В Украине разгорелся крупнейший скандал из-за слива в сеть сотен гигабайтов личных данных граждан. Информацию продавали через Telegram-бот, который из-за жалоб закрыли, но на следующей же день работу возобновили.
О том, как мошенники могут использовать собранные сведения и какие данные просачиваются в сеть — читайте в материале OBOZREVATEL.
Зачем кому-то мои данные?
«У вас в телефонной книжке есть много контактов друзей и приятелей. Если бы вы хотели их продать, сколько бы вам заплатили? Нисколько», — рассуждает эксперт по кибербезопасности Марина Кобейник. Продавать можно базы данных, в которых сосредоточены контакты от 1000 человек. За каждый могут заплатить от 20 копеек. Чаще всего такие базы нужны для «холодных продаж» или смс-рассылок. Если на ваш номер хоть один раз приходила реклама или сообщение о том, что вы выиграли в лотерее, ваш контакт уже есть в одной из таких баз.
Информацию из базы данных можно использовать как для честных продаж, так и для мошеннических схем. На хакерских форумах и анонимных сайтах, где мошенники предлагают свои услуги и за деньги делятся схемами, за базу данных крупного банка предлагают $10 тыс. После эту информацию перепродают в рознице уже по цене $50 тыс.
«Работает целая вертикаль. Вверху находится, допустим, сотрудник банка, который продал все 10 млн контактов из базы данных мошенникам. Он получил за каждый миллион контактов 1 тыс. долларов, или примерно 27 копеек за контакт. Тот, кто владеет этой базой, на специализированных форумах при условии, что база будет продаваться только один раз, может только телефоны продать по цене 1 грн за номер. А если к телефону прилагается фамилия, имя, отчество, просить можно уже 2 грн», — рассказывает Кобейник.
Оформить кредит. В прошлом году в Украине одна из микрофинансовых организаций выдала кредиты на поддельные документы, которые мошенники смогли достать, воспользовавшись информацией из системы Prozorro.
Онлайн-кредиты зачастую выдают без необходимой верификации личности. Это приводит к тому, что имея ксерокопию чужого паспорта, ИНН, можно получить кредит на чужое имя. При этом даже не обязательно «светить» своей банковской картой (в том же Darknet за комиссию в 30% украинцы готовы предоставить данные своей карты или продать чужую).
Как это происходит? Мошенник заходит на сайт кредитора, онлайн заполняет анкету, вводит серию и номер паспорта, информацию о прописке, ИНН, указывает номер банковской карты. И если микрофинансовая организация не проводит должной верификации, получает свои деньги. А после вернуть долг требуют у жертвы мошеннической схемы.
Вынудить перевести деньги. Зачастую мошенники скупают базы большими партиями для того, чтобы в будущем обзванивать потенциальных жертв, представляясь сотрудниками банков. Если при этом собеседник по телефону называет ФИО, убедить потенциальную жертву в том, что ему звонят именно из банка, легче.
Схема работы мошенников всегда одна и та же:
— первый шаг: вызвать доверие, запугать, пообещать помощь или сверхприбыль;
— второй шаг: заполучить персональные данные, номер и CVV банковской карты и заставить назвать код подтверждения, который приходит в виде смс;
— третий шаг: получить как можно большую сумму с карты, провести перевод.
«Монетизировать собранную информацию сложно. Поэтому чаще всего ее перепродают в „сыром“ виде. Все угрозы условно можно разделить на два уровня: шантаж, вымогательство и социальная инженерия (мошенничество по телефону и т.п.) и оформление кредитов и других обязательств на чужие документы», — рассказывает Кобейник.
При этом эксперт уверена: если придерживаться всех правил безопасности, мошенничества можно избежать.
Какую информацию обо мне можно купить в интернете?
В Darknet (анонимная сеть) скан-копии паспортов и ИНН, актуальные адреса, номера телефонов и даже пароли от «ВКонтенте» и LinkedIn продают уже не первый год. Здесь есть базы ПриватБанка, данные полиции и «Новой почты» (во всяком случае, так утверждают продавцы баз данных). Теперь же продавцы информации вышли на новый уровень — все базы собрали, а информацию упорядочили.
Какая информация о вас скорее всего уже есть в этой базе?
— Ксерокопии паспорта и кода.
— Номер телефона.
— Водительские права.
— Данные об образовании и семейном положении.
— Информация о судимостях, пересечении границы.
— Информация о кредитах.
Если вы оформляли карточку ПриватБанка до национализации (тогда был крупный слив), скорее всего, в базах уже есть скан-копии паспорта, кода и анкетные данные. Но даже если вы получали карту позже, в последней базе, к которой, как предполагают в ГБР причастны сотрудники МВФ и Миграционной службы, ваши данные все равно есть.
Сотни гигабайтов данных, 110 млн номеров, 148 млн контактов, 3 млрд паролей, 160 тыс. резюме, сотни тысяч ксерокопий паспортов — это далеко не полный перечень баз данных, которые собрали на украинцев в сети. Иногда в утечке данных замешаны силовики, которые имеют доступ к реестрам, иногда хакеры взламывают онлайн-магазины, которые, например, собирают номера телефонов своих клиентов.
