You’ve been stolen! Кража личности от Исава до «ВКонтакте» — и как ее избежать

Две трети утечек информации происходят не в силу злого умысла. В остальных случаях это намеренные действия киберпреступников, сотрудников организации или ее подрядчиков. В новостях все чаще стали появляться сообщения о краже конфиденциальных данных: так, например, в 2021 году сообщалось, что APT-группировка Elfin переключилась с уничтожения данных на их кражу с помощью уязвимости в WinRAR, хакеры взломали NASA и похитили данные о миссии на Марс, утекли данные охранного агентства Allied Universal.

Согласно отчету специалистов Positive Technologies за II квартал 2019 года, целенаправленные атаки преобладают над массовыми. Более половины всех киберпреступлений совершаются с целью кражи информации. Персональные данные — основной тип украденной информации в атаках на юридические лица. Частные лица наиболее часто рискуют учетными записями и данными своих банковских карт.

Тактики, которые киберпреступники используют для реализации атак, описаны в матрице ATT&CK, разработанной корпорацией MITRE на основе анализа реальных APT-атак. Всего тактик двенадцать. Каждую тактику можно соотнести с соответствующим этапом атаки:

  1. Первоначальный доступ в систему (Initial access)
  2. Выполнение кода или команды (Execution)
  3. Закрепление (Persistence)
  4. Повышение привилегий в системе (Privilege escalation)
  5. Предотвращение обнаружения средствами защиты (Defense evasion)
  6. Получение учетных данных (Credential access)
  7. Разведка (Discovery)
  8. Перемещение внутри периметра (Lateral movement)
  9. Сбор данных (Collection)
  10. Управление и контроль (Command and control)
  11. Эксфильтрация данных (Exfiltration)
  12. Воздействие (Impact)

В статье мы рассмотрим техники, которые атакующие используют на этапе вывода (эксфильтрации) данных из целевой системы, после того как они проникли в систему, закрепились там и собрали всю интересующую их информацию. Также будут рассмотрены принципы обнаружения попыток вывода данных и методы их предотвращения.

С Якова на всякого

Термин «кража личности» (identity theft) впервые появился в печати в 1964 году. В англоязычном пространстве это словосочетание стало особенно активно использоваться в середине 90-х в связи с быстрым ростом рынка удаленных услуг (оформление банковских карт, получение кредитов) и распространением интернета в США.

Но кража личности — явление не новое. Первый «зарегистрированный» случай — библейское предание об Исаве и Иакове.

У Исаака было два сына. Старший — Исав — имел право первородства, а потому пользовался особым почетом перед Богом. В конце жизни Исаак ослеп и был готов благословить первенство Исава, если тот угостит его любимым блюдом. Тогда младший сын с матерью обманывают главу семейства: готовят кушанье сами, после чего Иаков одевается как Исав и получает заветное благословение.

Подделка источников с целью выдать себя за другого практиковалась и после. С III по VII век выходили послания, авторство которых лживо приписывали Клементу, одному из семидесяти учеников Христа, а в VII столетии — сборник постановлений, якобы принадлежащих перу Исидора Севильского — крупнейшего богослова той эпохи. Известное как «Дар Константина» поддельное завещание императора Константина Великого, в IV веке провозгласившего христианство официальной религией Римской империи, сыграло важную роль в истории Европы и России.

Исследователи утверждают, что такого рода фейковые труды и документы писали и тиражировали, чтобы обосновать ту или иную доктрину в рамках христианской церкви.

Уже в XIII веке в Европе могли сжечь за подделку бумаг — следовательно, явление было распространенным. Судебное разбирательство в таких случаях вели трибуналы инквизиции.

В Новое время в России поддельных людей больше всего было в эпоху Смуты. После смерти Федора Ивановича, последнего правителя из рода Рюриковичей, царский трон остался вакантным. С 1605 по 1608 год 17 человек выдавали себя за потомков Ивана Грозного, а Лжедмитрий I и Лжедмитрий II даже занимали престол. Общий срок их правления составил около двух лет. Все, что понадобилось для успешного обмана, — знание (не обязательно во всех подробностях) биографии своих «родственников» и в некоторых случаях поддержка местных или зарубежных элит.

