Беззащитные данные: как крадут личную информацию в Приморье
Персональные данные жителей Приморья воруют не крутые хакеры, а обычные клерки, а чаще люди добровольно отдают информацию о себе в руки злоумышленников.
РИА Новости, Илья Горбунов. Банковские урны и обиженные сотрудники — именно через них чаще всего "утекают" персональные данные в Приморье. К Международному дню защиты информации корреспондент РИА Новости узнал, как крадут личную информацию жителей края, чтобы заработать на этом.
Американская Ассоциация компьютерного оборудования в 1988 году объявила 30 ноября Международным днем защиты информации. Его цель — напомнить пользователям о необходимости защиты своих компьютеров и всей информации в них. При этом в дальнейшем понятие личной информации было расширено и стало касаться и просто персональных данных.
Госразгильдяйство
Рабочий компьютер пискнул, извещая об очередном письме. При проверке оно оказалось спамом от одной из кредитных фирм Приморья. И я бы по обыкновению, не задумываясь, удалил бы его, если бы не мои же паспортные данные на шаблоне анкеты, которые тут же бросились в глаза. Пускай и не полные, но при том все же совпадающие с цифрами из реального документа, лежащего в моем кармане.
Письмо я стер, но в ответ написал все, что думаю о таких акциях и использовании моих данных. Никто, конечно, не ответил, но сам случай заставил задуматься о том, насколько защищена у нас персональная информация. Особенно та, которая может стать орудием в руках мошенников: паспортные данные, номер ИНН и сотового телефона.
Пенсионный фонд во Владивостоке разглашал личные данные людей
Вспомнился случай, который совсем недавно произошел в управлении пенсионного фонда Первомайского района Владивостока. Тогда прокуратура установила, что на столах для заполнения бумаг лежали анкеты реальных застрахованных лиц, которые использовались как образцы. При этом в них было немало персональных данных конкретных людей, и воспользоваться ими мог любой.
Этот случай может быть скорее примером разгильдяйства, нежели злого умысла, однако он наглядно показывает, как низко ценится у госорганизаций личная информация их клиентов. Бумагу с вашими паспортными данными могут подложить под качающийся стул или разорвать на заметки. В свое время в уборной почтамта я лично видел списки адресов для рассылки писем, которые использовались как туалетная бумага.
Впрочем, как рассказывают специалисты по информационной безопасности, такая проблема есть не только у государственных структур. Я встретился с одним из "спецов" по защите данных, который работает на крупный приморский банк. Угостив Алексея кофе, я решил выпытать у него, как персональные данные становятся общественными.
Информативные мусорки
"Знаете, какой прибор лучше всего помогает защитить персональную информацию клиента банка? Бумагоуничтожитель. Если он есть в вашем офисе и ваши сотрудники умеют им пользоваться, то считайте, что на 50% эти данные защищены", — заявил Алексей, едва услышав вопрос.
Он с ходу отмел мои предположения о вине в утечках крутых хакеров и шпионских программ. По его словам, такие случаи действительно бывают, но их процент слишком мал. А вот число нелегальных операций, совершенных при помощи бумаг, украденных из обычных банковских урн, огромно.
"Не буду врать, но, кажется, сейчас в большинстве банков ненужные бумаги, а точнее, их обрезки, увозят инкассаторы. Потому что от человека, знающего, что нужно искать, даже нарезка на мелкие кусочки не спасет. И, поверьте, таких людей немало. А ведь многие из сотрудников даже не заморачиваются уничтожением в шредере анкет клиентов, просто не считают нужным", — рассказал специалист.
По его словам, нередки истории, когда в вещах увольняемых сотрудников банков находили сотни листов с анкетами. Что они собирались с ними делать, непонятно, но с собой забрать решили. Еще слабее, оказывается, работа по защите персональных данных у небольших кредитных точек в супермаркетах или на улице.
"Вы получаете кредит на микроволновку в магазине электроники. Могу поспорить, что вашу анкету просто положат в ящик, который даже не закрывается на ключ. Как думаете, сложно ли их оттуда взять и скопировать, пока менеджер курит?" — задает риторический вопрос Алексей.
