(рассказ)
На лекциях по безопасности личных данных я много времени уделяю вопросам противодействия краже личной информации. Отдельно на моих занятиях обсуждаются методы работы с источниками и способы изучения цифровых следов.
Однажды я рассказал на лекции о том, что часто нарушителем личной безопасности является сам владелец личных данных. Один слушатель заявил, что его данные не могут похитить, потому что он не оставляет сведения в Интернете и игнорирует происки телефонных мошенников.
Я предположил что молодой человек ошибается говоря, что его данные не указаны в Интернете. Спорщик настаивал и я предложил ему эксперимент. Слушатель должен был предоставить мне какие-нибудь сведения для того, чтобы я проверил их наличие в Интернете через свой ноутбук по своим методикам.
По моему распоряжению молодой человек отключил свой мобильный телефон, написал на листе бумаги полное имя, номер телефона, электронную почту, сложил лист вдвое текстом внутрь и передал его мне.
Я развернул лист и положил его на стол рядом с ноутбуком. Изображая сосредоточенность, я стал энергично стучать по клавиатуре, имитируя процесс использования каких-то реестров. В аудитории наступила полная тишина. Всем было интересно узнать результаты преподавательского взлома. Через некоторое время я печально вздохнул и сообщил смелому экспериментатору, что данных о нём действительно нельзя найти в Интернете.
Этот молодой человек буквально засветился от своей значительности. Слушатели расслабились будто бы прозвучала команда "Вольно". Я понял, что нужно начать объяснения.
- Сейчас в вашем присутствии у смелого молодого человека злоумышленник похитил персональные данные под предлогом поиска персональных цифровых следов в неконкретном источнике под названием "Интернет".
Тишина в аудитории была восстановлена. Только молодой экспериментатор возмутился: "Я же вам для эксперимента предоставил сведения! Вы не имеете права их использовать дальше!"
Я спросил: "Кем являюсь я в этой ситуации?"
Молодой человек неуверенно ответил: "Преподавателем."
- Вы хотите сказать, что человек, получивший от вас персональные данные для того чтобы с их помощью узнать дополнительные сведения из Интернета, является преподавателем?
Аудитория молчала.
- В вашем присутствии преподаватель совершил действия с признаками возможного преступления. Ваши персональные данные могли быть переданы мошенникам, которые могли использовать их в противоправных целях, а тот кого вы считаете преподавателем, обеспечивал бы им ваше присутствие здесь под наблюдением с выключенным мобильным телефоном.
В аудитории раздался смех.
- Характерный признак социального шпионажа: жертва сама предоставляет необходимые данные. Таким же способом я мог попросить для эксперимента данные вашей банковской карты, а вы бы не подозревали о краже денег, потому что у вас выключен телефон.
Один слушатель спросил меня: "Почему у вас на столе лист с данными лежит чистой стороной вверх?"
- Думал, что это будет незаметно, - ответил я. - Приглашаю сейчас нашего смельчака подойти к моему столу и забрать лист со своими персональными данными. Пусть он засвидетельствует, что лист лежит текстом вниз. Я специально развернул лист так, чтобы не видеть информацию, которую мне предоставили для проверки. Если эти данные будут снова сложены внутрь, то никто из посторонних не увидит их.
Слушатели в аудитории стали перешёптываться.
- Только что я продемонстрировал самый простой способ получения данных с использованием методов социального шпионажа. До следующего занятия нужно решить задачи из методички.
В таком живом формате иногда происходят занятия по информационной безопасности.
21 сентября 2019 года (редакция текста 2 сентября 2021 года).
Автор: Демешин Сергей Владимирович (юрист).
Участвуйте в обсуждении, соблюдайте правила комментирования публикаций, указанные на главной странице этого канала.