На заре истории США подкупленные избирательные комиссии вписывали умерших и никогда не живших людей в бюллетени, после чего вбрасывали их в корзины для голосования. Гангстеры Дикого Запада убивали путников, чтобы завладеть их одеждой, удостоверяющими личность бумагами и выдать себя за них.

Мафия в США устраняла свидетелей, крала их документы и гримировала «своих» людей. Они шли на суд и отказывались от показаний. Это подтолкнуло власти к созданию «Программы защиты свидетелей».

С появлением кредитных карт в конце 50-х кража персональных данных стала обычным делом. Схема выглядела так: мошенники звонили по телефону в разные квартиры и говорили хозяевам, что они выиграли крупный приз. Нужно было лишь сообщить все свои личные данные — номера кредитки, страхового полиса, паспорта и других документов. Это позволяло ворам получить доступ к кредитной карте человека и брать деньги от его имени. После того как телефонным мошенникам перестали верить, они начали изучать помойки: именно там можно было найти чеки с выбитой на них личной информацией. К концу 60-х такой вид мошенничества сошел на нет.

Новая волна краж персональных данных началась в 80-е. Власти США приняли закон, который обязывал работодателей проверять документы своих сотрудников. Это вынудило нелегальных мигрантов искать себе поддельные удостоверения, справки и т. д. — в основном они использовали бумаги уже умерших людей.

В России жили по подложным документам Герцен, Троцкий, Ленин, Сталин и другие революционеры, от народников до анархистов, вплоть до Февральской революции, а уже после нее — противники советской власти и аферисты всех мастей.

В 1937 году бежавший из ГУЛАГа Владимир Голубенко похитил паспорт на имя Валентина Пургина. О настоящем владельце документа ничего не известно, зато проходимец, выдававший себя за него, умудрился по липовым удостоверениям устроиться в «Комсомольскую правду». Он быстро продвигался по карьерной лестнице, к 1939-му стал заместителем начальника военного отдела. Потом Пургин-Голубенко присвоил себе ордена Ленина и Красной Звезды, последовательно подделывая рапорты о собственных свершениях. Апофеозом истории стали подложные бумаги о подвигах в Советско-финской войне и получение звания Героя Советского Союза в апреле 1940-го. Через три месяца его разоблачили, а еще через три — расстреляли.

Кажется, что кража личности — трюк из докомпьютерных времен, но это не так. Интересный случай произошел пять лет назад: 53-летний американец Дэвид Гилмор выдал себя за гитариста Pink Floyd, не будучи ни капельки похожим на своего звездного тезку, и его бесплатно вылечили на 100 000 долларов. Придя в больницу, он заявил, что группа сейчас на гастролях в США и артисты не успели сделать страховку. Пройдоха много знал о Pink Floyd и Великобритании. Растроганная администрация клиники согласилась лечить его бесплатно, а тот не скупился на автографы и не отказывал врачам в совместных фото. Гилмор с персоналом даже составили график «гастролей», чтобы закончить курс.

После его ухода заподозрили неладное: странно, что у гитариста легендарной группы, продавшей четверть миллиарда альбомов, нет денег на то, чтобы оплатить услуги медиков, и международной страховки, правда? Гилмора сгубила наглость: через четыре дня он вернулся, чтобы «долечиться», и был арестован.

Кража личности — основа сюжета многих голливудских фильмов, таких как «Без лица» Ву, «Сеть» Уинклера, «Элизиум» Бломкампа, «Неизвестный» Серра и «Профессия: репортер» Антониони.

Как украсть личность

«Кражей личности» называют любое использование чужой персональной информации для получения выгоды. Русский перевод неточно отражает суть явления: на деле чью-либо «личность» умыкнуть невозможно. Злоумышленники воруют персональные данные, слепок уникальных сведений о человеке: Ф.И.О., документы, номер кредитной карты и счета в банке, профессия, зарплата, место работы, пароли и логины учетных записей, область интересов и т. д. То есть любую информацию, принадлежащую только владельцу, которой он не хотел делиться.