Подтвердил его слова и бывший сотрудник спецслужб, а ныне эксперт-аналитик по вопросам национальной безопасности Александр Тимофеев. Он в свое время написал не один материал о промышленном шпионаже и не понаслышке знает, как уходят персональные данные клиентов "в народ" через те же самые мусорки.
"У китайских разведчиков был даже такой интересный фокус. Они заходили в учреждения, чтобы вроде как оформить нужные им документы, а на ботинок крепили жвачку. И как бы случайно наступали в мусорку. Звучит смешно, а ведь такие действия приносили очень хороший результат", — вспомнил интересный факт аналитик.
Человеческий фактор
Впрочем, не все желающие получить персональную информацию граждан лазят по мусорным корзинам. Есть способы почище, но и подороже. Речь идет об электронных базах данных.
"Даже если вы идеально защитите свой офис от любых посягательств снаружи, всегда найдется лазейка: ваши собственные сотрудники. Об этом очень часто забывают работодатели, а потом информация об их клиентах оказывается в чужих руках. И защититься почти невозможно, ведь нельзя предсказать поведение человека", — объяснил Тимофеев.
Он рассказал, что зачастую многие сотрудники фирм и госпредприятий, имеющие доступ к различным базам данных, пытаются их скопировать, так сказать, "для себя". Потом их увольняют, а базы расходятся по просторам интернета. Причем не только банковские или страховые, но и ведомственные.
"Человек всегда непредсказуем. Пускай он вначале перенес ее на свой компьютер просто чтобы работать из дома. Но потом деньги понадобились, или друзья попросили. И вот базу уже можно найти на торренте или купить в социальной сети. Главное, что никаких хакерских штучек тут нет. Только человеческая жадность и любопытство", — рассмеялся эксперт.
Не хакеры, но мошенники
А как же люди, которых очень часто показывают в кино? Прыщавые юнцы, с легкостью взламывающие сайты Пентагона и выкачивающие телефонные контакты со смартфонов при помощи жутких компьютерных вирусов? Специалист-фрилансер по компьютерной безопасности Игорь Мартынов утверждает, что такое под силу только героям голливудских блокбастеров, но никак не реальным кибер-преступникам.
"Вы представляете, сколько труда стоит проникнуть на один обычный компьютер, чтобы завладеть информацией, хранящейся в нем? И зачем? Столько сил ради одного пользователя никто тратить не будет. Ну, только если он не миллиардер, который по дурости хранит ключ ко всем деньгам на своем ноутбуке. Но даже в этом случае компьютер проще похитить, да и киллера легче найти, чем хакера", — ответил с хохотом на мой вопрос Игорь.
Отсмеявшись, он рассказал, что в Приморье специалистов такого уровня, скорее всего, просто нет, да они и не нужны. Не было за всю историю края и массовых кибер-атак. Но это не означает, что пользователи могут быть спокойны. "Разводят" на паспортные данные или номера мобильных телефонов приморцев регулярно, просто делают это не хакеры.
"Существует много сайтов, на которых вы в процессе регистрации должны написать свой номер мобильного телефона. Каждый раз, когда вы его вводите, он сохраняется где-нибудь на сервере, и хозяева сайта могут его использовать как хотят. Причем вы сами отдаете его им", — поделился информацией специалист.
По его словам, еще серьезнее дела обстоят с интернет-банками, предлагающими кредиты. У них на страницах люди оставляют все свои персональные данные, включая ИНН, и даже подписывают разрешение на их использование. Куда потом уйдут эти данные, банк обычно не объясняет. И есть вероятность, что попадут они не только в службу кредитных отношений, но и к людям, мало связанным с выдачей денег.
200 тысяч за базу
Слова моих собеседников мог подтвердить или опровергнуть только один человек — тот, для кого создание и продажа таких баз — обычная работа.
О встрече с Владимиром я договаривался в течение нескольких дней, используя свои связи среди продавцов компьютерного софта и пиратских дисков, знакомства друзей и родных. Он согласился встретиться со мной, предупредив, что "товара" с ним не будет, даже если я очень попрошу.
Однако продавец продемонстрировал мне его возможности, перечислив все мобильные номера, которые я использовал с университета, включая московские и петербургские, а также сказав, сколько раз меня штрафовали за плохую езду на мопеде и неправильный переход улицы. Это было эффектно и развеяло мои сомнения в том, что он тот, кто мне нужен.
