Кража персональных данных: как защитить себя в цифровом мире

В эпоху цифровых технологий утечки персональных данных становятся всё более распространёнными, а методы мошенников — изощрёнными. Фишинг, вишинг, скимминг и другие схемы позволяют злоумышленникам получать доступ к конфиденциальной информации, что может привести к серьёзным финансовым и психологическим последствиям. Как защитить свои данные и минимизировать риски? Разбираемся в статье.

Что такое персональные данные и как их крадут

Персональные данные это, по сути, любая информация, относящаяся к конкретному физическому лицу (субъекту персональных данных). Различные фрагменты информации, которые в совокупности могут привести к идентификации конкретного лица, также могут считаться персональными данными. К персональным данным относятся: фамилия и имя, дата рождения, и другие паспортные данные; точное место жительства; сведения о родственниках, здоровье и заработной плате; фотография или видеозапись человека, позволяющие идентифицировать его личность; номер телефона, адрес электронной почты и другое.

Стоит отметить, что данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать человека. Если известно только имя лица, то эти сведения не являются персональными данными. Сам по себе номер телефона тоже не является персональными данными, но в совокупности с указанием фамилии, имени и отчества владельца — является. Таким образом, если, зная совокупность данных, можно выделить определённого человека из множества лиц, тогда такие сведения — персональные данные.

Кража данных это хищение цифровой информации (банковских реквизитов, паролей, паспортных данных и др.) с целью её незаконного использования. Злоумышленники могут изменять, удалять или блокировать доступ к этой информации, а также продавать её или использовать для мошенничества.  Если раньше от утечек чаще страдали компании, но теперь под ударом и обычные пользователи. Достаточно небольшого объёма данных, чтобы мошенники получили доступ к аккаунтам, банковским картам и другим личным сведениям. Рассмотрим основные способы кражи данных.

1. Фишинг (phishing, образовано от сочетания двух слов: fishing — рыбная ловля, выуживание и password — пароль) — это вид интернет-мошенничества, который применяется для кражи идентификационных данных: паролей, номеров карт, банковских счетов и другой конфиденциальной информации. Как правило, фишинговая атака представляет собой выдачу фейковых сайтов, имитирующих интернет-страницы популярных компаний: банков, интернет-магазинов, стриминговых сервисов и т.д. Хакеры рассчитывают на то, что пользователь не заметит подмены и укажет на странице личные данные: реквизиты карты, логин и пароль, номер телефона. Если человек сделает это, мошенники получат его данные.

Главная проблема фишинга — отсутствие абсолютной защиты от перехода на поддельные сайты-фейки. Здесь решает человеческий фактор, и при этом уязвимы даже технологические гиганты уязвимы, если сотрудники по невнимательности не распознают обман.

Последствия фишинговой атаки могут быть весьма масштабными. Яркий пример — взлом одной из ведущих кинокомпаний мира Sony Pictures Entertainment в 2014 году. Хакерская группа Guardians of Peace изучила профили сотрудников компании в LinkedIn и разослала им письма с файлами, в которых содержался вирус. Попав на корпоративные компьютеры киностудии, он позволил злоумышленникам месяцами вести слежку и удалённо управлять устройствами. Вскоре хакеры опубликовали в Сети несколько ещё не выпущенных фильмов студии, а также похитили личные данные сотрудников Sony Pictures Entertainment и членов их семей, содержимое внутренней электронной почты, информацию о заработной плате и копии неизданных фильмов — общий объём похищенных данных превысил 11 Тб.

Хакерской атаке на Sony Pictures предшествовали угрозы, рассылавшиеся руководителям по email

2. Смишинг (smishing = SMS + phishing) — это тот же фишинг, но распространяющийся не по электронной почте, а через SMS или сообщения в мессенджерах. Мошенники присылают SMS, как правило, о какой-нибудь выдуманной проблеме: застрявшей посылке, неоплаченном счёте или заблокированном аккаунте — для решения проблемы нужно перейти по ссылке. Дальше жертву заманивают в приложение или на сайт, который маскируется под легитимный сайт (приложение) какого-нибудь сервиса и настойчиво предлагает вбить в себя все важные данные.