К подделыванию личности прибегают в разных целях: кража паролей и учетных данных, получение финансовой информации и материальных ценностей, — а зачастую — просто ради развлечения. Добытые незаконным путем сведения продают; имея пароль, взламывают аккаунты человека в других сервисах и т. д.

Насколько распространено это явление? В самой большой базе взломанных аккаунтов — Have I Been Pwned — таковых числится свыше 5 млрд.

В СНГ официальной статистики не ведется, но в базе Gotcha.pw, в которой опубликован список взломанных email’ов из разных стран, — 48 млн аккаунтов в зоне .ru, 5,5 млн — в зоне .ua и более 1 млн — в зоне .by.

В США, согласно исследованию компании New Javelin Strategy & Research, в прошлом году жертвами кражи личности стали 16,7 млн американцев, то есть каждый двадцатый житель страны.

Потери от мошенничества с персональными данными в США за год составили 16,8 млрд долларов — столько стоят «Яндекс» и Mail.ru вместе взятые, а Банк ВТБ на 2 млрд «дешевле».

По Европе такой статистики нет, но, согласно опросам Еврокомиссии, 8 % жителей ЕС заявили, что стали жертвами махинаций с их персональными данными в 2021 году. Больше остальных пострадали поляки и австрийцы — 12 % населения, меньше всех — греки, 3 %. Вообще же такие преступления совершались в отношении более чем 50 % пользователей интернета в Австрии, Нидерландах, Швеции, Франции и Великобритании. При этом 30 % юзеров региона ничего не знают о краже личности.

Руководители 69 % европейских компаний не понимают, как можно украсть и использовать имя их бренда и как защититься от такого «воровства», а 60 % крупных корпораций никогда не рассчитывали риски от кибератак, хотя злоумышленники всё чаще прибегают к этому виду мошенничества.

Что такое кража личных данных?

Кража личных данных — это преступление, связанное с незаконным ПОЛУЧЕНИЕМ И ИСПОЛЬЗОВАНИЕМ личная или финансовая информация другого человека для неразрешенный транзакции или покупки.

Личная информация, которую можно ЛЕГКО украсть, включает следующее:

  • Ваш номер социального страхования
  • Номер вашего банковского счета
  • Информация о вашей кредитной карте
  • Адрес электронной почты
  • Медицинские записи
  • Номер Ic

Подумайте об этом так: вор идентичности Крадет информацию с намерение СОВЕРШИТЬ МОШЕННИЧЕСТВО.

В конце концов, приготовьтесь к тому, чтобы отчет о кредитных операциях наполнены подозрительной деятельностью.

Преступление достаточно распространено, поскольку оно совершается МНОГИМИ УНИКАЛЬНЫМИ РАЗЛИЧНЫМИ СПОСОБАМИ… особенно сейчас благодаря появлению ТЕХНОЛОГИЙ.

Расщепляем сознание

Сложно ли украсть чужое «я» и что за это будет?

Предупреждаем: все несанкционированные операции с личными данными являются нарушением закона. Ст. 272 УК РФ предусматривает тюремное заключение сроком до 2 лет за использование чужой страницы или персональных сведений. Если взлом аккаунта привел к тяжким последствиям, например самоубийству владельца или его близких, создал опасность чьей-то жизни, нанес крупный денежный ущерб — злоумышленнику светит до 7 лет тюрьмы. По ст. 159.6 за самое простое мошенничество в интернете можно получить до 2 лет ограничения свободы или штраф размером в годовую зарплату, а за более сложное (совершенное организованной группой, на сумму более 1,5 млн рублей и т. д.) — до 10 лет тюрьмы.

Имена героев изменены.

Первый вариант — купить уже взломанную страницу другого человека. Вбиваем в поисковик «магазин аккаунтов соцсети» — и получаем сотни ссылок на торговые площадки. В инстаграме и вконтакте они стоят копейки — от 15 рублей за штуку.

Ради эксперимента покупаем два аккаунта: один — с количеством друзей более 1000, а второй — принадлежащий редактору группы с 20 000+ подписчиков. Каждый обходится в 30 рублей.

