хозяевам, что они выиграли крупный приз. Нужно было лишь сообщить все свои личные данные — номера кредитки, страхового полиса, паспорта и других документов. Это позволяло ворам получить доступ к кредитной карте человека и брать деньги от его имени. После того как телефонным мошенникам перестали верить, они начали изучать помойки: именно там можно было найти чеки с выбитой на них личной информацией. К концу 60-х такой вид мошенничества сошел на нет.
Новая волна краж персональных данных началась в 80-е. Власти США приняли закон, который обязывал работодателей проверять документы своих сотрудников. Это вынудило нелегальных мигрантов искать себе поддельные удостоверения, справки и т. д. — в основном они использовали бумаги уже умерших людей.
В России жили по подложным документам Герцен, Троцкий, Ленин, Сталин и другие революционеры, от народников до анархистов, вплоть до Февральской революции, а уже после нее — противники советской власти и аферисты всех мастей.
В 1937 году бежавший из ГУЛАГа Владимир Голубенко похитил паспорт на имя Валентина Пургина. О настоящем владельце документа ничего не известно, зато проходимец, выдававший себя за него, умудрился по липовым удостоверениям устроиться в «Комсомольскую правду». Он быстро продвигался по карьерной лестнице, к 1939-му стал заместителем начальника военного отдела. Потом Пургин-Голубенко присвоил себе ордена Ленина и Красной Звезды, последовательно подделывая рапорты о собственных свершениях. Апофеозом истории стали подложные бумаги о подвигах в Советско-финской войне и получение звания Героя Советского Союза в апреле 1940-го. Через три месяца его разоблачили, а еще через три — расстреляли.
Кажется, что кража личности — трюк из докомпьютерных времен, но это не так. Интересный случай произошел пять лет назад: 53-летний американец Дэвид Гилмор выдал себя за гитариста Pink Floyd, не будучи ни капельки похожим на своего звездного тезку, и его бесплатно вылечили на 100 000 долларов. Придя в больницу, он заявил, что группа сейчас на гастролях в США и артисты не успели сделать страховку. Пройдоха много знал о Pink Floyd и Великобритании. Растроганная администрация клиники согласилась лечить его бесплатно, а тот не скупился на автографы и не отказывал врачам в совместных фото. Гилмор с персоналом даже составили график «гастролей», чтобы закончить курс.
После его ухода заподозрили неладное: странно, что у гитариста легендарной группы, продавшей четверть миллиарда альбомов, нет денег на то, чтобы оплатить услуги медиков, и международной страховки, правда? Гилмора сгубила наглость: через четыре дня он вернулся, чтобы «долечиться», и был арестован.
Кража личности — основа сюжета многих голливудских фильмов, таких как «Без лица» Ву, «Сеть» Уинклера, «Элизиум» Бломкампа, «Неизвестный» Серра и «Профессия: репортер» Антониони.
Как украсть личность
«Кражей личности» называют любое использование чужой персональной информации для получения выгоды. Русский перевод неточно отражает суть явления: на деле чью-либо «личность» умыкнуть невозможно. Злоумышленники воруют персональные данные, слепок уникальных сведений о человеке: Ф.И.О., документы, номер кредитной карты и счета в банке, профессия, зарплата, место работы, пароли и логины учетных записей, область интересов и т. д. То есть любую информацию, принадлежащую только владельцу, которой он не хотел делиться.
К подделыванию личности прибегают в разных целях: кража паролей и учетных данных, получение финансовой информации и материальных ценностей, — а зачастую — просто ради развлечения. Добытые незаконным путем сведения продают; имея пароль, взламывают аккаунты человека в других сервисах и т. д.
Насколько распространено это явление? В самой большой базе взломанных аккаунтов — Have I Been Pwned — таковых числится свыше 5 млрд.
В СНГ официальной статистики не ведется, но в базе Gotcha.pw, в которой опубликован список взломанных email’ов из разных стран, — 48 млн аккаунтов в зоне .ru, 5,5 млн — в зоне .ua и более 1 млн — в зоне .by.
