You’ve been stolen! Кража личности от Исава до «ВКонтакте» — и как ее избежать

С Якова на всякого

Термин «кража личности» (identity theft) впервые появился в печати в 1964 году. В англоязычном пространстве это словосочетание стало особенно активно использоваться в середине 90-х в связи с быстрым ростом рынка удаленных услуг (оформление банковских карт, получение кредитов) и распространением интернета в США.

Но кража личности — явление не новое. Первый «зарегистрированный» случай — библейское предание об Исаве и Иакове.

У Исаака было два сына. Старший — Исав — имел право первородства, а потому пользовался особым почетом перед Богом. В конце жизни Исаак ослеп и был готов благословить первенство Исава, если тот угостит его любимым блюдом. Тогда младший сын с матерью обманывают главу семейства: готовят кушанье сами, после чего Иаков одевается как Исав и получает заветное благословение.

Подделка источников с целью выдать себя за другого практиковалась и после. С III по VII век выходили послания, авторство которых лживо приписывали Клементу, одному из семидесяти учеников Христа, а в VII столетии — сборник постановлений, якобы принадлежащих перу Исидора Севильского — крупнейшего богослова той эпохи. Известное как «Дар Константина» поддельное завещание императора Константина Великого, в IV веке провозгласившего христианство официальной религией Римской империи, сыграло важную роль в истории Европы и России.

Исследователи утверждают, что такого рода фейковые труды и документы писали и тиражировали, чтобы обосновать ту или иную доктрину в рамках христианской церкви.

Уже в XIII веке в Европе могли сжечь за подделку бумаг — следовательно, явление было распространенным. Судебное разбирательство в таких случаях вели трибуналы инквизиции.

В Новое время в России поддельных людей больше всего было в эпоху Смуты. После смерти Федора Ивановича, последнего правителя из рода Рюриковичей, царский трон остался вакантным. С 1605 по 1608 год 17 человек выдавали себя за потомков Ивана Грозного, а Лжедмитрий I и Лжедмитрий II даже занимали престол. Общий срок их правления составил около двух лет. Все, что понадобилось для успешного обмана, — знание (не обязательно во всех подробностях) биографии своих «родственников» и в некоторых случаях поддержка местных или зарубежных элит.

На заре истории США подкупленные избирательные комиссии вписывали умерших и никогда не живших людей в бюллетени, после чего вбрасывали их в корзины для голосования. Гангстеры Дикого Запада убивали путников, чтобы завладеть их одеждой, удостоверяющими личность бумагами и выдать себя за них.

Мафия в США устраняла свидетелей, крала их документы и гримировала «своих» людей. Они шли на суд и отказывались от показаний. Это подтолкнуло власти к созданию «Программы защиты свидетелей».

С появлением кредитных карт в конце 50-х кража персональных данных стала обычным делом. Схема выглядела так: мошенники звонили по телефону в разные квартиры и говорили хозяевам, что они выиграли крупный приз. Нужно было лишь сообщить все свои личные данные — номера кредитки, страхового полиса, паспорта и других документов. Это позволяло ворам получить доступ к кредитной карте человека и брать деньги от его имени. После того как телефонным мошенникам перестали верить, они начали изучать помойки: именно там можно было найти чеки с выбитой на них личной информацией. К концу 60-х такой вид мошенничества сошел на нет.

Новая волна краж персональных данных началась в 80-е. Власти США приняли закон, который обязывал работодателей проверять документы своих сотрудников. Это вынудило нелегальных мигрантов искать себе поддельные удостоверения, справки и т. д. — в основном они использовали бумаги уже умерших людей.

В России жили по подложным документам Герцен, Троцкий, Ленин, Сталин и другие революционеры, от народников до анархистов, вплоть до Февральской революции, а уже после нее — противники советской власти и аферисты всех мастей.