Первый — Петр. Он женат, играет в американский футбол и любит шуточки из интернета. Администрирует много маленьких групп, у него 1415 друзей. Что мог бы сделать с этим мошенник? Например, дождаться, пока Петр ляжет спать, быстро поменять пароль и организовать рассылку по всем друзьям с просьбой срочно перевести деньги на чужой счет (наказание: до 4 лет тюрьмы и штраф в размере до 36 месячных зарплат). Или зайти в его переписку, поискать там компромат и шантажировать Петра (наказание: до 4 лет тюрьмы и штраф в размере до 36 месячных зарплат по самой «легкой» части статьи). Или украсть личные фото и использовать его идентичность (наказание: до 2 лет тюрьмы и штраф до 18 месячных зарплат при условии, что со страницей не будет сделано ничего, что отягощает вину).

Второй — Игорь. Он редактирует группу, в которой 50 000 подписчиков. Злоумышленники могли бы публиковать записи от имени сообщества (наказание: до 2 лет тюрьмы и штраф до 18 месячных зарплат). Или попробовать уговорить администратора паблика наделить аналогичными полномочиями их самих — и перепродать аккаунт, который в этом случае будет стоить уже на порядок дороже. Или сделать рассылку от имени группы разным пользователям, приглашать их в другое сообщество, подсовывать им фишинговые ссылки, просить денег (наказание: в обоих случаях — до 4 лет тюрьмы и штраф в размере до 36 месячных зарплат). Или опять же попытаться найти компромат в переписке и заняться шантажом.

Обоим героям сообщаем о взломе аккаунтов, просим поменять пароли и проводим краткий ликбез на тему «Безопасность в интернете».

Второй вариант — самому украсть чужие данные.

Заходим в социальную сеть «ВКонтакте». В поиске по документам вбиваем «паспорт jpg». О чудо — мы нашли сотни отсканированных документов со всего СНГ.

Выбираем один из них — на имя Людмилы Василевской, 24-летней девушки. У нас есть паспорт, а значит, нам известны город, в котором она живет, и дата рождения. Вводим ее имя и фамилию в поиск по людям — и сразу находим Людмилу. На странице нет информации о месте работы и учебы, в других социальных сетях такой человек не зарегистрирован.

В паспорте указано место рождения — ищем друзей в этом городе. Все они учились в одной и той же школе — вероятно, там же, где и Люда. Просматриваем страницу — по фото понимаем, что она продавец в магазине сумок в родном городе. Узнаем адрес ее работы. У девушки есть мама и брат, она их очень любит и живет с семьей.

Людмила активно ищет спутника жизни и обожает цветы. Домашних животных у нее нет. Зная, где и кем работает девушка, исходим из того, что она вряд ли получает в магазине больше 15 000 рублей. Семья у нее небогатая: все фото сделаны на недорогой смартфон, у Люды нет личного авто, и она не выезжает за границу. Наша «жертва» постоянно пишет о том, что делала и как живет.

За час мы узнали довольно много, и у нас есть скан паспорта Людмилы. Как могли бы все это использовать «рыцари наживы»?

Прежде всего, полностью клонировать страницу, создать ее «дубликат» в других социальных сетях. После этого ищутся наиболее активные ВК-друзья Люды (которые лайкали ее посты в течение года) из других городов. Аферист может с ними флиртовать, а потом попытаться выманить у особо доверчивых деньги под разными предлогами. Например, сказать, что не хватает на билет или новое красивое платье. Эти люди друг с другом незнакомы, и обменяться информацией между собой у них вряд ли получится. Даже если мошенников разоблачат, только за то, что они общались с кем-то не от своего имени, им ничего не будет (наказание: если выманить деньги все же удалось, то до 4 лет тюрьмы и штраф до 36 зарплат; если нет — «скромные» 2 года заключения и штраф до 12 зарплат).

Второй вариант — искать и добавлять в другой социальной сети всех друзей из ВК без разбора. В этом случае самая простая схема — рассылка фишинговых линков с целью узнать их логин и пароль. Пример такого письма: «Привет, это Люда [фишинговая ссылка на страницу]! Теперь я есть в Facebook, давай дружить». Но на самом деле пользователь переходит на сайт мошенников, оформленный один в один как FB. Ничего не подозревая, вы вводите на этом псевдофейсбуке свои логин и пароль — то есть фактически сообщаете их злоумышленникам (наказание: если данные были перепроданы, то до 4 лет тюрьмы и штраф в размере 36 зарплат).

