Врубить VPN, отправить письмо с шифрованной почты Proton Mail и завернуться в луковичную шелуху TOR — вжух... и вроде бы ты невидимка. Так создается иллюзия приватности.
На самом деле в цифровом мире даже «человек-невидимка» оставляет за собой «хлебные крошки», которые могут привести кибердетективов или преступников (смотря, кто охотится!) к реальной персоне. Как? Выясняется, что VPN отвалился, владельцы Proton Mail сливают данные властям, а TOR не такой уж невидимый.
И что говорить про обычных, не обремененным цифровой гигиеной пользователей, за которыми тянется липкий жирный след, так и притягивающий киберпреступников всех мастей.
В этой статье Борис Мартынюк, аналитик департамента Threat Intelligence компании F.A.C.C.T., на простом примере с регистрацией расскажет, как формируется цифровой след, почему этого не избежать, и как потом используют персональные данные различные онлайн-сервисы, исследователи безопасности и, конечно же, злоумышленники.
В зоне риска: как собирают данные
Каждого, кто сомневается в вероятности попасть в чужое поле зрения, придется огорчить — вы уже в нем. Как так вышло? Критерии выбора объектов для сбора данных зачастую обезличены (если это не целевая атака, конечно) и предельно просты: достаточно быть связанным с тем, кто/что представляет интерес в финансовом или информационном плане.
В общем, даже не представляя прямой выгоды для атакующих, пользователи все равно могут находиться в зоне риска. Секретарь, бухгалтер, системный администратор, даже сосед по квартире могут быть лишь звеном в цепи, по которой пройдет атака на компанию и конкретную персону.
Регистрируясь на форуме о подледной рыбалке, создавая аккаунт в World of Tanks или на онлайн-кинотеатре, заказывая сковородку-гриль на маркетплейсе, пользователи оставляют довольно подробные сведения о себе:
- ФИО
- Телефон
- Электронная почта
- Никнейм
- Данные банковской карты
- Адрес прописки/проживания
- Логин/пароль (очень часто они совпадают для различных аккаунтов!)
Зачастую человек даже не придает значения полям при регистрации профиля, ведь их заполнение давно вошло в привычку и уже доведено до автоматизма.
Интернет-площадкам эта информация позволяет персонализировать рекомендации, адаптируя их под интересы конкретного пользователя, показывать ему рекламу подходящих товаров, находить одноклассников-одногруппников, игроков и поддерживать с ними связь в сети.
Не только сервисы
Разумеется, и правоохранительные органы, и исследователи, занимающиеся разведкой по открытым источникам, и злоумышленники ведут свои собственные базы данных. Зачастую они формируются посредством сбора данных из:
- Открытых источников, например, соцсетей или публикаций в СМИ, постов в блогах и на форумах.
- Утечек баз данных компаний.
К примеру, история об “утечке” данных более чем 200 миллионов пользователей Twitter, на самом деле является примером скрапинга (автоматизированного сбора) с использованием уязвимости в API. Полученные сведения позволили найти связанные с аккаунтами контактные данные: электронные почты или номера телефонов.
А вот утечка Яндекс.Еды была уже настоящей и адреса она содержала реальные, а не электронные. Таким образом, данные из разных источников могут дополнять друг друга, формируя более полную картину.
Хотите поднимем градус паранойи? В 2022 году в публичный доступ были выложены 311 баз данных российских компаний. Годом раньше их было всего 61.
От утечек оказалась не защищена ни одна сфера российского бизнеса — жертвами злоумышленников становились финансовые, страховые и IT-компании, сервисы доставки, мобильные операторы, онлайн-магазины различных товаров и услуг, онлайн-кинотеатры, развлекательные и образовательные порталы, кафе, рестораны, социальные сети, а также энергетические, промышленные, туристические, строительные, транспортные и медицинские компании.
Общее количество всех строк данных пользователей во всех опубликованных сливах превысило 1,4 млрд. — здесь имена клиентов, их телефоны, адреса, даты рождения, а в некоторых можно найти пароли, паспортные данные, подробности заказов.
В итоге весь этот массив данных преступники могут выкладывать бесплатно в публичный доступ, чтобы побольнее уколоть компании и их клиентов, продавать или использовать для дальнейших атак, например, телефонного мошенничества — о самых и популярных схемах мы подробно рассказывали здесь и здесь.
Невидимые миру связи
Что связывает Telegram, Gmail и, например, Instagram? Пользователи. Каждый человек использует несколько сервисов, и именно он объединяет цифровые профили разных площадок. Вот несколько пунктов, которые зачастую присутствуют в каждом сервисе:
- Никнейм
- Имя пользователя
- Номер телефона
- Электронная почта
- Аватар
Пересечение по любому из этих пунктов позволяет ассоциировать аккаунты между собой, пополнив цифровой профиль объекта. Иногда в утечках данных компаний могут также храниться сведения о паролях пользователей, повезет если они будут хэшированы. Но даже по таким данным иногда можно установить связь между разными аккаунтами, если пользователь использует одинаковые пароли.
Хэш (от англ. hash) – идентификатор информации, полученный в результате преобразования исходных данных. Используется для проверки аутентификационных данных и позволяет избежать компрометации пароля.
На скриншоте ниже показан пример графа сетевой инфраструктуры, демонстрирующий взаимосвязи между различными почтовыми ящиками, телефонными номерами, аккаунтами в мессенджерах и соцсетеях, причем даже теми, что ведут от лица выдуманного персонажа.
Анализ активности на теневых хакерских форумах позволяет создать аналогичный цифровой профиль для псевдонимов злоумышленника, а в случае нарушении им правил цифровой гигиены и выйти на его реальную личность. Исследователи собирают данные для своевременного реагирования на инциденты, атрибуции атак и оценки ландшафта киберугроз. Этот инструмент исследователи используют исключительно для борьбы с киберпреступностью, но и сами злоумышленники активно применяют методы разведки по открытым источникам (OSINT), покупают слитые базы.
Какой итог? Даже минимизация присутствия в сети не спасает от риска компрометации. Утечки информации могут раскрыть персональные данные даже самого аккуратного пользователя. Поэтому стоит внимательнее относиться к тому, какие данные вы оставляете в сети.
В следующих постах мы подробно расскажем о правилах цифровой гигиены, а пока несколько простых рекомендаций:
- Используйте разные электронные адреса для разных групп сервисов.
- Не допускайте повторения паролей и регулярно их обновляйте.
Разделяйте рабочее и личное пространство: избегайте пересечений инфраструктуры аккаунтов, чтобы не привлекать дополнительный интерес со стороны злоумышленников и не поставить под удар компанию и коллег.
Обязательно подпишитесь на наш канал "Кибербез по фактам". Мы знаем о киберпреступности всё. Рассказываем самое интересное.
