Персональные данные 1,3 млн пользователей Clubhouse попали в открытый доступ в интернете. Хотя представители сервиса заявили, что речь идет про общедоступные сведения, это не повод расслабляться. Иногда злоумышленникам достаточно знать имя профиля и его связь с другими аккаунтами, чтобы организовать атаку на жертву.
Громкие утечки данных в апреле 2021
База Clubhouse — не единственная утечка в этом месяце.
В начале апреля в открытый доступ утекли личные данные 530 млн аккаунтов Facebook из 106 стран. Злоумышленникам стали известны имена, даты рождения, номера телефонов и e-mail адреса пользователей соцсети. Несмотря на то, что среди них оказались и данные основателя Facebook Марка Цукерберга, компания не видит в этом проблему. Представители соцсети сообщили, что сведения о пользователях попали к киберпреступникам через импорт контактов в 2019 году.
Через неделю после этого инцидента хакеры получили доступ к личной информации 500 млн пользователей сети деловых контактов LinkedIn (в России соцсеть заблокирована за нарушение закона о локализации персональных данных). К злоумышленникам попала база с ID, именами, e-mail адресами и номерами телефонов пользователей. Как и руководство Clubhouse, представители LinkedIn заявили, что все данные находились в публичном доступе.
Зачем злоумышленникам персональные данные
Некоторые пользователи считают, что организованные хакерами утечки их не касаются. Каждый месяц в СМИ появляется информация, что злоумышленники получили доступ к очередной базе данных, но на большинстве людей это никак не сказывается. Как киберпреступники могут использовать имя, телефон или адрес электронной почты пользователя? Стоит ли беспокоиться, если эта информация попала в открытый доступ?
Для ответа на эти вопросы нужно разобраться, для чего киберпреступникам нужны персональные данные.
Фишинг
Один из старейших способов интернет-мошенничества, к сожалению, не теряет актуальности. С помощью фишинга злоумышленники пытаются получить доступ к логинам, паролям, банковским картам и учетным записям пользователей.
Когда персональная информация попадает к злоумышленнику, он использует ее для рассылки сообщений от имени сервиса доставки, социальной сети или известного бренда. Задача — убедить пользователя перейти по ссылке и ввести конфиденциальные данные. Если это получится, мошенник проникнет в почтовые сервисы и профили в соцсетях.
К этому же типу мошенничества относятся звонки «сотрудников банка». Преступник по телефону представляется работником службы безопасности, чтобы обманом убедить пользователя совершить определенные действия. Например, сообщить код из SMS. После этого мошенники получат доступ к банковскому счету жертвы.
Чем больше данных о пользователе соберут злоумышленники, так более серьезные фишинговые атаки они смогут организовать. Поэтому часто хакеры получают и объединяют информацию из разных источников, чтобы создать подробные профили потенциальных жертв.
Доступ к банковским аккаунтам
Многие используют почтовый аккаунт для регистрации в соцсетях, в личных кабинетах интернет-магазинов, на разных сайтах и сервисах. Это удобнее, чем каждый раз вводить логин и пароль. Однако в случае взлома электронной почты, злоумышленники получат доступ ко всем учетным записям пользователя. Например, они могут взломать аккаунты в соцсетях и разослать мошеннические письма по списку контактов.
Но главная опасность в том, что получив доступ к e-mail адресу, злоумышленники могут проникнуть в аккаунт PayPal или интернет‑банка, и получить доступ к деньгам пользователя. Для обхода двухфакторной аутентификации.
Доступ к коммерческой информации
Некоторые пользователи используют один и тот же email для личной и рабочей переписки. При взломе электронной почты злоумышленники получат доступ не только к персональной, но и к коммерческой информации. В этом случае ущерб от их действий будет гораздо больше, так как пострадает не отдельный человек, а целая компания.
Поэтому специалисты по информационной безопасности рекомендуют все рабочие вопросы решать только через корпоративную почту. Как правило, она лучше защищена, так как этим занимаются опытные сотрудники отдела ИБ компании.
Оформление микрозаймов
Для мошенничества с кредитами недостаточно знать имя и номер телефона. Но если к злоумышленникам попадут паспортные данные, они смогут узнать ИНН и СНИЛС, и ввести в заблуждение кредитные организации.