В США, согласно исследованию компании New Javelin Strategy & Research, в прошлом году жертвами кражи личности стали 16,7 млн американцев, то есть каждый двадцатый житель страны.
Потери от мошенничества с персональными данными в США за год составили 16,8 млрд долларов — столько стоят «Яндекс» и Mail.ru вместе взятые, а Банк ВТБ на 2 млрд «дешевле».
По Европе такой статистики нет, но, согласно опросам Еврокомиссии, 8 % жителей ЕС заявили, что стали жертвами махинаций с их персональными данными в 2021 году. Больше остальных пострадали поляки и австрийцы — 12 % населения, меньше всех — греки, 3 %. Вообще же такие преступления совершались в отношении более чем 50 % пользователей интернета в Австрии, Нидерландах, Швеции, Франции и Великобритании. При этом 30 % юзеров региона ничего не знают о краже личности.
Руководители 69 % европейских компаний не понимают, как можно украсть и использовать имя их бренда и как защититься от такого «воровства», а 60 % крупных корпораций никогда не рассчитывали риски от кибератак, хотя злоумышленники всё чаще прибегают к этому виду мошенничества.
Что такое кража личных данных?
Кража личных данных — это преступление, связанное с незаконным ПОЛУЧЕНИЕМ И ИСПОЛЬЗОВАНИЕМ личная или финансовая информация другого человека для неразрешенный транзакции или покупки.
Личная информация, которую можно ЛЕГКО украсть, включает следующее:
- Ваш номер социального страхования
- Номер вашего банковского счета
- Информация о вашей кредитной карте
- Адрес электронной почты
- Медицинские записи
- Номер Ic
Подумайте об этом так: вор идентичности Крадет информацию с намерение СОВЕРШИТЬ МОШЕННИЧЕСТВО.
В конце концов, приготовьтесь к тому, чтобы отчет о кредитных операциях наполнены подозрительной деятельностью.
Преступление достаточно распространено, поскольку оно совершается МНОГИМИ УНИКАЛЬНЫМИ РАЗЛИЧНЫМИ СПОСОБАМИ… особенно сейчас благодаря появлению ТЕХНОЛОГИЙ.
Расщепляем сознание
Сложно ли украсть чужое «я» и что за это будет?
Предупреждаем: все несанкционированные операции с личными данными являются нарушением закона. Ст. 272 УК РФ предусматривает тюремное заключение сроком до 2 лет за использование чужой страницы или персональных сведений. Если взлом аккаунта привел к тяжким последствиям, например самоубийству владельца или его близких, создал опасность чьей-то жизни, нанес крупный денежный ущерб — злоумышленнику светит до 7 лет тюрьмы. По ст. 159.6 за самое простое мошенничество в интернете можно получить до 2 лет ограничения свободы или штраф размером в годовую зарплату, а за более сложное (совершенное организованной группой, на сумму более 1,5 млн рублей и т. д.) — до 10 лет тюрьмы.
Имена героев изменены.
Первый вариант — купить уже взломанную страницу другого человека. Вбиваем в поисковик «магазин аккаунтов соцсети» — и получаем сотни ссылок на торговые площадки. В инстаграме и вконтакте они стоят копейки — от 15 рублей за штуку.
Ради эксперимента покупаем два аккаунта: один — с количеством друзей более 1000, а второй — принадлежащий редактору группы с 20 000+ подписчиков. Каждый обходится в 30 рублей.
Первый — Петр. Он женат, играет в американский футбол и любит шуточки из интернета. Администрирует много маленьких групп, у него 1415 друзей. Что мог бы сделать с этим мошенник? Например, дождаться, пока Петр ляжет спать, быстро поменять пароль и организовать рассылку по всем друзьям с просьбой срочно перевести деньги на чужой счет (наказание: до 4 лет тюрьмы и штраф в размере до 36 месячных зарплат). Или зайти в его переписку, поискать там компромат и шантажировать Петра (наказание: до 4 лет тюрьмы и штраф в размере до 36 месячных зарплат по самой «легкой» части статьи). Или украсть личные фото и использовать его идентичность (наказание: до 2 лет тюрьмы и штраф до 18 месячных зарплат при условии, что со страницей не будет сделано ничего, что отягощает вину).
