За относительно небольшие деньги торговцы персональными данными готовы рассказать о ваших поездках и месте жительства, показать список звонков, СМС и селфи. Специалисты разводят руками: уберечь свои персональные данные можно, лишь отказавшись от мобильной связи, использования интернета и банковских расчетов. Шансов сохранить личную жизнь в тайне нет никаких, а получить к ней доступ совсем недорого.
«Я слежу, мне известны все ее контакты»: так и вскрылась афера
Детализация звонков во имя супружеского счастья
Казанцы Анастасия и Евгений Меркуловы (имена и фамилия изменены) провели в браке несколько лет, воспитывали ребенка. Но, как это бывает, отношения превращаются в рутину, за которой следуют ссоры и скандалы. В какой-то момент в семье случился разлад, и супруга решила порвать отношения, подала на развод и ушла из дома.
Евгений разводиться не хотел. Он начал разыскивать супругу, но все его звонки и сообщения она игнорировала. А затем Анастасия, устав от навязчивости мужа, который, как ей казалось, преследовал ее, сменила номер телефона. Однажды она выяснила, что ее симка заблокирована, и обратилась к оператору. Доступ к сим-карте ей быстро восстановили, и Анастасия не придала бы этому значения, если бы не ее сестра, которая переслала ей странное сообщение. В нем была фотография с выпиской всех ее телефонных разговоров. Сообщение было подписано: «Перешли Насте».
Женщина снова пошла в офис оператора. Сотрудники офиса удивились, заявив, что никто не заказывал распечатку ее звонков. Анастасия написала жалобу на имя руководства офиса, что дало результат: с ней связались сотрудники службы безопасности оператора, а затем — и ФСБ. Женщина была на 100% уверена, что это дело рук ее мужа. И оказалась права.
Как выяснилось, Евгений попросил помощи у своего друга Ильдара (имя также изменено), который работал в казанском офисе «Вымпелкома» — компании – владельца бренда «Билайн», — расположенном в ТЦ «Квартал».
Ильдар зашел в базу данных телефонного оператора, ввел номер Анастасии, сфотографировал выписку по всем ее звонкам за последний месяц и отправил другу. Евгений попросил о еще одной выписке. Ильдар, боясь последствий, попросил о помощи свою начальницу, в красках описав ситуацию: если этого не сделать, распадется семья! Та зашла в базу, открыла список звонков по номеру Анастасии, сфотографировала их и отправила Ильдару по WhatsApp. Ильдар переслал сообщения Евгению. Последний решил поделиться своими «знаниями» с сестрой своей жены: «Я слежу, мне известны все ее контакты».
В отношении Ильдара и его начальницы возбудили уголовные дела по ч. 2 ст. 138 УК РФ («Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений с использованием служебного положения»). Ильдар вину признал. В мае прошлого года Ново-Савиновский райсуд Казани признал его виновным и назначил штраф в 120 тыс. рублей. Дело его начальницы выделено в отдельное производство. Сам заказчик преступления, супруг Анастасии, остался безнаказанным, его признали лишь свидетелем по делу.
Что грозит покупателю данных? Почти ничего. Единственный вариант привлечь его к уголовной ответственности — зафиксировать оплату. В этом случае его действия можно квалифицировать как коммерческий подкуп (ст. 204 УК РФ)
Что грозит за слив персональных данных: опыт Казани и Челнов
Подобных уголовных дел в Казани за последние 10 лет — около двух десятков. Практически все они прекращаются, а фигурантам назначают судебные штрафы до 100 тыс. рублей (а главное — они не получают судимость). Реже такие дела оканчиваются уголовными штрафами (не более 200 тыс.), исправительными работами (до 1 года) и условными сроками (до 1,5 года).
Например, в прошлом году казанец, распечатавший список звонков, но не успевший с ним что-либо сделать, получил 80 часов исправительных работ. Еще год работ назначили жителю Казани, который захотел подзаработать и продал несколько распечаток звонков, по 1,5 тыс. за каждую. Двое челнинцев в свою очередь получили условный срок за продажу логина и пароля, который бы давал доступ к базе данных мобильного оператора за 10 тыс. рублей, в нагрузку к которому добавили дубликаты сим-карт. Еще один пример с хеппи-эндом для фигурантов: в 2015 году два казанца, которые подменили сим-карту и получили полную детализацию звонков с нее, попали под амнистию.
