Во время пандемии число кибермошенничеств увеличилось больше чем в полтора раза. Такие дела редко раскрывают, хотя персональные данные охраняются законом. Кроме того, интернет-компании по запросу передают их властям. Крупнейшее хранилище данных — соцсети.
«Бумага» поговорила с экспертами из Политеха, специализирующимися на кибербезопасности и хранении данных. Они рассказали о рисках, с которыми сталкиваются пользователи, оставляя свои данные в интернете, и способах их снизить.
Партнер материала
Кибербезопасность всегда была одним из приоритетов Санкт-Петербургского политехнического университета Петра Великого. В 2020 году в СПбПУ появился Институт кибербезопасности и защиты информации. Студенты изучают устройство современных систем, механизмы реализации угроз и средства защиты.
Большую часть персональных данных пользователи оставляют в соцсетях. Их объем можно контролировать, но многие небрежно относятся к цифровой гигиене
Персональные данные пользователей хранятся в государственных реестрах, онлайн-магазинах, мессенджерах. Но, по словам старшего преподавателя Института кибербезопасности и защиты информации Санкт-Петербургского политехнического университета Петра Великого Андрея Дахновича, основное хранилище данных — социальные сети.
Когда пользователь заходит в интернет через браузер либо мобильное приложение, ему присваивается уникальный идентификатор. Его персональные данные пока не учтены, однако оператор получает информацию о том, что в определенном городе в сеть зашел человек, который ищет в поисковике некоторые товары, — это в свою очередь повлияет на таргетированную рекламу. Когда пользователь регистрируется в соцсети, например в Facebook или во «ВКонтакте», и вносит свои персональные данные, идентификатор привязывается к конкретной персоне, анонимность пропадает — и данные о ней продолжают копиться в дальнейшем.
Пользователи могут контролировать, какими данными хотят делиться, при помощи персональных настроек конфиденциальности. Не стоит, например, оставлять в открытом доступе номер телефона и адрес почты — это облегчит задачу мошенникам, которые хотят взломать ваш аккаунт.
Алексей Лукашин, начальник управления Суперкомпьютерного центра «Политехнический», говорит, что многие пользователи небрежно относятся к своим данным: «Есть такой термин — „цифровая гигиена“. О ней начали рассказывать только недавно. Например, в компаниях — объясняя, к каким последствиям могут привести те или иные действия в сети. До этого люди всё делали интуитивно. Даже системные администраторы, прекрасно выполняющие свои задачи, порой наплевательски относятся к паролям, к настройке файрволов».
Однако при этом существующие системы заставляют пользователя становиться грамотнее. Как отмечает Павел Дробинцев, директор Высшей школы программной инженерии Санкт-Петербургского политехнического университета: для доступа к различным сервисам в последнее время всё чаще применяется двухфакторная аутентификация для защиты аккаунтов пользователей.
Аккаунты в соцсетях регулярно взламывают, чтобы похитить деньги или личные данные. Такие услуги оказывают в том числе на черном рынке
В июле этого года хакеры взломали аккаунты знаменитостей в твиттере для того, чтобы собрать деньги с подписчиков: на их страницах появились посты с просьбой перевести деньги на биткоин-кошелек и обещанием вернуть платежи в двойном размере. Среди пострадавших владельцев профилей — Барак Обама, Джо Байден, Билл Гейтс и Илон Маск.
При этом многие из аккаунтов были защищены с помощью двухфакторной аутентификации. По словам анонимных источников, представляющих взломщиков, им удалось получить доступ к страницам знаменитостей благодаря подкупу одного из сотрудников Twitter. В итоге обвинения предъявили 17-летнему хакеру.
В 2019 году в сеть утекли данные почти 50 млн пользователей Instagram: кроме общедоступной информации они включали в себя электронные адреса, номера телефонов, оценку стоимости рекламы в аккаунте и самих профилей. Журналисты TechCrunch связали базу с деятельностью компании Chtrbox, специализирующейся на маркетинге в социальных сетях. Данные были закрыты вскоре после обнаружения.