3. Вишинг (англ. vishing — от voice phishing) — вид телефонного мошенничества, когда злоумышленники маскируются под определённую организацию (банк, поставщика услуг, государственную службу) и внушают жертве, что ей срочно нужно обезопасить себя, передав определённые данные (код, пароль, реквизиты) фальшивому сотруднику безопасности. При этом они намеренно создают ложное ощущение срочности и угрозы, чтобы жертва действовала необдуманно.

4. Скимминг (skim — бегло прочитывать, скользить) — кража информации при считывании банковской карты. Мошенники могут вмешиваться в устройство считывания электронных карт, чтобы оно записывало данные карты, размещать записывающее устройство в банкомате или нанимать нечестных продавцов для кражи данных карт клиентов.

5. Мошенничество с выдачей себя за другое лицо. Преступник втирается в доверие к жертве, чтобы убедить её отправить деньги, предоставить информацию, совершить покупки или даже отмыть финансы. Один из распространённых способов — звонки от имени представителей правопорядка или родственников.

Одним из самых известных примеров такого мошенничества можно назвать кейс «Tinder Swindler», когда мошенник Шимон Хают знакомился в интернете с женщинами, представляясь сыном алмазного магната, втирался в доверие, а затем выманивал у них миллионы долларов под предлогом угрозы своей жизни.

«Мошенник из Tinder», таке известный как Саймон Леваев, забанен в приложении для знакомств

6. Джеккинг и общественный Wi-Fi. Многие общедоступные сети Wi-Fi уязвимы для угроз со стороны хакеров, что позволяет им заполучать личную информацию пользователей. Мошенники также могут использовать джеккинг — мошенничество с зарядкой USB, при котором вредоносное ПО заражает устройство пользователя при подключении к общедоступной USB-зарядной станции.

Наиболее распространённые причины утечки данных

Ненадёжные пароли. Использование пароля, который можно легко угадать, или одного и того же пароля для нескольких учётных записей может позволить злоумышленникам получить доступ к данным. Также причиной кражи данных могут стать «вредные привычки» при обращении с паролями, например, записывать пароль на бумаге или сообщать его другим пользователям.

Уязвимости в системе. Некачественно разработанные программные приложения или недостаточно внимательно спроектированные и реализованные сетевые системы создают уязвимости, которые могут использоваться злоумышленниками для кражи данных. Устаревшее антивирусное программное обеспечение также может стать источником уязвимостей.

Загрузки из скомпрометированных источников. Пользователи могут загрузить программы и данные с взломанных веб-сайтов, заражённых вредоносными программами, предоставляя тем самым злоумышленникам несанкционированный доступ к своим устройствам, и позволяя им красть данные.

Физические действия. Некоторые случаи кражи данных происходят не в результате киберпреступлений, а становятся следствием физических действий. К ним относится кража документов или устройств: ноутбуков, телефонов, запоминающих устройств. Также злоумышленник может считать конфиденциальные данные, наблюдая за экраном и клавиатурой жертвы, когда та работает в публичном месте.

Человеческий фактор. Утечки данных не всегда являются следствием злонамеренных действий, иногда они могут произойти в результате человеческой ошибки. Самые распространённые ошибки: ошибочная отправка конфиденциальной информации или неаккуратная работа с защитными паролями баз данных. Кроме того, большой объём информации можно найти в открытом доступе посредством поиска в интернете или просматривая посты пользователей в социальных сетях.

Стратегии защиты личных данных:

1. Антивирус. По сути, это программное обеспечение, которое может эффективно отразить множество вредоносных атак. Можно позволить антивирусу работать в фоновом режиме и автоматически выполнять сканирование и удаление вредоносных программ.