Что грозит покупателю данных? Почти ничего. Единственный вариант привлечь его к уголовной ответственности — зафиксировать оплату. В этом случае действия можно квалифицировать как коммерческий подкуп (ст. 204 УК РФ).
правила «пробива»
Мир гаджетов и высоких технологий почти не оставляет шансов на неприкосновенность личной жизни. Ежедневно мы попадаем в объективы сотен и тысяч камер наружного наблюдения. Это слежка извне. А изнутри за нами наблюдает собственный смартфон, который на вполне себе законных основаниях делится с компанией-производителем историей поисковых запросов, геолокацией, а иногда — даже записями звонков.
Изучив рынок «пробива», мы пришли к выводу — «пробить» почти что любого и узнать очень много его личных данных можно за час. Хакером быть необязательно.
Вот самые популярные способы моментального и бесплатного «пробива»:
1. Человек добровольно делится своими персональными данными. Яркий тому пример — социальные сети, в которых анкета может рассказать очень много о ее авторе. Это ФИО., дата и место рождения, адрес электронной почты. Многие оставляют даже свой реальный номер телефона, чем могут воспользоваться мошенники и прочие злоумышленники.
Зачастую в соцсетях пользователи указывают место работы, вуз, который они окончили, школу, можно узнать годы выпуска или поступления. Люди пишут о своих увлечениях, любимых фильмах, книгах, музыке, обозначают геопозицию на фотографиях. Эти пункты могут быть полезны для слежки. Например, можно вычислить, в какой спортзал вы ходите, по каким дням, сколько тратите на тренировки и т. д.
2. Через сайты госорганов. Например, УФССП: достаточно ввести полные фамилию, имя и отчество человека. Далее форма покажет, есть ли в его отношении исполнительные производства и на какую сумму. Также там будет указана дата рождения интересующего нас лица. Кто-то может назвать подобное публичным разглашением данных, однако это структурированный учет, созданный для мобильного доступа к данной информации. Она приобретает характер публичности в связи с совершением правонарушения. Своего рода публичное порицание.
Кроме того, зная ФИО. человека, можно выяснить, участвовал ли он в судебных процессах (через госсистему «Правосудие») и в каком статусе. На сайте МВД можно узнать, объявлен ли тот или иной человек в розыск, на сайте ГИБДД — получить информацию о штрафах, водителе и машине (правда, нужно знать номера документов), а на странице ФНС — ведет ли человек бизнес, зарегистрированы ли на него какие-либо юрлица.
Мир гаджетов и высоких технологий почти не оставляет шансов на неприкосновенность вашей личной жизни. Ежедневно мы попадаем в объективы сотен и тысяч камер наружного наблюдения
3. Не стоит забывать про обычный поиск через Google или «Яндекс». Поисковые сервисы, обрабатывая только имя и фамилию человека, могут найти упоминания о нем в различных постах в соцсетях, на форумах, а также комментарии, которые данный пользователь оставлял в обсуждениях на различных сайтах под своим именем. Можно найти и фотографию человека через вкладку «картинки». Открытые справочники и адресные книги, которые также есть в доступе в интернете, могут выдать о вас много информации, в частности место проживания.
4. Юридические лица находятся под особым «надзором». Благодаря сервисам «Контур.Фокус», «СБИС», «СПАРК», «Руспрофиль» и т. д. можно получить информацию о работе предпринимателя или соучредителя предприятия. Это и сведения о фирмах (неважно, существуют они в данный момент или уже закрыты), контрактах, госзакупках; сколько денег сейчас у юрлица, сколько он тратит.
5. Чиновники и народные избранники «светят» свои доходы и состав семьи в ежегодных декларациях. Там указана вся его собственность, все имущество его супруги/супруга.
6. Особый случай — если известен номер телефона человека. На рынке масса бесплатных (и платных) приложений для «пробива» по номеру телефона. Пример — Gett Contact, благодаря которому оппозиционер Алексей Навальный, по его собственному утверждению, «пробивал» сотрудников ФСБ, которых сам политик подозревает в попытке своего отравления.
Действуют такие приложения по следующему принципу: пользователь вводит номер телефона интересующего объекта и получает информацию о том, как он записан в телефонах других людей: например «Татьяна продавец», «Елена администратор кафе», «Антон брат Олега». Правда, есть один нюанс — пользователь, о котором «пробивают» данные, тоже должен быть зарегистрирован в данном приложении. Зато, например, чаты в мессенджерах, которые занимаются таким же «пробивом» по номеру телефонов, не требуют регистрации.
