Даже без использования специальных программ злоумышленники могут собрать исчерпывающую информацию о человеке, используя только открытые источники. Об этом «Газете.Ru» рассказал консультант по кибербезопасности КРОС Александр Дворянский.
По его словам, пользователи сами формируют свой цифровой портрет, зачастую предоставляя избыточные сведения в сети. Это происходит через участие в опросах, лотереях, программах лояльности, голосованиях и, конечно, в социальных сетях. В соцсетях люди указывают личные данные, а на основе публикаций можно сделать выводы об их увлечениях, уровне дохода и социальном статусе. Различные тесты и анкеты, в которых после прохождения предлагают заполнить поля с контактной информацией, возрастом, профессией и местом жительства, также вносят вклад в формирование полноценного профиля.
Собранные сведения могут быть использованы мошенниками для таргетированной рекламы, фишинговых атак и методов социальной инженерии.
Как работают схемы сбора данных
Эксперт привел несколько примеров. В одном из них человек тратит время на прохождение объемного IQ-теста, а в конце ему предлагают оставить контактные данные и информацию о себе, чтобы получить результат. Эти сведения впоследствии используются для рекламных кампаний или исследований. Однако компании, проводящие такие опросы, не всегда обеспечивают должную защиту данных, что рано или поздно приводит к их утечке или попаданию в руки злоумышленников.
Другой пример касается социальных сетей. Если пользователь указывает в профиле увлечение горными лыжами, он может начать получать спам-рассылки со скидками на оборудование, экипировку и туры. Но на этом опасность не заканчивается: мошенники способны направлять фишинговые письма с поддельными ссылками на известные магазины спортивных товаров или туристические предложения с привлекательными ценами и ограниченным временем действия. Такая тактика подталкивает жертву к импульсивному решению и быстрой оплате.
В МВД рассказали, как понять, что за вами следят мошенники
Как используют собранные профили
Сконцентрированные базы данных с профилями пользователей могут продаваться в интернете по различным признакам. Существуют относительно безобидные варианты, например, когда владелец автосервиса покупает базу владельцев определенной марки автомобилей для адресной рассылки предложений.
Однако бывают и более опасные схемы. Злоумышленники могут организовать рассылку от имени того же автосервиса, предлагая льготное обслуживание со скидкой 50%, но с требованием 100-процентной предоплаты на поддельном сайте. Деньги в таких случаях уходят мошенникам.
Как снизить риски
Александр Дворянский дал несколько практических рекомендаций.
Не указывать лишнюю информацию. Если поля в формах не являются обязательными, их лучше не заполнять.
Использовать отдельный почтовый ящик. Для регистраций в соцсетях, программах лояльности и на различных сайтах стоит завести отдельный адрес электронной почты. Это поможет защитить основной ящик от спама.
Ограничивать информацию в социальных сетях. Не стоит публиковать избыточные сведения о себе, своих увлечениях и повседневной жизни − это создает цифровой профиль, который могут использовать мошенники.
Использовать разные пароли. Для каждой системы должен быть свой уникальный пароль. Это исключает ситуацию, когда взлом одного ресурса открывает доступ ко всем остальным.
Соблюдать требования к сложности паролей. Пароли должны быть достаточно сложными, чтобы их было трудно подобрать.
Регулярно менять пароли. Эксперт рекомендует обновлять пароли не реже одного раза в год, а в идеале − каждые полгода.
Соблюдение этих правил позволяет существенно снизить вероятность того, что личная информация станет инструментом в руках злоумышленников.