Клон страницы, однако, можно создать и здесь же, в ВК, — и под видом знакомств для поиска партнера заниматься мошенничеством.

Спектр широчайший — от просьб «закинуть на телефон» до шантажа и махинаций с кредитными картами. И главное: знания о Люде помогут злоумышленнику создать правдоподобную легенду — «скопировать» живого человека намного проще, чем изваять личность «из ничего».

А можно создать страницу состоятельного парня, который интересуется Людой. Информации о жертве вполне достаточно, чтобы ею манипулировать. После того как преступник войдет к Людмиле в доверие, он может пытаться выманивать у нее деньги — например, на то, чтобы приехать к своей «пассии» (наказание: если проделка удалась, то до 4 лет тюрьмы и штраф до 36 зарплат, если нет — 2 года за решеткой и штраф до 12 зарплат).

Третий путь — создавать учетные записи на имя Люды. Подтверждать ее паспортом разные страницы в социальных сетях или интернет-магазинах, а также платежных системах, после чего либо перепродавать их, либо использовать для мошенничества. Цена хорошо раскрученного верифицированного ВК- или инстаграм-аккаунта — от 5000 рублей, кошельков «Яндекс.Деньги» и WebMoney — от 1500 рублей. Подтвержденные учетные записи не заблокируют, даже если входить в них из сети TOR или VPN (наказание: 4 года тюрьмы и штраф до 36 зарплат или, если повезет, до 2 лет исправительных работ и штраф в размере до 12 зарплат).

Четвертый способ — махинации с паспортными данными. Мошенники могут найти в интернете сообщников — и оформить на Людмилу недвижимость, автомобиль или сим-карту; регистрироваться под ее именем в кредитных учреждениях, букмекерских конторах, а также брать быстрый заем или участвовать в торгах на сайтах, связанных с бинарными опционами и «Форекс» (наказание: до 6 лет тюрьмы и 500 тысяч рублей штрафа, если сообщники пользовались своим служебным положением, или до 2 лет ограничения свободы и штраф до 12 зарплат). Либо просто перепродать фото паспорта в даркнете — за скромные пару долларов, зато сколько угодно раз (наказание: до года исправительных работ и штраф до 6 зарплат).

Правила цифровой гигиены

Мы побеседовали о технике безопасности в современном мире цифровых технологий с Ксенией Ермошиной, исследовательницей в лаборатории Citizen Lab в Университете Торонто, администраторкой телеграм-канала @parisburns, и этичным хакером d0gberry, администратором Gotcha.pw.

Ксения:

— Большинство утечек происходит из крупных компаний. Корпорации допускают их потому, что им это выгодно. А выявленные хакерами так называемые уязвимости нулевого дня, о которых ничего не сообщалось, могут использовать правительства для слежки за гражданами.

Юридически данные в крупных корпорациях хранятся в одном месте, хотя географически они разделены. И это тоже, безусловно, плохо.

Изобретут ли когда-нибудь систему, которую нельзя взломать? Как только кто-то заявит, что придумал нечто подобное, — такая система тут же перестанет быть защищенной и превратится в сладкую приманку, привлекающую хакеров со всего мира.

Сейчас все говорят о блокчейне — я думаю, что возможны решения на основе децентрализованных систем этого типа, но нужно найти способ сделать их доступными «простым смертным», потому что пока для их работы требуются большие объемы памяти на компьютерах и очень много электроэнергии.

Подход к защите данных следует разрабатывать и осуществлять на трех уровнях: пользовательском, инфраструктурном и законодательном.

Что касается первого из них, то мы должны развивать культуру потребления интернет-контента и пользования устройствами, программами и сайтами. Объяснять людям, что они не просто «юзеры», но еще и активные участники рынка информации, что их данные ценны сами по себе; знакомить пользователей с конкретными инструментами защиты; прививать общие поведенческие нормы.

