ФИО для гарантии
В центре мошеннической схемы бобруйчанин Александр оказался по нелепому стечению обстоятельств. Год назад молодой человек искал себе машину. В интернете увидел объявление: подходящий автомобиль по очень хорошей цене. Для связи — номер в Viber:
chip.de
Александр просьбу выполнил, но предусмотрительно скрыл на снимке номер паспорта и некоторые другие элементы, оставив только ФИО и фото. Все. От продавца — ни слуху ни духу, он перестал отвечать на сообщения и звонки.
Бобруйчанин уже успел забыть об этой истории, как через месяц его стали заваливать сообщениями в Viber и соцсетях. Люди требовали вернуть деньги.
— Оказалось, мошенник все так же “продавал” по хорошей цене машины. Потом еще и квартиры. Потенциальных покупателей просил перевести ему на белорусскую симку 200 рублей в качестве гарантии, а со своей стороны отсылал фото “своих”, а точнее, моих документов. Мол, это его гарантия. Даже скопировал снимок, где я с женой, с моей страницы в соцсетях и поставил его на аватарку в Viber.
Александр просил у пострадавших номер продавца — оказалось, тот меняет их едва ли не каждую неделю. Удалось его набрать. “Двойник” по голосу звонившего не узнал:
— Я ему говорю: хватит использовать мой паспорт. Мне люди звонят, наезжают. Тебя посадят. А он смеяться прямо в трубку начал — мол, да ну, ты что, кто меня посадит? Меня не найдут.
Схема набирала обороты. Сообщения сыпались со всей Беларуси: Гомель, Гродно, Витебск, Могилев... Фабула одна, детали разные — мошенник “мигрировал” в Евросоюз, менял марки машин. Александр проводил собственное расследование. Звонил администраторам сайтов, чтобы те удаляли объявления мошенника. Но и это оказалось бесполезно: тот выставлял новые.
— Иногда становилось страшно, — признается Александр. — Один тип звонил моему коллеге, пытался выяснить, где я живу. Другой сказал, что не последний человек в Могилеве, все обо мне знает, назвал мой точный адрес. Некоторые выходили в соцсетях на мою жену, писали ей.
Примерно через три месяца бобруйчанина вызвали в РУВД. Его допросили в качестве свидетеля. Пострадавшие продолжали писать заявления — Александра вызывали еще несколько раз. Он поясняет:
— Я сам просил людей обращаться в милицию. Кого-то даже уговаривать пришлось! В моих интересах, чтобы мошенника скорее поймали.
История тянется уже почти год. Александру написали около 20 человек. Последние несколько месяцев сообщения слать перестали:
— Просто не понимаю, зачем было так со мной поступать. Я нелепо “попал”. Затер данные, потому что думал, мало ли, кредит на меня оформит или еще что. Но, оказалось, было достаточно имени, фамилии и фотографии.
Оптом дешевле
Решаю проверить, насколько действительно ценны такие сведения. “Пробиваю” через обычный поисковик знакомого — у меня только имя и фамилия. Через 30 минут я знаю номер его мобильного (совпадает с тем, что есть у меня), домашний адрес и номер телефона его отца — предположительно. Звоню на домашний. Трубку снимает женщина, но на вопрос, могу ли услышать того самого знакомого, получаю ответ:— Ой, так он же здесь уже пять лет не живет! А кто его спрашивает?
В базе, где были указаны номера и адрес, сведения еще о тысячах белорусов. Информация не новая — на одном из ресурсов сказано, что обновлений не было с 2008 года. Есть не все населенные пункты. Но часть сведений по-прежнему актуальна.
Ашот Оганесян, основатель и технический директор DeviceLock DLP, занимается системами предотвращения утечек корпоративной информации более 20 лет. Говорит, что найти в интернете базы с некогда конфиденциальной информацией легко:
— Попадает в них все, что угодно. От персональных данных граждан — ФИО, паспортные данные, сканы документов, адреса места жительства, электронной почты и тому подобное — до коммерческих секретов компаний. Недавно я публиковал в своем телеграм-канале “Утечки информации” новость про то, что в открытом доступе оказалась база с данными о потребительских кредитах российских банков, в том числе персональные данные более 294 тысяч заемщиков, более 183 тысяч сведений о кредитах — размер, срок и так далее, свыше 246 тысяч фотографий людей, подававших заявки на кредиты.