Кроме того, распространен кибербуллинг — оскорбления и использование компрометирующих данных. Например, после того как глава Amazon Джефф Безос и Маккензи Безос объявили о разводе, таблоид The National Enquirer опубликовал материал о романе Безоса и бывшей телеведущей Лорен Санчес с их перепиской и совместными фото. Одна из версий утечки — взлом телефона Безоса хакерами. Когда он решил провести расследование о краже данных, представители издательства American Media, выпускающего таблоид, потребовали прекращения расследования — в противном случае они угрожали опубликовать его интимные фото. В ответ Безос опубликовал пост, в котором рассказал о шантаже. American Media объявила, что расследует его заявление.
Услуги по взлому аккаунтов оказывают на черном рынке, добавляет Андрей Дахнович. Исследовательница Ариана Мириан из Калифорнийского университета в Сан-Диего проанализировала 27 сервисов по взлому аккаунтов электронной почты — в том числе с учетом двухфакторной аутентификации и перехвата СМС. Цена взлома одного аккаунта составила от 23 до 500 долларов.
Во время пандемии количество дел о кибермошенничестве резко увеличилось. Это связано с возросшей потребностью людей в интернет-покупках и социальных выплатах, а также переходом на удаленную работу
За первые шесть месяцев 2020 года случаи телефонного и интернет-мошенничества в России участились на 76 %, пишет «РБК» со ссылкой на данные Генпрокуратуры. В Петербурге число зарегистрированных случаев увеличилось вдвое.
Этому способствовало в том числе закрытие торговых точек, из-за чего россияне стали чаще совершать покупки онлайн. Ведущий эксперт «Лаборатории Касперского» Сергей Голованов рассказывает, что злоумышленники используют фишинг: создают клоны онлайн-магазинов и размещают в интернете объявления, предлагая перейти по ссылке для оплаты. Увеличилось и количество обзвонов клиентов банков — представляясь их сотрудниками, мошенники выясняют данные карт.
По словам Голованова, появились и ресурсы, предлагающие социальные выплаты или вознаграждение за прохождение опроса, которые можно получить только после «закрепительного платежа» или «комиссии». Увеличилось также количество сайтов, предлагающих быстрый заработок — например, на майнинге криптовалюты.
При этом в марте 2020 года генпрокурор РФ Игорь Краснов заявил, что правоохранительные органы в России раскрывают лишь 9 % киберпреступлений. «Считаю, что правоохранительные органы демонстрируют низкую способность противостоять этому новому виду преступности», — сказал прокурор.
Пандемия отразилась и на безопасности корпоративных данных. В условиях пандемии, когда многие стали работать дома, компании оказались перед выбором: ослабить защиту безопасности либо вложиться в инфраструктуру — покупку ноутбуков и телефонов, настройку защиты, контроль действий на этих гаджетах. Согласно исследованию компании PwC половина российских компаний планирует увеличить расходы на кибербезопасность в 2021 году.
Доступ к персональным данным регулируется законом. При этом госорганы могут запросить у интернет-компании расшифровку переписки
В России действует Федеральный закон о персональных данных. Он регулирует в том числе условия их обработки, государственный контроль этого процесса, права субъекта персональных данных, обязанности оператора. Например, по требованию пользователя оператор обязан удалить его персональные данные в течение 30 дней.
При этом у госорганов есть разные пути исследования нужных им данных, объясняет Андрей Дахнович: «Можно заниматься разведкой по открытым источникам либо отправить социальной сети запрос: мы никогда не узнаем, сделано это по отношению к нам или нет. Если социальная сеть вам заявляет, что не будет предоставлять информацию ФСБ, никто не может вам этого гарантировать».