7. Мобильное приложение банка позволит узнать, где у вас открыт счет. Если известен номер телефона человека, можно попытаться перевести ему деньги (там же можно узнать имя и отчество, а также первую букву фамилии получателя). Если платеж проходит, счет этого человека в конкретном банке «засвечен». Для «пробива» переводят по 1 рублю. Поэтому, если вы увидели перевод на минимальную сумму с неизвестного номера, можете не сомневаться — вас «пробивают».
Мир даркнета: сколько стоят селфи и ксерокопия паспорта?
Деньги делают ваши персональные данные еще менее персональными. Получить соответствующую информацию за плату можно в даркнете, доступ куда невозможен без VPN или браузера Tor. Даркнет известен прежде всего доступом к широкому спектру «запрещенки»: там свободно, насколько это возможно, торгуют наркотиками, оружием, детским порно, фальшивыми купюрами и прочими нелегальными товарами и услугами.
На одной из торговых платформ даркнета (мы не раскрываем ее названия) наш корреспондент нашел сразу несколько площадок, торгующих документами россиян, точнее, их копиями. Речь о сканах документов реальных граждан РФ, сказано в описании специфического товара. Продавец берет их из разных источников: негосударственных пенсионных фондов, копи-центров, отделов кадров, кредитных организаций.
Каждый паспорт, уверяют продавцы, проверяется на сайте ФМС на отсутствие в списке недействительных. В случае недействительности паспорта или отсутствии данных об ИНН на сайте ФНС магазин персональных данных просит сразу же сообщать.
Документы россиян продают целыми пакетами, словно бизнес-ланч. Несколько примеров:
- черно-белый скан паспорта плюс скан страницы прописки обойдется всего в 50 рублей;
- за 60 рублей в придачу пойдет сканированный СНИЛС;
- за цветной скан паспорта придется выложить 75 рублей;
- самый дорогой товар — фото паспорта с пропиской, обе стороны водительского удостоверения и селфи с паспортом. Все это обойдется покупателю в 400 рублей.
С последним пакетом документов можно зарегистрироваться на различных сервисах, в том числе в каршеринге. Однако магазин не дает гарантии на обязательную верификацию на каких-либо порталах. В среднем комплект сканов с фотографиями и селфи паспорта на одном из сайтов даркнета обходится в 300 рублей. В комментариях пользователи отмечают, что документы отлично подходят для создания кошелька QIWI. Его зачастую используют наркоторговцы для перечисления средств, а когда он создан на постороннего человека, реальный владелец счета становится почти неуязвим.
Наш корреспондент также обнаружил на западной платформе даркнета магазин, который торгует кредитными историями клиентов различных банков. Каких именно — неизвестно, но ценник за эти данные находится в пределах $25–30 за штуку. Предлагают и опт.
Самым дешевым абонентом почему-то считается клиент МТС — его «пробив» обойдется в 2 тыс. рублей. Это стартовый пакет: там не будет детализации звонков, текстов СМС и других фенечек, указано в магазине, который мы изучили
Где ходил, кому звонил: сколько стоят геоданные
«Пробив» онлайн уже несколько лет как вытеснил очные встречи с сотрудниками операторов сотовой связи, как в случае героев из начала нашего текста. Даркнет предлагает сотни услуг по детализации звонков, текстов СМС, геоданных и прочей интересной информации. Заплатив, можно отслеживать перемещения конкретного человека в течение дня и более длительного срока. Легко установить, где он живет, работает, с кем чаще общается, с кем поддерживает деловые связи, где обедает, что предпочитает дома на ужин и даже с кем и кому изменяет.
Первый магазин, который предложил нам сайт «темного» интернета, предлагает детализацию вызовов, СМС, геоданных абонентов одной из сотовых сетей. Продавец предлагает за плату предоставить подробную информацию о звонках, СМС, ММС (хотя кто в 2021 году ими пользуется?!) и интернет-трафике с указанием даты, времени. Ценник — от 6 тыс. рублей. Детализация с геоданными обойдется в 12 тыс. рублей.
Еще один магазин предлагает целый пакет выписок в табличном формате XLS за 80 тыс. рублей. Оператор сотовой связи — любой. В выписке будет следующее: звонки (кто кому звонил, дата, время), СМС без текста, интернет-соединения, IMEI телефона и адреса действий. Погрешность местонахождения человека составляет от 50 до 500 метров. В сельской местности из-за особенностей сотовой связи погрешность может быть выше.