В 1937 году бежавший из ГУЛАГа Владимир Голубенко похитил паспорт на имя Валентина Пургина. О настоящем владельце документа ничего не известно, зато проходимец, выдававший себя за него, умудрился по липовым удостоверениям устроиться в «Комсомольскую правду». Он быстро продвигался по карьерной лестнице, к 1939-му стал заместителем начальника военного отдела. Потом Пургин-Голубенко присвоил себе ордена Ленина и Красной Звезды, последовательно подделывая рапорты о собственных свершениях. Апофеозом истории стали подложные бумаги о подвигах в Советско-финской войне и получение звания Героя Советского Союза в апреле 1940-го. Через три месяца его разоблачили, а еще через три — расстреляли.

Кажется, что кража личности — трюк из докомпьютерных времен, но это не так. Интересный случай произошел пять лет назад: 53-летний американец Дэвид Гилмор выдал себя за гитариста Pink Floyd, не будучи ни капельки похожим на своего звездного тезку, и его бесплатно вылечили на 100 000 долларов. Придя в больницу, он заявил, что группа сейчас на гастролях в США и артисты не успели сделать страховку. Пройдоха много знал о Pink Floyd и Великобритании. Растроганная администрация клиники согласилась лечить его бесплатно, а тот не скупился на автографы и не отказывал врачам в совместных фото. Гилмор с персоналом даже составили график «гастролей», чтобы закончить курс.

После его ухода заподозрили неладное: странно, что у гитариста легендарной группы, продавшей четверть миллиарда альбомов, нет денег на то, чтобы оплатить услуги медиков, и международной страховки, правда? Гилмора сгубила наглость: через четыре дня он вернулся, чтобы «долечиться», и был арестован.

Кража личности — основа сюжета многих голливудских фильмов, таких как «Без лица» Ву, «Сеть» Уинклера, «Элизиум» Бломкампа, «Неизвестный» Серра и «Профессия: репортер» Антониони.

Как украсть личность

«Кражей личности» называют любое использование чужой персональной информации для получения выгоды. Русский перевод неточно отражает суть явления: на деле чью-либо «личность» умыкнуть невозможно. Злоумышленники воруют персональные данные, слепок уникальных сведений о человеке: Ф.И.О., документы, номер кредитной карты и счета в банке, профессия, зарплата, место работы, пароли и логины учетных записей, область интересов и т. д. То есть любую информацию, принадлежащую только владельцу, которой он не хотел делиться.

К подделыванию личности прибегают в разных целях: кража паролей и учетных данных, получение финансовой информации и материальных ценностей, — а зачастую — просто ради развлечения. Добытые незаконным путем сведения продают; имея пароль, взламывают аккаунты человека в других сервисах и т. д.

Насколько распространено это явление? В самой большой базе взломанных аккаунтов — Have I Been Pwned — таковых числится свыше 5 млрд.

В СНГ официальной статистики не ведется, но в базе Gotcha.pw, в которой опубликован список взломанных email’ов из разных стран, — 48 млн аккаунтов в зоне .ru, 5,5 млн — в зоне .ua и более 1 млн — в зоне .by.

В США, согласно исследованию компании New Javelin Strategy & Research, в прошлом году жертвами кражи личности стали 16,7 млн американцев, то есть каждый двадцатый житель страны.

Потери от мошенничества с персональными данными в США за год составили 16,8 млрд долларов — столько стоят «Яндекс» и Mail.ru вместе взятые, а Банк ВТБ на 2 млрд «дешевле».

По Европе такой статистики нет, но, согласно опросам Еврокомиссии, 8 % жителей ЕС заявили, что стали жертвами махинаций с их персональными данными в 2017 году. Больше остальных пострадали поляки и австрийцы — 12 % населения, меньше всех — греки, 3 %. Вообще же такие преступления совершались в отношении более чем 50 % пользователей интернета в Австрии, Нидерландах, Швеции, Франции и Великобритании. При этом 30 % юзеров региона ничего не знают о краже личности.

Руководители 69 % европейских компаний не понимают, как можно украсть и использовать имя их бренда и как защититься от такого «воровства», а 60 % крупных корпораций никогда не рассчитывали риски от кибератак, хотя злоумышленники всё чаще прибегают к этому виду мошенничества.

Расщепляем сознание

Сложно ли украсть чужое «я» и что за это будет?

