Не упрощать жизнь мошенникам: правила кибергигиены в 2022 году
В конце февраля произошла утечка персональных данных пользователей «Яндекс.Еды», а меньше чем через месяц эти данные попали в открытый доступ. Вместе с экспертом по кибербезопасности Дмитрием Галовым из «Лаборатории Касперского» «Сноб» разобрался, что может угрожать людям, чьи данные оказались в базах мошенников, и как пользователь сам может усложнить злоумышленникам доступ к личной информации, паролям и деньгам.
Данные российских пользователей в опасности — новая реальность 2022?
Разные по масштабу утечки личных данных начались не в этом году, а гораздо раньше. Причин много, и некоторые из них связаны с событиями пандемии. Во время массового перехода компаний на удаленный режим работы многим удалось быстро решить инфраструктурные вопросы — наладить каналы коммуникации, перестроить бизнес-процессы, дать людям удаленный доступ к ресурсам, но приучить их к новым стандартам кибербезопасности оказалось не так просто.
«Ключевой вопрос безопасности — это образование и информирование людей. Например, таргетированные фишинговые письма остаются одним из самых популярных методов получения доступа к личным и корпоративным данным. В целом, за первый квартал 2022 года количество киберинцидентов в российских компаниях увеличилось в четыре раза по статистике «Лаборатории Касперского». Это еще один повод именно сейчас поговорить о том, как правильно использовать пароли, как отличить фишинговое письмо от безопасного и почему не надо скачивать стороннее программное обеспечение». Дмитрий Галов
«Да кому я нужен?» — самый распространенный миф
Возможно, данные конкретного пользователя действительно не представляют интереса для персонального преследования: тяжело шантажировать человека рассылкой личных фото, если его галерея состоит из фотографий счетчиков воды и селфи с любимым котом. Злоумышленников интересуют большие массивы данных о большом количестве людей — такие базы используют прежде всего телефонные и онлайн-мошенники. Например, зная номер телефона, фамилию, имя и отчество человека, а также марку и модель его машины, можно во время звонка представиться страховым агентом или сотрудником правоохранительных органов и быть достаточно убедительным, чтобы заключить поддельный договор страхования или заставить человека оплатить несуществующий штраф.
«Сейчас мы можем говорить о целом рынке персональных данных. Например, медицинские записи из частных клиник — это кладезь информации о вас. Зная паспортные данные, ваш анамнез и адрес проживания и имея под рукой экстренные контакты, указанные в карте, мошенники теоретически могут представиться медицинским работником и сообщить близким, что вам требуется срочная платная помощь». Дмитрий Галов
Более сложный вариант мошенничества — подтверждение личности пользователя с помощью скана паспорта и селфи с паспортом при регистрации нового аккаунта. Например, так можно стать обладателем фейкового профиля на криптобирже или в сервисе каршеринга. В итоге пользователь может невольно оказаться задействованным в схеме вывода чужих денег со счетов или «виновным» в правонарушениях злоумышленника на дорогах. Похожих способов монетизации — десятки, индустрия сбора и использования личной информации огромна.