— Как такая информация попадает в интернет? Хакеры взламывают?
— Это не всегда “взломанные” базы. Могут быть украденные либо по неосторожности оставленные в открытом доступе. Бесплатно обычно находятся те базы, которые “утекли” случайно либо устаревшие.
— Часто ли встречаются белорусские?
— Очень мало. Больше всего по США — данные избирателей, подписчиков различных сервисов и сайтов услуг, а также по Китаю, Индии, России.
Эксперт сбрасывает список того, что удалось найти по Беларуси быстро и бесплатно, — опять же, телефонные номера, сведения о регистрации ИП, справочник юрлиц и некая папка “финансовые данные компаний”, правда, за 2011 год. Все это предлагалось скачать одним архивом. У нас утечки с предприятий не столь распространены, как за рубежом. Громкий случай произошел несколько лет назад с одним из белорусских банков — в сети оказались анкеты нескольких тысяч потенциальных кредитополучателей. В них — паспортные данные, номера телефонов, адреса проживания, суммы заработных плат.
Сколько стоят персональные данные? Захожу на белорусский сайт. Себя позиционируют так: “Мы предлагаем инструмент, который поможет привлечь вам новых клиентов уже сегодня”. Ориентированы на бизнес: оплата по безналу, высылают договор. В ассортименте, к примеру, база электронных адресов физлиц Беларуси (е-mail, имя, возраст, регион) — более 500 000 адресов, “база актуальна на 95%”. Стоимость — 59 рублей. Кроме того, предлагают собрать базы граждан и юрлиц по любым критериям — цена договорная. Среди контактов самой “фирмы” указаны только почта и скайп.
Пишу по электронке — хочу заказать базу физлиц-клиентов двух белорусских банков. Интересуюсь, какие данные смогут собрать, в какие сроки и сколько это будет стоить. Ответа я так и не получила, хотя сайт вроде бы “живой”: написано, что цены обновлялись в феврале и актуальны до конца марта.
На теневых ресурсах и кардерских форумах ситуация иная. К продаже предлагают более ценный товар: сканы документов, фотографии человека с паспортом в руках, реквизиты карт.
Изучаю объявления: выясняется, что часть продавцов заблокирована из-за нелестных отзывов покупателей. “Перевел деньги — ответа нет. Продавец мошенник”. “Прислал фото гражданина не той страны”. “Продает отрисовки!” — речь идет о том, что скан документа ненастоящий.
Все же нахожу объявление с хорошими отзывами. Предлагаются сканы паспортов — документы со всего мира. Стоимость — от 1 до 5 долларов за штуку, зависит от страны и типа документа. Оформить заказ можно сразу через виртуального консультанта. Интересуюсь, можно ли купить белорусский скан. Ответ приходит моментально: 2 доллара, оплата в биткоинах, через “Яндекс.Деньги” или Qiwi. Белорусский скан с пропиской продать сможет через час.
Соглашаюсь и перевожу деньги. Продавец кидает ссылку на файлообменик. Скачиваю архив и… действительно получаю сканы белорусского паспорта.
Девушка, 29 лет. Паспорт выдан в 2014 году. Последние три страницы, страницы со штампом о заключении брака и регистрацией. Начинаю поиски: действительно ли такой человек существует? Но никакого “цифрового следа” от нее найти не удалось. Паспорт слили в сеть через месяц после регистрации брака. Может, сменила фамилию и документ? Но по фамилии мужа тоже ничего. Закрадываются подозрения, что мне прислали подделку.
Чтобы убедиться, заказываю еще один документ. Попутно интересуюсь, много ли таких у продавца. В ответ:
— Много.
Знают ли владельцы, что паспорт засвечен? Продавец заверяет, что нет. Получаю новую ссылку. Снова приступаю к поискам. И на этот раз результат неутешительный. В соцсетях женщины нет. Но человек с таким ФИО был некогда зарегистрирован как ИП. Регион проживания совпадает. А недавно женщина принимала участие в рекламной игре крупного ритейлера.
Обработают в лучшем виде
На вопрос, как нужно хранить персональные данные, чтобы они ни к кому не попали, заведующий кафедрой защиты информации БГУИР, профессор Тимофей Борботько дает емкий ответ — никому их не передавать. Сам он поступает именно так:— Люди поразительно легко делятся личной информацией. Не чувствуют угрозы. Подойди к человеку на улице и попроси его назвать имя-фамилию, дать фотографию, он возмутится. Но в интернете те же самые сведения передает легко — откройте любую соцсеть.