Стоимость «пробива» в зависимости от оператора разная. Например, самым дешевым абонентом почему-то считается клиент МТС — его «пробив» обойдется в 2 тыс. рублей. Это стартовый пакет: там не будет детализации звонков, текстов СМС и других фенечек, указано в магазине, который мы изучили.
«Пробивной» магазин предлагает по номеру телефона продать паспортные данные человека и, наоборот, по данным человека узнать все номера телефонов, зарегистрированные на него.
Кстати, глядя на магазины, специализирующиеся только на одном операторе, возникает вопрос: вовлечены ли сотрудники самих сотовых компаний в аферу? Ответ неоднозначный. Некоторые магазины, которые работают со всеми операторами, по нашим данным, используют хакеров, которые взламывают серверы сотовых операторов. Там детализации, СМС с текстами хранятся определенное время. Хакеры просто копируют их и оформляют в формат XLS. Часть данных, рассказывают наши собеседники в силовых структурах, продают уже сами сотрудники сотовых операторов.
Сроки исполнения напрямую зависят от сложности заказа. Детализацию звонков, например, могут предоставить часа за два. Информация будет залита на файлообменник. Сканы документов в формате .jpg — тоже. Больше времени займет передача заказчику селфи с паспортом, но недолго — максимум выполнение заказа занимает от двух дней до недели. Это когда пакет заказа большой.
В качестве оплаты продавцы принимают биткоины, которые хранятся на счете на самом сайте, рулетку (система, при которой товар можно, заплатив небольшую сумму, буквально выиграть), деньги на QIWI-кошелек и сим-карту.
Самый информативный ресурс «пробива» — выписки из баз данных силовиков, доступ к которым имеют десятки тысяч сотрудников МВД, ФСБ и других правоохранительных структур
Базы силовиков: ваши поездки, загранпаспорта и подпись
Но самый информативный ресурс «пробива» — выписки из баз данных силовиков, доступ к которым имеют десятки тысяч сотрудников МВД, ФСБ и других правоохранительных структур. При этом ценник на эти, казалось бы, охраняемые государством данные начинается со скромных 1,5 тыс. рублей.
Услуга «РосПаспорт» в одном из магазинов персональных данных даркнета включает в себя довольно исчерпывающую информацию: серия и номер паспорта любого гражданина, дату и место выдачи документа, наличие загранпаспорта и его замены, краткие сведения о родителях, а также образец личной подписи.
Выписка из базы данных покупок ж/д и авиабилетов «Магистраль» обойдется в 2 тыс. рублей и включит в себя информацию о любых перемещениях по России за последние 10 лет, данные об официально купленных билетах на самолет, автобус, поезд, паром. Исключение составят только чартерные рейсы. Информация о перемещениях за рубеж любого гражданина обойдется в 10 тыс. рублей минимум. К слову, именно по этой базе данных расследователи, сотрудничающие с Навальным, отследили маршруты сотрудников ФСБ, неотрывно следовавших за оппозиционером в течение нескольких лет.
Услуги по линии ГИБДД по госномеру автомобиля обойдутся всего в 1,5 тыс. рублей. По владельцу ТС вам выдадут адрес регистрации и его контактный телефон, по самому автомобилю информации будет куда больше: вин-номер, марка, модель авто, год выпуска, учтенные данные о стоимости автомобиля (по договору купли-продажи), категория учета, а также прочая информация, указанная когда-либо в документах ГИБДД.
Откуда эти данные у продавцов информации? Варианта два — доступ к серверам федерального и региональных МВД. Однако это маловероятно: полиция следит за безопасностью своих систем. Второй вариант — слив от «кротов» в погонах, имеющих доступ к секретной информации.
Третий — данные получают из смежных структур, которые по своему роду деятельности работают в связке с полицией. Например, год назад в сети появилась база данных со 129 млн записями россиян объемом около 24 Гб — все по линии ГИБДД. После ряда проверок специалисты сделали вывод, что данная утечка могла произойти по вине контрагентов ГИБДД, страховых компаний или технического сбоя. Автовладельцам такой слив грозил ростом звонков, а главное — подделкой их документов со стороны злоумышленников.