Предупреждаем: все несанкционированные операции с личными данными являются нарушением закона. Ст. 272 УК РФ предусматривает тюремное заключение сроком до 2 лет за использование чужой страницы или персональных сведений. Если взлом аккаунта привел к тяжким последствиям, например самоубийству владельца или его близких, создал опасность чьей-то жизни, нанес крупный денежный ущерб — злоумышленнику светит до 7 лет тюрьмы. По ст. 159.6 за самое простое мошенничество в интернете можно получить до 2 лет ограничения свободы или штраф размером в годовую зарплату, а за более сложное (совершенное организованной группой, на сумму более 1,5 млн рублей и т. д.) — до 10 лет тюрьмы.

Имена героев изменены.

Первый вариант — купить уже взломанную страницу другого человека. Вбиваем в поисковик «магазин аккаунтов соцсети» — и получаем сотни ссылок на торговые площадки. В инстаграме и вконтакте они стоят копейки — от 15 рублей за штуку.

Ради эксперимента покупаем два аккаунта: один — с количеством друзей более 1000, а второй — принадлежащий редактору группы с 20 000+ подписчиков. Каждый обходится в 30 рублей.

Первый — Петр. Он женат, играет в американский футбол и любит шуточки из интернета. Администрирует много маленьких групп, у него 1415 друзей. Что мог бы сделать с этим мошенник? Например, дождаться, пока Петр ляжет спать, быстро поменять пароль и организовать рассылку по всем друзьям с просьбой срочно перевести деньги на чужой счет (наказание: до 4 лет тюрьмы и штраф в размере до 36 месячных зарплат). Или зайти в его переписку, поискать там компромат и шантажировать Петра (наказание: до 4 лет тюрьмы и штраф в размере до 36 месячных зарплат по самой «легкой» части статьи). Или украсть личные фото и использовать его идентичность (наказание: до 2 лет тюрьмы и штраф до 18 месячных зарплат при условии, что со страницей не будет сделано ничего, что отягощает вину).

Второй — Игорь. Он редактирует группу, в которой 50 000 подписчиков. Злоумышленники могли бы публиковать записи от имени сообщества (наказание: до 2 лет тюрьмы и штраф до 18 месячных зарплат). Или попробовать уговорить администратора паблика наделить аналогичными полномочиями их самих — и перепродать аккаунт, который в этом случае будет стоить уже на порядок дороже. Или сделать рассылку от имени группы разным пользователям, приглашать их в другое сообщество, подсовывать им фишинговые ссылки, просить денег (наказание: в обоих случаях — до 4 лет тюрьмы и штраф в размере до 36 месячных зарплат). Или опять же попытаться найти компромат в переписке и заняться шантажом.

Обоим героям сообщаем о взломе аккаунтов, просим поменять пароли и проводим краткий ликбез на тему «Безопасность в интернете».

Второй вариант — самому украсть чужие данные.

Заходим в социальную сеть «ВКонтакте». В поиске по документам вбиваем «паспорт jpg». О чудо — мы нашли сотни отсканированных документов со всего СНГ.

Выбираем один из них — на имя Людмилы Василевской, 24-летней девушки. У нас есть паспорт, а значит, нам известны город, в котором она живет, и дата рождения. Вводим ее имя и фамилию в поиск по людям — и сразу находим Людмилу. На странице нет информации о месте работы и учебы, в других социальных сетях такой человек не зарегистрирован.

В паспорте указано место рождения — ищем друзей в этом городе. Все они учились в одной и той же школе — вероятно, там же, где и Люда. Просматриваем страницу — по фото понимаем, что она продавец в магазине сумок в родном городе. Узнаем адрес ее работы. У девушки есть мама и брат, она их очень любит и живет с семьей.

Людмила активно ищет спутника жизни и обожает цветы. Домашних животных у нее нет. Зная, где и кем работает девушка, исходим из того, что она вряд ли получает в магазине больше 15 000 рублей. Семья у нее небогатая: все фото сделаны на недорогой смартфон, у Люды нет личного авто, и она не выезжает за границу. Наша «жертва» постоянно пишет о том, что делала и как живет.

За час мы узнали довольно много, и у нас есть скан паспорта Людмилы. Как могли бы все это использовать «рыцари наживы»?