Фотография или скан паспорта дают возможность взять микрокредит на имя пользователя без его ведома. Мошенники получают эти файлы, взламывая email, мессенджеры или облачные хранилища. Если в случае с фишингом у пользователя есть возможность повлиять на ситуацию (не переходить по ссылкам, не сообщать код из sms), то здесь все зависит от действий микрофинансовой организации.
Мошенники могут вписать похищенные паспортные данные, чтобы сделать пользователя поручителем по кредиту. Также персональные данные могут использоваться для покупки сим карты и для регистрации компании, задействованной в мошеннических схемах.
Шантаж
Пару месяцев назад у киберпреступников появилась новая схема вымогательства с использованием личной информации пользователей. Для сбора персональных данных мошенники используют MailSearchBot, созданный компанией LeakCheck. Telegram-бот был разработан в мирных целях для проверки «утекших» паролей. Однако злоумышленники нашли ему другое применение.
Схема основана на принципах социальной инженерии. Киберпреступники пишут на email пользователя, что его компьютер заражен вирусом и все действия записываются. В качестве доказательства присылают последний использованный пароль, полученный с помощью Telegram-бота. Дальше пользователю предлагают заплатить шантажистам, чтобы его личная информация осталась в тайне.
Ранее подобную схему использовали зарубежные киберпреступники.
Как защитить персональные данные
По статистике за пять лет количество киберпреступлений увеличилось в 11 раз. Кибератаки составили 25% от общего количества преступлений. По прогнозам Сбербанка в 2021 году эти цифры вырастут как минимум на 30%.
К сожалению, защитить персональные данные на 100% невозможно. Если информация есть в интернете, всегда существует риск, что ее могут украсть. Причем часто пользователь узнает об этом тогда, когда его персональные данные уже использовали для мошенничества. Однако это не значит, что любые меры защиты бесполезны. Чем сложнее получить доступ к данным пользователя, тем больше шансов, что мошенники откажутся от кибератаки, выбрав более легкую мишень.
Что можно предпринять для защиты личных данных:
- Соблюдать общие правила безопасности: не доверять информации из sms с неизвестных номеров, не переходить по незнакомым ссылкам, устанавливать приложения только через Google Play Market или App Store.
- Отказаться от регулярной смены паролей. Долгое время считалось, что для безопасности нужно время от времени менять секретную комбинацию букв и цифр. Однако при таком подходе пользователи редко выбирали сложные варианты. Специалисты по информационной безопасности пришли к выводу, что лучше использовать один надежный пароль вместо постоянно меняющихся простых. Менять его стоит только в случае подозрений, что он был скомпрометирован. Также не рекомендуется использовать похожие пароли для разных сервисов.
- Подключить двухфакторную аутентификацию. Например, ввести пароль + код из SMS или пароль + аппаратные токены (внешние устройства с хранящимся в них паролем). Многие сервисы предлагают двухфакторный способ защиты данных, не стоит от него отказываться.
- Избегать подключений к непроверенным Wi‑Fi сетям. Злоумышленники создают поддельные сети в кафе, торговых центрах и других общественных местах. Если пользователь подключится к такой сети, преступник получит доступ к его логинам, паролям, аккаунтам, интернет‑подпискам и банковским картам. Поэтому важно пользоваться только безопасными интернет‑соединениями и подключаться к публичным Wi-Fi сетям только через VPN-сервер. Безопасное соединение устанавливается по каналу шифрования HTTPS. Находясь в общественной сети, не стоит открывать почту, аккаунты в соцсетях и другие ресурсы, требующие авторизации.
- Не пересылать сканы паспорта через интернет, не хранить их на физических носителях и в публичных облачных сервисах. Если все же возникла необходимость переслать копию страниц паспорта, лучше ограничиться первой страницей и страницей с пропиской. Можно написать на копии паспорта, для каких целей вы ее пересылаете.
- Использовать для хранения данных только проверенные облачные хранилища и правильно настраивать функции приватности. Если у пользователя включена автоматическая синхронизация фотографий с публичным облаком, в него будут автоматически загружаться все снимки с телефона. В этом случае безопасность будет зависеть от облачного провайдера и от того, насколько ответственно он подходит к вопросам безопасности данных.