Ашот Оганесян: «Профессиональные преступники используют базы данных банков, операторов связи или госорганов, купленные в даркнете, а также услуги по «пробиву» информации о конкретных лицах, которые можно приобрести там же»
Как остановить утечки данных? Спойлер: это никому не нужно
По словам основателя сервиса разведки утечек данных DLBI Ашота Оганесяна, получение информации через открытые источники — социальные сети и поисковые сервисы — вполне законно, потому что все эти данные пользователи опубликовали о себе сами. Данная информация может многое сказать о человеке, но требует тщательного и длительного изучения, поэтому мошенники используют ее редко, считает наш собеседник.
«Профессиональные преступники используют базы данных банков, операторов связи или госорганов, купленные в даркнете, а также услуги по „пробиву“ информации о конкретных лицах, которые можно приобрести там же», — говорит Оганесян.
Рынок «пробива» существует не только в формате сайтов в даркнете, но и в виде закрытых форумов в обычной части интернета, а также активно плодящихся в последнее время телеграм-ботов, которые продают устаревшие данные задешево.
«В первую очередь нужно предотвращать инсайдерский доступ к информации», — говорит эксперт. Например, во многих операторах мобильной связи сотрудники офисов и салонов имеют практически бесконтрольный доступ к детализациям звонков. «И даже десятки уголовных дел ежегодно не отбивают у них желания продавать данные на сторону», — подчеркивает эксперт.
Немногим лучше ситуация в банках, добавляет он. «Да, там научились пресекать попытки выгрузить и продать базу с миллионом вкладчиков, однако до сих пор сотрудник при желании может получить любые данные о клиенте, что также приводит к хищениям средств», — указывает Оганесян.
По мнению нашего собеседника, одна из причин, по которой компании и банки не защищают данные клиентов, — в том, что для этого нужны немалые инвестиции. Например, во внедрение DLP-систем (Data Loss Prevention или Data Leakage Prevention — программные средства, решающие задачи предотвращения утечек данных). «Однако для банка в этом нет смысла, потому что ни за утечку данных, ни за хищение средств с их помощью он никакой ответственности не несет. Виноватым оказывается либо сам клиент, либо преступник, если его найдут, либо чаще всего — неустановленные лица», — делает вывод Оганесян.
Поэтому главное, что надо сделать для борьбы с торговлей клиентскими данными, — ужесточить ответственность операторов, считает эксперт. «Ужесточить до такой степени, чтобы мера ответственности стала для них чувствительной. Также нужно формализовать процедуры расследования таких инцидентов и установления вины компании или банка в утечке данных и последовавших за ней проблемах клиентов», — предлагает пути решения проблемы Оганесян.
Сергей Петренко: «К сожалению, на 100 процентов перекрыть все возможные каналы утечки конфиденциальной информации невозможно»
МОЖНО ЛИ защитить себя от утечек?
Всю информацию мошенники получают из баз данных компаний и госорганов, с которыми пользователь взаимодействует по необходимости, подчеркивает Оганесян. «Чтобы не фигурировать в них (базах данных — прим. ред.), необходимо не пользоваться мобильной связью и интернетом, не иметь банковских счетов, автомобиль и никаких вообще документов, не покупать билетов и не перемещаться по улицам. Естественно, это просто невозможно», — констатирует эксперт.
Как следствие, невозможно защитить себя и от утечек всех данных. «Единственное, чем можно смягчить их последствия для себя лично, — помнить, что большинство украденных данных используется для мошенничества с последующим похищением средств. И вот этому противостоять можно», — делает вывод Оганесян. Он советует не доверять звонящим или пишущим, всегда самостоятельно связываться с организацией, представитель которой по своей инициативе контактирует с вами, а также никому и никогда не называть никаких кодов, ключевых слов и паролей.
«К сожалению, на 100 процентов перекрыть все возможные каналы утечки конфиденциальной информации невозможно», — подтверждает руководитель центра информационной безопасности Университета Иннополис Сергей Петренко. Однако соблюдение мер безопасности внутри компаний может минимизировать риск. «При грамотно организованной защите данных от возможных утечек 80 процентов усилий должно быть направлено именно на организационные меры (выполнение корпоративных правил информационной безопасности) и только 20 процентов на технические меры — межсетевые экраны, VPN, средства защиты от несанкционированного доступа, антивирусы и специальные средства мониторинга и расследования инцидентов безопасности», — считает Петренко. Т. е. в первую очередь нужно соблюдать корпоративные правила информбезопасности — установить пароли, соблюдать правила работы в интернете, регламент проведения видеоосовещаний, распорядок работы с корпоративными информационными ресурсами и т. д.
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 102
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.