You’ve been stolen! Кража личности от Исава до «ВКонтакте» — и как ее избежать
Человек, живущий под чужим именем, — образ, знакомый нам по многочисленным книгам, фильмам и компьютерным играм. Но и в непридуманной реальности с каждым годом точно так же поступает все больше людей, выдавая себя за кого-то еще в интернете. Уже сейчас число взломанных аккаунтов перевалило за отметку 5 млрд, из них больше 200 млн — пользователи из России, Беларуси и Украины. Попытаемся понять, кто и зачем крадет чужие данные и как не стать жертвой мошенников.
С Якова на всякого
Термин «кража личности» (identity theft) впервые появился в печати в 1964 году. В англоязычном пространстве это словосочетание стало особенно активно использоваться в середине 90-х в связи с быстрым ростом рынка удаленных услуг (оформление банковских карт, получение кредитов) и распространением интернета в США.
Но кража личности — явление не новое. Первый «зарегистрированный» случай — библейское предание об Исаве и Иакове.
У Исаака было два сына. Старший — Исав — имел право первородства, а потому пользовался особым почетом перед Богом. В конце жизни Исаак ослеп и был готов благословить первенство Исава, если тот угостит его любимым блюдом. Тогда младший сын с матерью обманывают главу семейства: готовят кушанье сами, после чего Иаков одевается как Исав и получает заветное благословение.
Подделка источников с целью выдать себя за другого практиковалась и после. С III по VII век выходили послания, авторство которых лживо приписывали Клементу, одному из семидесяти учеников Христа, а в VII столетии — сборник постановлений, якобы принадлежащих перу Исидора Севильского — крупнейшего богослова той эпохи. Известное как «Дар Константина» поддельное завещание императора Константина Великого, в IV веке провозгласившего христианство официальной религией Римской империи, сыграло важную роль в истории Европы и России.
Исследователи утверждают, что такого рода фейковые труды и документы писали и тиражировали, чтобы обосновать ту или иную доктрину в рамках христианской церкви.
Уже в XIII веке в Европе могли сжечь за подделку бумаг — следовательно, явление было распространенным. Судебное разбирательство в таких случаях вели трибуналы инквизиции.
В Новое время в России поддельных людей больше всего было в эпоху Смуты. После смерти Федора Ивановича, последнего правителя из рода Рюриковичей, царский трон остался вакантным. С 1605 по 1608 год 17 человек выдавали себя за потомков Ивана Грозного, а Лжедмитрий I и Лжедмитрий II даже занимали престол. Общий срок их правления составил около двух лет. Все, что понадобилось для успешного обмана, — знание (не обязательно во всех подробностях) биографии своих «родственников» и в некоторых случаях поддержка местных или зарубежных элит.
На заре истории США подкупленные избирательные комиссии вписывали умерших и никогда не живших людей в бюллетени, после чего вбрасывали их в корзины для голосования. Гангстеры Дикого Запада убивали путников, чтобы завладеть их одеждой, удостоверяющими личность бумагами и выдать себя за них.
Мафия в США устраняла свидетелей, крала их документы и гримировала «своих» людей. Они шли на суд и отказывались от показаний. Это подтолкнуло власти к созданию «Программы защиты свидетелей».
С появлением кредитных карт в конце 50-х кража персональных данных стала обычным делом. Схема выглядела так: мошенники звонили по телефону в разные квартиры и говорили хозяевам, что они выиграли крупный приз. Нужно было лишь сообщить все свои личные данные — номера кредитки, страхового полиса, паспорта и других документов. Это позволяло ворам получить доступ к кредитной карте человека и брать деньги от его имени. После того как телефонным мошенникам перестали верить, они начали изучать помойки: именно там можно было найти чеки с выбитой на них личной информацией. К концу 60-х такой вид мошенничества сошел на нет.
Новая волна краж персональных данных началась в 80-е. Власти США приняли закон, который обязывал работодателей проверять документы своих сотрудников. Это вынудило нелегальных мигрантов искать себе поддельные удостоверения, справки и т. д. — в основном они использовали бумаги уже умерших людей.