В прошлом году у нас было зарегистрировано 3,6 тысячи киберхищений. В ряде случаев воры были далеко не компьютерными гениями.
Сейчас, например, в тренде вишинг, когда злоумышленники с помощью специального ПО имитируют звонок с номера банка, который выпустил карточку жертвы, или со скрытого номера. Руководитель отдела по раскрытию преступлений в сфере высоких технологий УВД Брестского облисполкома подполковник милиции Андрей Ракоть описывает случай, произошедший в Кобрине:
— От имени службы безопасности Национального банка позвонили пенсионерке и, мотивируя тем, что нужно проверить соответствие реквизитов карточки, что находятся у нее и что находятся в банке, предложили продиктовать данные. Бдительная пенсионерка поинтересовалась, почему звонок идет со скрытого номера. Злоумышленники ответили: “Мы же служба безопасности — так надо”. Этого оказалось достаточно. Женщина продиктовала сведения, и все деньги с ее карты были выведены.
Еще как пример — фишинг. Злоумышленники создают сайт-копию, допустим, страницы банка. Человеку предлагается заполнить поля — логин, пароль или непосредственно реквизиты карты. Но сведения отправляются не в финучреждение, а злоумышленникам. Министерство информации в этом году заблокировало несколько подобных сайтов-подделок.
Такие истории быстро получают огласку. Последствия для жертвы наступают сразу. Другое дело — когда речь идет об отправленных неведомо кому документах. Вроде как ничего не происходит. Но нужно понимать — выманивают такие сведения не просто так.
— Все наши личные данные можно использовать, — объясняет Андрей Ракоть. — Например, для открытия электронных кошельков. В теории можно оформить на человека покупку в кредит: сейчас в интернет-магазинах появляется возможность сделать это дистанционно. Достаточно отправить фото паспорта и привязать номер телефона. Но таких случаев у нас пока не было.
Еще как вариант — регистрация в букмекерских конторах и онлайн-казино. Это один из самых популярных запросов от покупателей сканов на теневых форумах.
В свою очередь выманивание персональной информации строится на одних и тех же принципах. Меняются детали. В случае Александра — выгодная покупка. Такую схему используют часто: “продают” квартиры, дорогие ноутбуки по бросовым ценами. Но после того как жертва отсылает для гарантии документы — продавца и след простыл.
Еще одна схема — предложения трудоустройства. В частности, за границей, объясняет Андрей Ракоть:
— В соцсетях есть группы по трудоустройству за рубежом. Было пару обращений, когда человек фактически предоставляет все свои личные данные — биографию, послужной список, фото трудовой книжки, страницы паспорта. А его потом кормят завтраками — мол, ваша кандидатура внесена в базу, ждите. Некоторые за услуги еще и деньги берут.
Работает схема и в случае “нигерийских писем”, и “победителей розыгрыша”. Мол, чтобы получить денежный перевод или ценный приз, нужно установить личность. Люди шлют фото с паспортом или сканы. Тем временем отправка таких документов даже знакомым, допустим, в соцсетях, большой риск.
Адвокат Сергей Зикрацкий говорит, что по закону сбор, обработка и хранение персональных данных физического лица, а также пользование такими данными осуществляются только с письменного согласия данного физического лица:
— За нарушение этой нормы, например, за сбор персональных данных без письменного согласия, или за распространение персональных данных без согласия владельца предусмотрена административная ответственность — штраф от 4 до 20 базовых величин (сейчас это от 102 до 255 рублей). В таких случаях необходимо в первую очередь обращаться в милицию, поскольку органы внутренних дел наделены полномочиями по составлению протоколов по данным делам. Также рекомендую обращаться и напрямую к нарушителю — например, к владельцу площадки в интернете, на которой “продаются” паспортные данные.
Тем не менее, констатирует адвокат, гарантировать эффективность таких обращений нельзя:
— Незаконная деятельность в интернете не всегда оперативно пресекается, и нарушители далеко не всегда привлекаются к ответственности. Однако факт обращения в правоохранительные органы и к нарушителю поможет в будущем защитить права владельца паспорта в том случае, если его данные будут незаконно использованы третьими лицами.