Второй — Игорь. Он редактирует группу, в которой 50 000 подписчиков. Злоумышленники могли бы публиковать записи от имени сообщества (наказание: до 2 лет тюрьмы и штраф до 18 месячных зарплат). Или попробовать уговорить администратора паблика наделить аналогичными полномочиями их самих — и перепродать аккаунт, который в этом случае будет стоить уже на порядок дороже. Или сделать рассылку от имени группы разным пользователям, приглашать их в другое сообщество, подсовывать им фишинговые ссылки, просить денег (наказание: в обоих случаях — до 4 лет тюрьмы и штраф в размере до 36 месячных зарплат). Или опять же попытаться найти компромат в переписке и заняться шантажом.
Обоим героям сообщаем о взломе аккаунтов, просим поменять пароли и проводим краткий ликбез на тему «Безопасность в интернете».
Второй вариант — самому украсть чужие данные.
Заходим в социальную сеть «ВКонтакте». В поиске по документам вбиваем «паспорт jpg». О чудо — мы нашли сотни отсканированных документов со всего СНГ.
Выбираем один из них — на имя Людмилы Василевской, 24-летней девушки. У нас есть паспорт, а значит, нам известны город, в котором она живет, и дата рождения. Вводим ее имя и фамилию в поиск по людям — и сразу находим Людмилу. На странице нет информации о месте работы и учебы, в других социальных сетях такой человек не зарегистрирован.
В паспорте указано место рождения — ищем друзей в этом городе. Все они учились в одной и той же школе — вероятно, там же, где и Люда. Просматриваем страницу — по фото понимаем, что она продавец в магазине сумок в родном городе. Узнаем адрес ее работы. У девушки есть мама и брат, она их очень любит и живет с семьей.
Людмила активно ищет спутника жизни и обожает цветы. Домашних животных у нее нет. Зная, где и кем работает девушка, исходим из того, что она вряд ли получает в магазине больше 15 000 рублей. Семья у нее небогатая: все фото сделаны на недорогой смартфон, у Люды нет личного авто, и она не выезжает за границу. Наша «жертва» постоянно пишет о том, что делала и как живет.
За час мы узнали довольно много, и у нас есть скан паспорта Людмилы. Как могли бы все это использовать «рыцари наживы»?
Прежде всего, полностью клонировать страницу, создать ее «дубликат» в других социальных сетях. После этого ищутся наиболее активные ВК-друзья Люды (которые лайкали ее посты в течение года) из других городов. Аферист может с ними флиртовать, а потом попытаться выманить у особо доверчивых деньги под разными предлогами. Например, сказать, что не хватает на билет или новое красивое платье. Эти люди друг с другом незнакомы, и обменяться информацией между собой у них вряд ли получится. Даже если мошенников разоблачат, только за то, что они общались с кем-то не от своего имени, им ничего не будет (наказание: если выманить деньги все же удалось, то до 4 лет тюрьмы и штраф до 36 зарплат; если нет — «скромные» 2 года заключения и штраф до 12 зарплат).
Второй вариант — искать и добавлять в другой социальной сети всех друзей из ВК без разбора. В этом случае самая простая схема — рассылка фишинговых линков с целью узнать их логин и пароль. Пример такого письма: «Привет, это Люда [фишинговая ссылка на страницу]! Теперь я есть в Facebook, давай дружить». Но на самом деле пользователь переходит на сайт мошенников, оформленный один в один как FB. Ничего не подозревая, вы вводите на этом псевдофейсбуке свои логин и пароль — то есть фактически сообщаете их злоумышленникам (наказание: если данные были перепроданы, то до 4 лет тюрьмы и штраф в размере 36 зарплат).