В России жили по подложным документам Герцен, Троцкий, Ленин, Сталин и другие революционеры, от народников до анархистов, вплоть до Февральской революции, а уже после нее — противники советской власти и аферисты всех мастей.
В 1937 году бежавший из ГУЛАГа Владимир Голубенко похитил паспорт на имя Валентина Пургина. О настоящем владельце документа ничего не известно, зато проходимец, выдававший себя за него, умудрился по липовым удостоверениям устроиться в «Комсомольскую правду». Он быстро продвигался по карьерной лестнице, к 1939-му стал заместителем начальника военного отдела. Потом Пургин-Голубенко присвоил себе ордена Ленина и Красной Звезды, последовательно подделывая рапорты о собственных свершениях. Апофеозом истории стали подложные бумаги о подвигах в Советско-финской войне и получение звания Героя Советского Союза в апреле 1940-го. Через три месяца его разоблачили, а еще через три — расстреляли.
Кажется, что кража личности — трюк из докомпьютерных времен, но это не так. Интересный случай произошел пять лет назад: 53-летний американец Дэвид Гилмор выдал себя за гитариста Pink Floyd, не будучи ни капельки похожим на своего звездного тезку, и его бесплатно вылечили на 100 000 долларов. Придя в больницу, он заявил, что группа сейчас на гастролях в США и артисты не успели сделать страховку. Пройдоха много знал о Pink Floyd и Великобритании. Растроганная администрация клиники согласилась лечить его бесплатно, а тот не скупился на автографы и не отказывал врачам в совместных фото. Гилмор с персоналом даже составили график «гастролей», чтобы закончить курс.
После его ухода заподозрили неладное: странно, что у гитариста легендарной группы, продавшей четверть миллиарда альбомов, нет денег на то, чтобы оплатить услуги медиков, и международной страховки, правда? Гилмора сгубила наглость: через четыре дня он вернулся, чтобы «долечиться», и был арестован.
Кража личности — основа сюжета многих голливудских фильмов, таких как «Без лица» Ву, «Сеть» Уинклера, «Элизиум» Бломкампа, «Неизвестный» Серра и «Профессия: репортер» Антониони.
Как украсть личность
«Кражей личности» называют любое использование чужой персональной информации для получения выгоды. Русский перевод неточно отражает суть явления: на деле чью-либо «личность» умыкнуть невозможно. Злоумышленники воруют персональные данные, слепок уникальных сведений о человеке: Ф.И.О., документы, номер кредитной карты и счета в банке, профессия, зарплата, место работы, пароли и логины учетных записей, область интересов и т. д. То есть любую информацию, принадлежащую только владельцу, которой он не хотел делиться.
К подделыванию личности прибегают в разных целях: кража паролей и учетных данных, получение финансовой информации и материальных ценностей, — а зачастую — просто ради развлечения. Добытые незаконным путем сведения продают; имея пароль, взламывают аккаунты человека в других сервисах и т. д.
Насколько распространено это явление? В самой большой базе взломанных аккаунтов — Have I Been Pwned — таковых числится свыше 5 млрд.
В СНГ официальной статистики не ведется, но в базе Gotcha.pw, в которой опубликован список взломанных email’ов из разных стран, — 48 млн аккаунтов в зоне .ru, 5,5 млн — в зоне .ua и более 1 млн — в зоне .by.
В США, согласно исследованию компании New Javelin Strategy & Research, в прошлом году жертвами кражи личности стали 16,7 млн американцев, то есть каждый двадцатый житель страны.
Потери от мошенничества с персональными данными в США за год составили 16,8 млрд долларов — столько стоят «Яндекс» и Mail.ru вместе взятые, а Банк ВТБ на 2 млрд «дешевле».
По Европе такой статистики нет, но, согласно опросам Еврокомиссии, 8 % жителей ЕС заявили, что стали жертвами махинаций с их персональными данными в 2017 году. Больше остальных пострадали поляки и австрийцы — 12 % населения, меньше всех — греки, 3 %. Вообще же такие преступления совершались в отношении более чем 50 % пользователей интернета в Австрии, Нидерландах, Швеции, Франции и Великобритании. При этом 30 % юзеров региона ничего не знают о краже личности.