Прежде всего, полностью клонировать страницу, создать ее «дубликат» в других социальных сетях. После этого ищутся наиболее активные ВК-друзья Люды (которые лайкали ее посты в течение года) из других городов. Аферист может с ними флиртовать, а потом попытаться выманить у особо доверчивых деньги под разными предлогами. Например, сказать, что не хватает на билет или новое красивое платье. Эти люди друг с другом незнакомы, и обменяться информацией между собой у них вряд ли получится. Даже если мошенников разоблачат, только за то, что они общались с кем-то не от своего имени, им ничего не будет (наказание: если выманить деньги все же удалось, то до 4 лет тюрьмы и штраф до 36 зарплат; если нет — «скромные» 2 года заключения и штраф до 12 зарплат).

Второй вариант — искать и добавлять в другой социальной сети всех друзей из ВК без разбора. В этом случае самая простая схема — рассылка фишинговых линков с целью узнать их логин и пароль. Пример такого письма: «Привет, это Люда [фишинговая ссылка на страницу]! Теперь я есть в Facebook, давай дружить». Но на самом деле пользователь переходит на сайт мошенников, оформленный один в один как FB. Ничего не подозревая, вы вводите на этом псевдофейсбуке свои логин и пароль — то есть фактически сообщаете их злоумышленникам (наказание: если данные были перепроданы, то до 4 лет тюрьмы и штраф в размере 36 зарплат).

Клон страницы, однако, можно создать и здесь же, в ВК, — и под видом знакомств для поиска партнера заниматься мошенничеством.

Спектр широчайший — от просьб «закинуть на телефон» до шантажа и махинаций с кредитными картами. И главное: знания о Люде помогут злоумышленнику создать правдоподобную легенду — «скопировать» живого человека намного проще, чем изваять личность «из ничего».

А можно создать страницу состоятельного парня, который интересуется Людой. Информации о жертве вполне достаточно, чтобы ею манипулировать. После того как преступник войдет к Людмиле в доверие, он может пытаться выманивать у нее деньги — например, на то, чтобы приехать к своей «пассии» (наказание: если проделка удалась, то до 4 лет тюрьмы и штраф до 36 зарплат, если нет — 2 года за решеткой и штраф до 12 зарплат).

Третий путь — создавать учетные записи на имя Люды. Подтверждать ее паспортом разные страницы в социальных сетях или интернет-магазинах, а также платежных системах, после чего либо перепродавать их, либо использовать для мошенничества. Цена хорошо раскрученного верифицированного ВК- или инстаграм-аккаунта — от 5000 рублей, кошельков «Яндекс.Деньги» и WebMoney — от 1500 рублей. Подтвержденные учетные записи не заблокируют, даже если входить в них из сети TOR или VPN (наказание: 4 года тюрьмы и штраф до 36 зарплат или, если повезет, до 2 лет исправительных работ и штраф в размере до 12 зарплат).

Четвертый способ — махинации с паспортными данными. Мошенники могут найти в интернете сообщников — и оформить на Людмилу недвижимость, автомобиль или сим-карту; регистрироваться под ее именем в кредитных учреждениях, букмекерских конторах, а также брать быстрый заем или участвовать в торгах на сайтах, связанных с бинарными опционами и «Форекс» (наказание: до 6 лет тюрьмы и 500 тысяч рублей штрафа, если сообщники пользовались своим служебным положением, или до 2 лет ограничения свободы и штраф до 12 зарплат). Либо просто перепродать фото паспорта в даркнете — за скромные пару долларов, зато сколько угодно раз (наказание: до года исправительных работ и штраф до 6 зарплат).

Правила цифровой гигиены

Мы побеседовали о технике безопасности в современном мире цифровых технологий с Ксенией Ермошиной, исследовательницей в лаборатории Citizen Lab в Университете Торонто, администраторкой телеграм-канала @parisburns, и этичным хакером d0gberry, администратором Gotcha.pw.

Ксения:

— Большинство утечек происходит из крупных компаний. Корпорации допускают их потому, что им это выгодно. А выявленные хакерами так называемые уязвимости нулевого дня, о которых ничего не сообщалось, могут использовать правительства для слежки за гражданами.