Клон страницы, однако, можно создать и здесь же, в ВК, — и под видом знакомств для поиска партнера заниматься мошенничеством.
Спектр широчайший — от просьб «закинуть на телефон» до шантажа и махинаций с кредитными картами. И главное: знания о Люде помогут злоумышленнику создать правдоподобную легенду — «скопировать» живого человека намного проще, чем изваять личность «из ничего».
А можно создать страницу состоятельного парня, который интересуется Людой. Информации о жертве вполне достаточно, чтобы ею манипулировать. После того как преступник войдет к Людмиле в доверие, он может пытаться выманивать у нее деньги — например, на то, чтобы приехать к своей «пассии» (наказание: если проделка удалась, то до 4 лет тюрьмы и штраф до 36 зарплат, если нет — 2 года за решеткой и штраф до 12 зарплат).
Третий путь — создавать учетные записи на имя Люды. Подтверждать ее паспортом разные страницы в социальных сетях или интернет-магазинах, а также платежных системах, после чего либо перепродавать их, либо использовать для мошенничества. Цена хорошо раскрученного верифицированного ВК- или инстаграм-аккаунта — от 5000 рублей, кошельков «Яндекс.Деньги» и WebMoney — от 1500 рублей. Подтвержденные учетные записи не заблокируют, даже если входить в них из сети TOR или VPN (наказание: 4 года тюрьмы и штраф до 36 зарплат или, если повезет, до 2 лет исправительных работ и штраф в размере до 12 зарплат).
Четвертый способ — махинации с паспортными данными. Мошенники могут найти в интернете сообщников — и оформить на Людмилу недвижимость, автомобиль или сим-карту; регистрироваться под ее именем в кредитных учреждениях, букмекерских конторах, а также брать быстрый заем или участвовать в торгах на сайтах, связанных с бинарными опционами и «Форекс» (наказание: до 6 лет тюрьмы и 500 тысяч рублей штрафа, если сообщники пользовались своим служебным положением, или до 2 лет ограничения свободы и штраф до 12 зарплат). Либо просто перепродать фото паспорта в даркнете — за скромные пару долларов, зато сколько угодно раз (наказание: до года исправительных работ и штраф до 6 зарплат).
Правила цифровой гигиены
Мы побеседовали о технике безопасности в современном мире цифровых технологий с Ксенией Ермошиной, исследовательницей в лаборатории Citizen Lab в Университете Торонто, администраторкой телеграм-канала @parisburns, и этичным хакером d0gberry, администратором Gotcha.pw.
Ксения:
— Большинство утечек происходит из крупных компаний. Корпорации допускают их потому, что им это выгодно. А выявленные хакерами так называемые уязвимости нулевого дня, о которых ничего не сообщалось, могут использовать правительства для слежки за гражданами.
Юридически данные в крупных корпорациях хранятся в одном месте, хотя географически они разделены. И это тоже, безусловно, плохо.
Изобретут ли когда-нибудь систему, которую нельзя взломать? Как только кто-то заявит, что придумал нечто подобное, — такая система тут же перестанет быть защищенной и превратится в сладкую приманку, привлекающую хакеров со всего мира.
Сейчас все говорят о блокчейне — я думаю, что возможны решения на основе децентрализованных систем этого типа, но нужно найти способ сделать их доступными «простым смертным», потому что пока для их работы требуются большие объемы памяти на компьютерах и очень много электроэнергии.
Подход к защите данных следует разрабатывать и осуществлять на трех уровнях: пользовательском, инфраструктурном и законодательном.
Что касается первого из них, то мы должны развивать культуру потребления интернет-контента и пользования устройствами, программами и сайтами. Объяснять людям, что они не просто «юзеры», но еще и активные участники рынка информации, что их данные ценны сами по себе; знакомить пользователей с конкретными инструментами защиты; прививать общие поведенческие нормы.