Руководители 69 % европейских компаний не понимают, как можно украсть и использовать имя их бренда и как защититься от такого «воровства», а 60 % крупных корпораций никогда не рассчитывали риски от кибератак, хотя злоумышленники всё чаще прибегают к этому виду мошенничества.
Расщепляем сознание
Сложно ли украсть чужое «я» и что за это будет?
Имена героев изменены.
Первый вариант — купить уже взломанную страницу другого человека. Вбиваем в поисковик «магазин аккаунтов соцсети» — и получаем сотни ссылок на торговые площадки. В инстаграме и вконтакте они стоят копейки — от 15 рублей за штуку.
Ради эксперимента покупаем два аккаунта: один — с количеством друзей более 1000, а второй — принадлежащий редактору группы с 20 000+ подписчиков. Каждый обходится в 30 рублей.
Первый — Петр. Он женат, играет в американский футбол и любит шуточки из интернета. Администрирует много маленьких групп, у него 1415 друзей. Что мог бы сделать с этим мошенник? Например, дождаться, пока Петр ляжет спать, быстро поменять пароль и организовать рассылку по всем друзьям с просьбой срочно перевести деньги на чужой счет (наказание: до 4 лет тюрьмы и штраф в размере до 36 месячных зарплат). Или зайти в его переписку, поискать там компромат и шантажировать Петра (наказание: до 4 лет тюрьмы и штраф в размере до 36 месячных зарплат по самой «легкой» части статьи). Или украсть личные фото и использовать его идентичность (наказание: до 2 лет тюрьмы и штраф до 18 месячных зарплат при условии, что со страницей не будет сделано ничего, что отягощает вину).
Второй — Игорь. Он редактирует группу, в которой 50 000 подписчиков. Злоумышленники могли бы публиковать записи от имени сообщества (наказание: до 2 лет тюрьмы и штраф до 18 месячных зарплат). Или попробовать уговорить администратора паблика наделить аналогичными полномочиями их самих — и перепродать аккаунт, который в этом случае будет стоить уже на порядок дороже. Или сделать рассылку от имени группы разным пользователям, приглашать их в другое сообщество, подсовывать им фишинговые ссылки, просить денег (наказание: в обоих случаях — до 4 лет тюрьмы и штраф в размере до 36 месячных зарплат). Или опять же попытаться найти компромат в переписке и заняться шантажом.
Обоим героям сообщаем о взломе аккаунтов, просим поменять пароли и проводим краткий ликбез на тему «Безопасность в интернете».
Второй вариант — самому украсть чужие данные.
Заходим в социальную сеть «ВКонтакте». В поиске по документам вбиваем «паспорт jpg». О чудо — мы нашли сотни отсканированных документов со всего СНГ.
Выбираем один из них — на имя Людмилы Василевской, 24-летней девушки. У нас есть паспорт, а значит, нам известны город, в котором она живет, и дата рождения. Вводим ее имя и фамилию в поиск по людям — и сразу находим Людмилу. На странице нет информации о месте работы и учебы, в других социальных сетях такой человек не зарегистрирован.
В паспорте указано место рождения — ищем друзей в этом городе. Все они учились в одной и той же школе — вероятно, там же, где и Люда. Просматриваем страницу — по фото понимаем, что она продавец в магазине сумок в родном городе. Узнаем адрес ее работы. У девушки есть мама и брат, она их очень любит и живет с семьей.
Людмила активно ищет спутника жизни и обожает цветы. Домашних животных у нее нет. Зная, где и кем работает девушка, исходим из того, что она вряд ли получает в магазине больше 15 000 рублей. Семья у нее небогатая: все фото сделаны на недорогой смартфон, у Люды нет личного авто, и она не выезжает за границу. Наша «жертва» постоянно пишет о том, что делала и как живет.
