Черный рынок, увы, работает
К сожалению, сейчас нередко в СМИ появляются новости о различных утечках персональных данных: это базы ГИБДД и страховых компаний, кредитно-финансовых организаций и медицинских учреждений. В дальнейшем эта информация продается на открытых площадках в Интернете всем желающим.
По данным исследования "Черный рынок баз данных", которое проведено нижегородской компанией - разработчиком систем информационной безопасности в ноябре 2016 года, объем рынка нелегальных баз данных в России - больше 30 миллионов рублей в год. А если перевести на количество записей частных лиц - получается больше 1,2 миллиарда. Представьте: всего за несколько часов поиска в Интернете можно найти базы данных клиентов крупных банков, страховых компаний и онлайн-казино. Как оказалось, на пиратских форумах и торговых площадках особенно распространены данные клиентов финансовых организаций (34 процента), а также заказчиков крупных интернет-магазинов (19), брокеров (18) и операторов связи (6). В выборке обнаружены базы клиентов 18 крупных российских банков - среди них есть представители топ-10 крупнейших российских банков, а также популярных микрофинансовых организаций.
Кто покупает базы данных и зачем?
Информацию о пользователях за сравнительно небольшую сумму - в пределах 15 тысяч рублей - может приобрести каждый.
Александр Суханов, эксперт по информационной безопасности компании, проводившей исследование, условно делит покупателей пиратских баз данных на два типа по методу их последующего использования.
- В первую очередь это спамеры, - говорит он. - Каждый из нас получает сотни SMS и e-mail с предложениями что-то купить или воспользоваться всевозможными услугами, причем на такие рассылки вы не подписывались. Базы данных, содержащие только контактную информацию пользователей, стоят недорого - от 0,2 копейки за запись. Базы собираются с помощью парсинга (сбор и структурирование данных из открытых источников. - Прим. ред.), либо из компаний, оказывающих услуги, сотрудники которых не сильно заботятся о защите информации. К таковым относятся, например, спортклубы, SPA-салоны.
Если от спама можно отмахнуться как от надоедливой мухи, то от финансовых проблем, внезапно свалившихся на вашу голову, просто так не отделаешься. Между тем именно такими последствиями может обернуться утечка персональных данных в нечистоплотные руки.
- В то же время на черном рынке продаются и другие базы данных, - продолжает Александр Суханов. - Их немного - всего 8 процентов, - но как раз они содержат информацию, которая благодаря злоумышленникам может принести человеку значительный ущерб - как финансовый, так и репутационный. К ним относятся паспортные данные, кредитная история, информация о банковских счетах и картах, налогах и штрафах, данные медицинских обследований. Обладая такой базой, можно оформить кредит на чужой паспорт, шантажировать человека разглашением его конфиденциальной информации, совершать целенаправленные кражи, с помощью социальной инженерии обманными действиями заставить человека перевести деньги на счета мошенников.
По словам Суханова, базы этой категории стоят значительно дороже - 8 процентов общего пиратского объема тянут на 70 процентов суммарной стоимости всего оборота черного рынка баз данных в России.
Пиратская игра стоит свеч: такая запись в украденной базе может с высокой вероятностью повлечь за собой тяжелые негативные последствия - например, использоваться для подделки кредитных договоров, махинаций с недвижимостью, банковских мошенничеств. Еще один вариант развития событий - оформление кредитов на паспортные данные пользователей банковских услуг и перепродажа базы коллекторам. В продаваемой базе можно найти полные контактные данные лица, с его паспортными данными, текущим местом проживания, выпиской по банковским счетам и перечислением имущества, информацией о налогах и штрафах.
Как не стать жертвой?
Защититься от попадания в спам-рассылки можно, соблюдая "информационную гигиену". Специалисты советуют не оставлять свои личные данные в соцсетях, купонаторах (сайты, предлагающие приобрести товары и услуги со значительными скидками. - Прим. ред.). Следует с осторожностью относиться и к всевозможным заманчивым акциям от магазинов, салонов красоты и прочих сервисных компаний.
Для всего этого можно завести вторую сим-карту с отключенными входящими сообщениями, а также вторую почту, к которой не привязаны никакие аккаунты.
Повлиять на безопасность личных данных, которые мы передаем в финансово-кредитные и другие серьезные организации, не в наших силах. Конечно, их защищают, но утечки все равно происходят - информацию крадут в основном сотрудники с целью наживы. Эти же организации в итоге и несут ответственность за хищение баз данных своих клиентов, так как это - прямое нарушение ФЗ-152 "О персональных данных". Но часто и сами компании узнают об инцидентах спустя годы.
В поисках справедливости отдельные пользователи, оказавшиеся в положении жертвы мошенничества, могут обратиться в суд с целью компенсации вреда, причиненного в результате компрометации информации. Но для этого нужно суметь доказать, что данные утекли именно из этой компании, а не были переданы добровольно или получены иным путем. А это не так просто.
Поэтому доверять свои данные следует только надежным компаниям. А при общении с незнакомыми людьми по E-mail , телефону и другим средствам связи не нужно терять бдительность.
Между тем
Подросток из Вуктыла (Республика Коми) взломал чужую страницу в социальной сети "ВКонтакте" и похитил денежные средства жительницы Тюменской области, которая занимается продажей детских товаров в Интернете. Как сообщает официальный сайт прокуратуры Республики Коми, следствием установлено следующее. Молодой человек, обладая достаточными познаниями в области компьютерной техники, изменил информацию страницы, добавив в личные данные пользователя номер лицевого счета своей банковской карты. Затем вступил от имени владелицы аккаунта в переписку с потенциальной покупательницей. В качестве оплаты за заказанный товар ничего не подозревавшая женщина перевела на банковскую карту жителя Вуктыла необходимую сумму.
В итоге юного хакера "вычислили" сотрудники правоохранительных органов. Подростку предъявили обвинение в совершении преступлений, предусмотренных частью 1 статьи 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) и частью 1 статьи 159 УК РФ (мошенничество). Вину в инкриминируемых деяниях молодой человек признал в полном объеме. Учитывая это обстоятельство, а также возраст обвиняемого, Вуктыльский городской суд приговорил подростка к штрафу. "Как правило, в отношении несовершеннолетних именно такой вид наказания применяется за подобные преступления", - пояснили в прокуратуре.