Юридически данные в крупных корпорациях хранятся в одном месте, хотя географически они разделены. И это тоже, безусловно, плохо.

Изобретут ли когда-нибудь систему, которую нельзя взломать? Как только кто-то заявит, что придумал нечто подобное, — такая система тут же перестанет быть защищенной и превратится в сладкую приманку, привлекающую хакеров со всего мира.

Сейчас все говорят о блокчейне — я думаю, что возможны решения на основе децентрализованных систем этого типа, но нужно найти способ сделать их доступными «простым смертным», потому что пока для их работы требуются большие объемы памяти на компьютерах и очень много электроэнергии.

Подход к защите данных следует разрабатывать и осуществлять на трех уровнях: пользовательском, инфраструктурном и законодательном.

Что касается первого из них, то мы должны развивать культуру потребления интернет-контента и пользования устройствами, программами и сайтами. Объяснять людям, что они не просто «юзеры», но еще и активные участники рынка информации, что их данные ценны сами по себе; знакомить пользователей с конкретными инструментами защиты; прививать общие поведенческие нормы.

Гигиена данных — правила поведения, связанные с онлайн- и офлайн-безопасностью. В этом деле не бывает мелочей: нельзя оставлять компьютер включенным, когда уходишь из дома или даже ненадолго отлучаешься из комнаты, где есть другие люди, как бы сильно вы им ни доверяли; необходимо в обязательном порядке устанавливать все обновления на гаджеты. Ну а вершиной являются различные программы для шифрования коммуникаций (PGP, Signal и т. д.) и жесткого диска (VeraCrypt, например), а также использование операционных систем с повышенной степенью защиты (типа Tails).

Как и в случае со здоровьем, гигиена зависит от уровня рисков, которым вы подвергаетесь: человеку, работающему в офисе, достаточно мыть руки с мылом, а если вы врач или повар — возможно, придется добавить к этому защитную маску и шапочку, перчатки и дезинфицирующие растворы. Но даже на самом базовом уровне гигиена данных нужна абсолютно всем.

О том, как защитить себя, написано множество руководств — например, Surveillance Self-Defense от Electronic Frontier Foundation или проект РосКомСвободы Safe, оба на русском языке.

На юридическом уровне ответственность за сбор и хранение наших персональных сведений (имеются в виду не те данные, что мы создаем сами через соцсети и приложения, а те, что известны государству, банкам, страховым компаниям и т. д.) лежит на этих организациях. Необходимо разработать такую законодательную базу, которая не оставляла бы возможностей для искусственных утечек данных и манипуляций с ними.

И с инфраструктурной точки зрения нужно совершенствовать технические документы, регламентирующие деятельность дата-центров, а также стандарты передачи данных.

d0gberry:

— Поскольку взломы случаются постоянно, можно утверждать, что компании не особо заботятся о безопасности учетных данных. Все время всплывают факты небрежного обращения с личной информацией: месяц назад, например, выяснилось, что T-Mobile хранит пароли своих европейских клиентов в виде открытого текста. То есть при краже этой базы ее сразу можно использовать для взлома аккаунтов.

В даркнете личные данные продаются всего за пару долларов. И часто случаются большие утечки со взломанных аккаунтов. Кража личности не требует особого мастерства.

В моей базе 1,5 млрд аккаунтов с расшифрованными паролями, но существуют и такие, которые содержат намного больше паролей зашифрованных, и их расшифровка лишь вопрос времени. Новые утечки происходят постоянно, так что нужно просто смириться с этим и продолжать жить.

Я бы рекомендовал не использовать одни и те же пароли для разных сайтов, регулярно их менять и оставлять ровно столько сведений о себе, сколько это необходимо, когда вы, например, делаете онлайн-покупки.

С вступлением в силу 25 мая новых правил обработки и хранения персональных данных (GDPR) вы также можете попросить любую компанию забыть информацию о вас, если являетесь гражданином одной из стран ЕС, а европейская организация обязана это сделать по вашему требованию, откуда бы вы ни были. Я точно воспользуюсь таким правом.