Гигиена данных — правила поведения, связанные с онлайн- и офлайн-безопасностью. В этом деле не бывает мелочей: нельзя оставлять компьютер включенным, когда уходишь из дома или даже ненадолго отлучаешься из комнаты, где есть другие люди, как бы сильно вы им ни доверяли; необходимо в обязательном порядке устанавливать все обновления на гаджеты. Ну а вершиной являются различные программы для шифрования коммуникаций (PGP, Signal и т. д.) и жесткого диска (VeraCrypt, например), а также использование операционных систем с повышенной степенью защиты (типа Tails).

Как и в случае со здоровьем, гигиена зависит от уровня рисков, которым вы подвергаетесь: человеку, работающему в офисе, достаточно мыть руки с мылом, а если вы врач или повар — возможно, придется добавить к этому защитную маску и шапочку, перчатки и дезинфицирующие растворы. Но даже на самом базовом уровне гигиена данных нужна абсолютно всем.

О том, как защитить себя, написано множество руководств — например, Surveillance Self-Defense от Electronic Frontier Foundation или проект РосКомСвободы Safe, оба на русском языке.

На юридическом уровне ответственность за сбор и хранение наших персональных сведений (имеются в виду не те данные, что мы создаем сами через соцсети и приложения, а те, что известны государству, банкам, страховым компаниям и т. д.) лежит на этих организациях. Необходимо разработать такую законодательную базу, которая не оставляла бы возможностей для искусственных утечек данных и манипуляций с ними.

И с инфраструктурной точки зрения нужно совершенствовать технические документы, регламентирующие деятельность дата-центров, а также стандарты передачи данных.

d0gberry:

— Поскольку взломы случаются постоянно, можно утверждать, что компании не особо заботятся о безопасности учетных данных. Все время всплывают факты небрежного обращения с личной информацией: месяц назад, например, выяснилось, что T-Mobile хранит пароли своих европейских клиентов в виде открытого текста. То есть при краже этой базы ее сразу можно использовать для взлома аккаунтов.

В даркнете личные данные продаются всего за пару долларов. И часто случаются большие утечки со взломанных аккаунтов. Кража личности не требует особого мастерства.

В моей базе 1,5 млрд аккаунтов с расшифрованными паролями, но существуют и такие, которые содержат намного больше паролей зашифрованных, и их расшифровка лишь вопрос времени. Новые утечки происходят постоянно, так что нужно просто смириться с этим и продолжать жить.

Используйте VPN для защиты от хакеров

Публичные сети Wi-Fi не требуют аутентификации. Здорово, правда? Вот и хакеры того же мнения, ведь она им тоже не нужна. Они могут прибегнуть к методу Man-in-the-Middle («человек посередине») или даже установить липовую точку доступа к Wi-Fi для перехвата ваших личных данных.

Если вам нужен интернет на ноутбуке, лучше подключите его к мобильной сети 4G, включив режим модема на своем телефоне.

А еще лучше используйте виртуальную частную сеть (VPN) в качестве персонального интернет-шлюза.

Как VPN поможет вам предотвратить хакерскую атаку?

VPN-сеть перенаправляет трафик, скрывая ваш IP-адрес и не позволяя мошенникам отследить вас. Она также шифрует отправляемые вами данные, поэтому даже если кто-то их перехватит, он не сможет их прочесть. Это касается и вашего интернет-провайдера. Итак, VPN – прекрасный способ обезопасить ваши личные данные в интернете.

У этого метода есть и ряд других преимуществ, помимо онлайн-защиты. С VPN вы можете посещать сайты, заблокированные вашим провайдером, – в некоторых странах это могут быть Facebook, Twitter, ВКонтакте. Возможность обходить локальное блокирование контента может пригодиться во время поездок за границу, если вам потребуется доступ к вашему счету, который может быть закрыт для «иностранных» пользователей.

Есть бесплатные VPN, но они могут предоставляться на определенных условиях. Лучше воспользуйтесь платной версией – не стоит экономить на защите своих данных.

Рейтинг
( 1 оценка, среднее 4 из 5 )
Понравилась статья? Поделиться с друзьями:
Для любых предложений по сайту: [email protected]
Для любых предложений по сайту: [email protected]