Гигиена данных — правила поведения, связанные с онлайн- и офлайн-безопасностью. В этом деле не бывает мелочей: нельзя оставлять компьютер включенным, когда уходишь из дома или даже ненадолго отлучаешься из комнаты, где есть другие люди, как бы сильно вы им ни доверяли; необходимо в обязательном порядке устанавливать все обновления на гаджеты. Ну а вершиной являются различные программы для шифрования коммуникаций (PGP, Signal и т. д.) и жесткого диска (VeraCrypt, например), а также использование операционных систем с повышенной степенью защиты (типа Tails).
Как и в случае со здоровьем, гигиена зависит от уровня рисков, которым вы подвергаетесь: человеку, работающему в офисе, достаточно мыть руки с мылом, а если вы врач или повар — возможно, придется добавить к этому защитную маску и шапочку, перчатки и дезинфицирующие растворы. Но даже на самом базовом уровне гигиена данных нужна абсолютно всем.
О том, как защитить себя, написано множество руководств — например, Surveillance Self-Defense от Electronic Frontier Foundation или проект РосКомСвободы Safe, оба на русском языке.
На юридическом уровне ответственность за сбор и хранение наших персональных сведений (имеются в виду не те данные, что мы создаем сами через соцсети и приложения, а те, что известны государству, банкам, страховым компаниям и т. д.) лежит на этих организациях. Необходимо разработать такую законодательную базу, которая не оставляла бы возможностей для искусственных утечек данных и манипуляций с ними.
И с инфраструктурной точки зрения нужно совершенствовать технические документы, регламентирующие деятельность дата-центров, а также стандарты передачи данных.
d0gberry:
— Поскольку взломы случаются постоянно, можно утверждать, что компании не особо заботятся о безопасности учетных данных. Все время всплывают факты небрежного обращения с личной информацией: месяц назад, например, выяснилось, что T-Mobile хранит пароли своих европейских клиентов в виде открытого текста. То есть при краже этой базы ее сразу можно использовать для взлома аккаунтов.
В даркнете личные данные продаются всего за пару долларов. И часто случаются большие утечки со взломанных аккаунтов. Кража личности не требует особого мастерства.
В моей базе 1,5 млрд аккаунтов с расшифрованными паролями, но существуют и такие, которые содержат намного больше паролей зашифрованных, и их расшифровка лишь вопрос времени. Новые утечки происходят постоянно, так что нужно просто смириться с этим и продолжать жить.
Используйте VPN для защиты от хакеров
Публичные сети Wi-Fi не требуют аутентификации. Здорово, правда? Вот и хакеры того же мнения, ведь она им тоже не нужна. Они могут прибегнуть к методу Man-in-the-Middle («человек посередине») или даже установить липовую точку доступа к Wi-Fi для перехвата ваших личных данных.
Если вам нужен интернет на ноутбуке, лучше подключите его к мобильной сети 4G, включив режим модема на своем телефоне.
А еще лучше используйте виртуальную частную сеть (VPN) в качестве персонального интернет-шлюза.
Как VPN поможет вам предотвратить хакерскую атаку?
VPN-сеть перенаправляет трафик, скрывая ваш IP-адрес и не позволяя мошенникам отследить вас. Она также шифрует отправляемые вами данные, поэтому даже если кто-то их перехватит, он не сможет их прочесть. Это касается и вашего интернет-провайдера. Итак, VPN – прекрасный способ обезопасить ваши личные данные в интернете.
У этого метода есть и ряд других преимуществ, помимо онлайн-защиты. С VPN вы можете посещать сайты, заблокированные вашим провайдером, – в некоторых странах это могут быть Facebook, Twitter, ВКонтакте. Возможность обходить локальное блокирование контента может пригодиться во время поездок за границу, если вам потребуется доступ к вашему счету, который может быть закрыт для «иностранных» пользователей.
Есть бесплатные VPN, но они могут предоставляться на определенных условиях. Лучше воспользуйтесь платной версией – не стоит экономить на защите своих данных.