На мой вопрос, где он получает свои данные, вначале был лишь короткий ответ: "Люди несут". Но разговорившись, собеседник поделился этой маленькой тайной. Оказалось, что рецепт получения любой информации — деньги и психология.
"Не надо идти к большим начальникам или авторитетным людям, отвечающим за безопасность. Они или не продадут тебе ничего из-за страха потерять должность, либо назовут такую цену, что будет просто невыгодно. Гораздо проще пообещать простому младшему менеджеру или, например, сержанту автоинспекции, сумму в размере двух его зарплат. При должном везении он согласится один раз принести тебе диск с несколькими десятками фамилий", — поделился Владимир.
Ну а дальше, по его словам, все идет уже "по накатанной". Если человек хоть раз продал базу данных, даже пусть и маленькую ее часть, то от ушлого покупателя ему уже не отвертеться. Применяются все методы — от повышения гонорара до угроз сдать начальникам.
"Чистая психология. Человек слаб и всегда будет давать тебе сведения, если правильно надавить. А специалисты правильно вам говорили, что компьютерные гении этим не занимаются", — подтвердил слова Мартынова Владимир.
Сам он тоже не сильно похож на компьютерщика. Скорее его можно принять за слесаря или механика. Даже телефон у него самый простой: умеет только звонить и отправлять смс. И этот человек продает базы данных, при помощи которых в пределах Приморья и даже России можно найти кого угодно. Клиентов у него немало.
"Сейчас каждая уважающая фирма хочет иметь средний наборчик баз. Чтобы клиентов искать или о конкурентах все знать. Лучше всего, конечно, идут телефонные справочники всех сотовых операторов и налоговые данные. Паспортную мало кто покупает, только юристы и коллекторы. Так что обычные люди могут быть спокойны", — отметил продавец.
Не покупают такие базы и мошенники. Для них это слишком дорогое удовольствие. Банковская база может стоить от 60 до 200 тысяч рублей. Стоимость телефонной — от 30 тысяч. Ну а самая интересная для предпринимателей — налоговая — обойдется примерно в 140 тысяч.
"Бывают и весьма специфические заказы, вроде базы ФСБ, но я за такие не берусь. Слишком опасно, да и не факт, что получится достать. Там идиотов нет, а за решетку я не спешу", — усмехнулся Владимир.
На мой вопрос о том, как избежать попадания персональной информации в руки таких продавцов, как он, Владимир ответил просто: "Никак".
В суде вам не помогут
Юрист Андрей Беловодский, к которому я обратился за советом, что делать, если твоя личная информация попала не в те руки, тоже не смог меня обнадежить.
"В настоящее время меры ответственности за нарушение закона о защите персональных данных разбросаны по многим разделам законодательства — административному, уголовному, гражданскому, трудовому. Причем ни в одной отрасли они пока не систематизированы должным образом, не выделены в отдельную группу как правонарушения, посягающие на конкретный вид общественных отношений", — рассказал юрист.
По его словам, главное то, что зачастую данные используют именно с вашего согласия. Когда вы оформляете кредит или заполняете анкету на работу, то даете разрешение организации использовать свои личные сведения. Просто в договоре зачастую не указывается, насколько широко может распространяться это разрешение.
"Это фактическое мошенничество, но в рамках закона. Вы поставили галочку в поле "Согласен с использованием моих данных", и все. Дальше вы уже не нужны, и при этом вряд ли что-то сможете сделать", — объяснил Беловодский.
Он уточнил, что согласно российскому законодательству наказывается именно незаконное собирание или распространение сведений о частной жизни лица без его согласия. Если вы согласились, то винить можете только себя. Обращаться в суд фактически бессмысленно, хотя небольшой шанс на выигрыш есть. Но лучше просто внимательно читать соглашения и другие документы, которые подписываешь.
Но предупрежден — значит вооружен. Если верить всем специалистам, то минимизировать угрозу все-таки можно, внимательно читая подписываемые бумаги и не вводя свою личную информацию в анкеты на "левых" сайтах. Но, как доказал мне продавец баз Владимир, рассказав о моих номерах и штрафах, заинтересованного в информации человека это вряд ли остановит.
РИА Новости http://ria.ru/vl/20131130/980773766.html#ixzz2oG2pURcr