2. Надёжные пароли. Большинство утечек данных происходит из-за слабых ключей доступа. Вот несколько советов по созданию надёжных паролей:

  • Никогда не используйте повторно старые пароли. Однажды украденные данные постоянно перепродаются на «чёрном рынке». Даже если выбрать очень сложный пароль, но использовать его на нескольких сервисах — злоумышленникам может быть достаточно проверить общедоступные базы.
  • Сделайте пароль длиннее десяти символов. При создании пароля стоит выбирать комбинации строчных и прописных букв, цифр и символов и периодически менять их.  
  • Не используйте личные данные и их комбинации в пароле. Собрав о вас и вашей личной жизни всю возможную информацию, злоумышленники в первую очередь будут пробовать подобрать пароль именно с использованием комбинаций этих данных.
  • Для создания новых и безопасных паролей можно воспользоваться функцией генератора паролей, созданные таким образом ключи можно хранить безопасном хранилище паролей. Следовательно, вам нужно будет запомнить только один пароль от хранилища для доступа к другим своим паролям.
  • Не храните пароли в открытом доступе. Злоумышленникам будет легче найти пароли, если они хранятся в файлах на компьютере, в сообщениях самому себе или в заметках на телефоне, особенно, если они синхронизированы на нескольких устройствах.

3. Бдительность при использовании общественных Сетей. Как правило, общедоступные сети Wi-Fi очень слабо обеспечены щитами безопасности. Это означает, что любой человек в той же сети Wi-Fi может легко получить доступ к вашим данным и легко украсть вашу личную информацию. Использование общей сети лучше всего подходит только для серфинга в Интернете, но не для покупок или входа в финансовые приложения.

4. Проверка безопасности сайта. Прежде чем вводить свои личные данные на веб-сайте, убедитесь, что он действительно имеет SSL-сертификат. Чтобы узнать это, посмотрите адрес веб-сайта в строке поиска вашего браузера. Проверьте, есть ли в начале URL зеленый значок замка, зелёная полоса или HTTPS. Также уместно проверить политику конфиденциальности, использовать контактную информацию или увидеть проверенную печать от компаний, занимающихся веб-безопасностью.

5. Своевременное обновление операционной системы. Хакеры всегда пытаются найти недостатки в системе. Они используют уязвимости программного обеспечения, чтобы проникнуть в устройства пользователей. К счастью, разработчики постоянно ищут такие бреши и устраняют их. Вот почему регулярные обновления операционной системы имеют решающее значение для безопасности. При обновлении операционной системы устраняются ранее известные уязвимости, а хакеры лишаются лазеек.

6. Резервное копирование данных. Это часто упускаемая из виду, но важная часть защиты. Однако важно помнить, что резервные копии также уязвимы, если они хранятся на том же сервере, что и ваши основные данные. Поэтому при резервном копировании старайтесь хранить файлы в безопасном месте, предпочтительно в облачных хранилищах.

7. Избегайте чрезмерного распространения информации в социальных сетях. Проверьте настройки конфиденциальности, чтобы знать, кто может просматривать ваши сообщения и посты, и будьте осторожны при публикации своего местоположения, родного города, дня рождения или других личных данных. Если держать учётные записи в социальных сетях закрытыми и позволять просматривать ваш контент только тем, кого вы знаете, можно значительно снизить риск того, что люди неправомерно воспользуются вашей персональной информацией, если вы случайно её раскроете.

8. Защитите свои беспроводные сети. Просто введите пароль или скройте беспроводную сеть от посторонних. Чтобы скрыть сеть Wi-Fi, настройте идентификатор набора услуг (SSID) и сделайте его невидимым для всех.

9. Двухфакторная аутентификация. Эффективный способ значительно повысить безопасность: для доступа к ресурсам и данным требуется пройти два вида идентификации. Обычно первый метод — это обычный пароль, а второй — либо сгенерированный временный код, либо секретные вопросы.

10. Следите за ссылками и вложениями. Киберпреступники коварны и часто составляют свои фишинговые схемы так, чтобы они выглядели как законные сообщения от банка, коммунальной компании или другого юридического лица. Некоторые вещи, такие как орфографические ошибки или адрес электронной почты, отличный от типичного отправителя, могут указывать на то, что электронное письмо является спамом.

Защита персональных данных — это не просто рекомендация, а необходимость в современном мире. Использование надёжных паролей, двухфакторной аутентификации, антивирусных программ и критического подхода к подозрительным сообщениям поможет снизить риски утечки информации. Помните: ваша цифровая безопасность во многом зависит от вашей бдительности. Следуйте простым правилам защиты, и мошенникам будет гораздо сложнее получить доступ к вашим данным.