За час мы узнали довольно много, и у нас есть скан паспорта Людмилы. Как могли бы все это использовать «рыцари наживы»?
Прежде всего, полностью клонировать страницу, создать ее «дубликат» в других социальных сетях. После этого ищутся наиболее активные ВК-друзья Люды (которые лайкали ее посты в течение года) из других городов. Аферист может с ними флиртовать, а потом попытаться выманить у особо доверчивых деньги под разными предлогами. Например, сказать, что не хватает на билет или новое красивое платье. Эти люди друг с другом незнакомы, и обменяться информацией между собой у них вряд ли получится. Даже если мошенников разоблачат, только за то, что они общались с кем-то не от своего имени, им ничего не будет (наказание: если выманить деньги все же удалось, то до 4 лет тюрьмы и штраф до 36 зарплат; если нет — «скромные» 2 года заключения и штраф до 12 зарплат).
Второй вариант — искать и добавлять в другой социальной сети всех друзей из ВК без разбора. В этом случае самая простая схема — рассылка фишинговых линков с целью узнать их логин и пароль. Пример такого письма: «Привет, это Люда [фишинговая ссылка на страницу]! Теперь я есть в Facebook, давай дружить». Но на самом деле пользователь переходит на сайт мошенников, оформленный один в один как FB. Ничего не подозревая, вы вводите на этом псевдофейсбуке свои логин и пароль — то есть фактически сообщаете их злоумышленникам (наказание: если данные были перепроданы, то до 4 лет тюрьмы и штраф в размере 36 зарплат).
Клон страницы, однако, можно создать и здесь же, в ВК, — и под видом знакомств для поиска партнера заниматься мошенничеством.
Спектр широчайший — от просьб «закинуть на телефон» до шантажа и махинаций с кредитными картами. И главное: знания о Люде помогут злоумышленнику создать правдоподобную легенду — «скопировать» живого человека намного проще, чем изваять личность «из ничего».
А можно создать страницу состоятельного парня, который интересуется Людой. Информации о жертве вполне достаточно, чтобы ею манипулировать. После того как преступник войдет к Людмиле в доверие, он может пытаться выманивать у нее деньги — например, на то, чтобы приехать к своей «пассии» (наказание: если проделка удалась, то до 4 лет тюрьмы и штраф до 36 зарплат, если нет — 2 года за решеткой и штраф до 12 зарплат).
Третий путь — создавать учетные записи на имя Люды. Подтверждать ее паспортом разные страницы в социальных сетях или интернет-магазинах, а также платежных системах, после чего либо перепродавать их, либо использовать для мошенничества. Цена хорошо раскрученного верифицированного ВК- или инстаграм-аккаунта — от 5000 рублей, кошельков «Яндекс.Деньги» и WebMoney — от 1500 рублей. Подтвержденные учетные записи не заблокируют, даже если входить в них из сети TOR или VPN (наказание: 4 года тюрьмы и штраф до 36 зарплат или, если повезет, до 2 лет исправительных работ и штраф в размере до 12 зарплат).
Четвертый способ — махинации с паспортными данными. Мошенники могут найти в интернете сообщников — и оформить на Людмилу недвижимость, автомобиль или сим-карту; регистрироваться под ее именем в кредитных учреждениях, букмекерских конторах, а также брать быстрый заем или участвовать в торгах на сайтах, связанных с бинарными опционами и «Форекс» (наказание: до 6 лет тюрьмы и 500 тысяч рублей штрафа, если сообщники пользовались своим служебным положением, или до 2 лет ограничения свободы и штраф до 12 зарплат). Либо просто перепродать фото паспорта в даркнете — за скромные пару долларов, зато сколько угодно раз (наказание: до года исправительных работ и штраф до 6 зарплат).
Правила цифровой гигиены
Мы побеседовали о технике безопасности в современном мире цифровых технологий с Ксенией Ермошиной, исследовательницей в лаборатории Citizen Lab в Университете Торонто, администраторкой телеграм-канала @parisburns, и этичным хакером d0gberry, администратором Gotcha.pw.