Продолжения не следует
Выйти на женщину, чей скан паспорта мне продали, не удалось. Но нашла ее родственника. Написала о случившемся. Первая реакция — недоверие:— Заявление слишком громкое, нужны доказательства.
Началась та самая игра в гарантии: мне ведь тоже нужны доказательства. Впрочем, здесь удалось убедиться в честности друг друга без очередной партии обмена документами. Когда стало ясно, что сведения в скане — подлинные, шок и растерянность — и у меня, и у собеседника. Главное сейчас — понять, как исправить ситуацию.
На каждое действие должно быть противодействие. Только так можно установить баланс. И если данные легко и просто утекают в сеть, должен быть способ защититься от последствий и привлечь виновных к ответственности. Вот только как это сделать — большой вопрос.
Двойник поневоле
Об этой истории в конце прошлого года написали многие СМИ. Жителю Орши Александру Литвинову пришло постановление из российского суда. Из документа следовало, что мужчина отбывал наказание в тамбовской колонии. Хотя на самом деле все это время он спокойно жил и работал в Беларуси.“Двойника” осудили 28 февраля 2018 года, назначили год лишения свободы. Посадили за кражу, совершенную с причинением значительного ущерба, и, что особенно интересно, “похищение или повреждение документов, штампов, печатей либо похищение акцизных марок, специальных марок или знаков соответствия”.
Настоящий Александр, узнав о происходящем, сразу проверил: в Беларуси он судимым не числится. А вот в Россию мужчина выезжать опасается, пришлось даже отказаться от работы в Смоленске. Кто может скрываться под его именем и как к преступнику попали данные, Александр не знает, хотя догадки есть. За помощью оршанец обратился в Генеральную прокуратуру Беларуси. В конце ноября оттуда отправили его заявление в Генпрокуратуру России “по вопросу возможного неправомерного использования его персональных данных”.
Корреспондент “НГ” связалась с героем этой истории. Александр говорит, что пока так и не выяснил, как такое случилось:
— Наша прокуратура сделала все, что могла. Сейчас поддерживаю связь с российскими ведомствами. Пока полтора месяца затишье, но дело движется. Как понимаю, сейчас с ситуацией разбираются в суде, где был вынесен приговор. Хотелось бы, конечно, чтобы все это поскорее закончилось.
ТОП-3 ГРОМКИХ УТЕЧЕК
• “Засвеченные” туристы. Осенью прошлого года хакеры похитили данные 383 млн клиентов сети отелей Marriot. Злоумышленники получили доступ к именам, адресам, датам рождения, номерам телефонов, адресам электронной почты, паспортным данным, деталям бронирования. В некоторых случаях — данным платежных карт. Сейчас в компании оценивают ущерб от произошедшего в 28 млн долларов. Порядка 25 млн долларов покрыли страховые выплаты.
• Поразили масштабом. В 2013 году хакеры получили доступ к 3 млрд аккаунтов Yahoo! — имена, даты рождения, телефоны, адреса электронной почты, а также вопросы и ответы для восстановления пароля. Осенью прошлого года компания согласилась заплатить 50 млн долларов компенсации пострадавшим от утечки: например, если у пользователя похитили персональные данные или человек столкнулся с финансовыми трудностями.
• Шантаж без стеснения. Несколько лет назад взлому подвергся сайт для взрослых Adult FriendFinder: в сеть попали фотографии и информация о сексуальных предпочтениях 3,9 миллиона пользователей. Киберпреступники почти сразу начали использовать украденные данные для шантажа.
ЗАКОН НА ПОДХОДЕ
В Палату представителей планируется внести на рассмотрение проект закона “О персональных данных”. Сейчас сфера персональных данных у нас регулируется несколькими правовыми актами, отдельный документ в стране появится впервые. Проект закона предусматривает дополнительные гарантии от произвольного и бесконтрольного сбора, хранения, использования, иной обработки, распространения и предоставления персональных данных граждан. Адвокат Александр Корсак говорит, что документ соответствует вызовам времени и общемировым тенденциям:
— Важно, что в одном правовом акте будут четко определены и закреплены виды персональных данных, права и обязанности субъекта данных и оператора, то есть того, кто эти данные собирает и обрабатывает. После принятия закона у всех нас будет очень сильный инструмент защиты наших прав, связанных с персональной информацией.
gavrusheva@sb.by