После принятия «пакета Яровой» в 2016 году владельцы сервисов, где используется шифрование, обязаны помочь ФСБ расшифровать любое сообщение — хотя зачастую сделать это невозможно: ключи генерируются на устройствах пользователей, и больше ни у кого нет к ним доступа.
Недавно «Яндекс» раскрыл статистику по запросам данных от государственных структур. За первое полугодие 2020 года компания получила более 15 тысяч обращений, 84 % из которых удовлетворила. В компании подчеркивают, что делятся минимальным количеством необходимых данных из разных сервисов, а доступ к переписке в «Яндекс.Почте» предоставляется только после решения суда.
При этом, как отмечает Андрей Дахнович, в интернете не всё может регулироваться законом РФ: «Блокировки, как мы видим, плохо работают». Например, блокировка Telegram в России из-за отказа Павла Дурова предоставлять данные для декодирования переписки пользователей ФСБ не сработала: в 2020 году Роскомнадзор объявил о ее отмене.
Чтобы обезопасить себя от мошенников, эксперты советуют не переходить по подозрительным ссылкам, обновлять прошивку роутера и использовать алгоритмы шифрования. Уничтожить цифровой след нельзя, но можно его уменьшить
Для защиты персональных данных эксперты советуют придерживаться нескольких простых правил:
— не вводите персональные данные на сайтах, которым не доверяете. Если сайт кажется подозрительным, можете проверить его, например, с помощью специального сервиса Google;
— не переходите по подозрительным ссылкам. Например, если вам прислал ее неизвестный пользователь в социальной сети;
— выбирайте пароль так, чтобы его нельзя было подобрать исходя из открытой информации о вас. Для разных сервисов создавайте разные пароли. Вот какие рекомендации у «Лаборатории Касперского»: длина не менее 8 символов, заглавные и строчные буквы, цифры, пробелы и специальные символы;
— обдуманно подходите к настройкам конфиденциальности в смартфоне — это касается доступа приложений к геолокации, диктофону, фотографиям;
— регулярно обновляйте прошивку роутера, так как в противном случае его легко взломать. Зайдя на нужный вам сайт, вы попадете на другой IP-адрес, даже не заметив этого. И если проведете оплату, то отдадите мошеннику данные карты;
— используйте алгоритмы шифрования для конфиденциальной информации, доступные на большинстве устройств. Например, на MacBook можно зашифровать раздел диска — и даже в случае потери устройства никто не сможет вскрыть эти данные.
При этом Павел Дробинцев уточняет, что в ряде случаев пользователю всё равно придется сделать выбор, опираясь лишь на здравый смысл. «Мы понимаем, что постить фото своей кредитной карты не стоит. Но в некоторых случаях нам нужно поделиться своими данными для того, чтобы что-то получить, — объясняет Дробинцев. — Нас окружает мир с кучей галочек — и каждый решает, какую ставить».
Существуют специальные сервисы, позволяющие уменьшить цифровой след. Например, шведские разработчики создали deseat.me: алгоритм самостоятельно обнаружит все сервисы, подключенные к почте Gmail, и отправит запросы на удаление. При этом аккаунты, привязанные к другой почте, придется удалить самостоятельно.
Кроме того, чтобы быстро удалить свои профили собственными силами, можно воспользоваться сервисом justdelete.me. Введите в строке поиска название социальной сети, и он направит вас на страницу удаления аккаунта. А на сайте Account Killer есть инструкция о том, как избавиться от страниц на разных сервисах. Вот, например, рекомендации по удалению аккаунта на YouTube TV.
Благодаря закону о праве на забвение, который Владимир Путин подписал в 2016 году, по требованию пользователя поисковики обязаны удалить порочащую информацию о нем, а также другую информацию, нарушающую закон. За первые три месяца действия закона в «Яндекс» поступило больше 3,6 тысячи обращений от 1348 человек, но 73 % заявок отклонили. «Яндекс» объяснил это тем, что не может проверить достоверность информации — например, негативные отзывы о деятельности конкретных врачей.