Проблематика

 

Начать сей опус можно с цитаты Рональда Рейгана: «Информация – кислород современного мира». Интерпретировать цитату бывшего американского президента в нашем посыле можно как «информация о людях – альтернативная валюта современного мира», и эта валюта изо дня в день становится все более ценным активом в руках злоумышленников. Мы уже давно привыкли к тому, что нам постоянно звонят злоумышленники, например, под эгидой специалистов службы безопасности различных банков, прикрываясь легендой выманивают у доверчивых людей CVC/CVV коды банковских карт, вводят в заблуждение и настаивают на взятии кредитов и т.д. Схем вытягивания у доверчивых людей честно заработанных ими денег – масса. Всех этих злоумышленников объединяет одно неотъемлемое условие, при наличии которого они вам позвонят и попробуют «ободрать как липку» – в их распоряжении имеются ваши персональные данные, которые они постараются монетизировать. Но откуда у злоумышленника ваши персональные данные? Среди возможных источников сбора информации и последующей их продаже можно выделить следующие:

1. Компрометация баз данных: злоумышленники могут взломать базы данных организаций или онлайн-сервисов, где хранятся персональные данные пользователей. Это может быть результатом недостатков в системе безопасности или ошибок в средствах защиты информации.
2. Фишинг: злоумышленники могут использовать техники социальной инженерии, чтобы обманом получить персональные данные от пользователей. Они могут отправлять фальшивые электронные письма, имитирующие официальные запросы или ложные веб-страницы, чтобы ввести пользователей в заблуждение.
3. Украденные устройства: если устройство, содержащее персональные данные, было украдено или потеряно, злоумышленник может получить доступ к информации, находящейся на этом устройстве.
4. Нарушение конфиденциальности: иногда персональные данные могут быть получены злоумышленниками через нарушение конфиденциальности со стороны сотрудников организации, которая имеет доступ к таким данным.
5. Общественная информация и социальные сети: злоумышленники могут собирать информацию из общественных источников, таких как социальные сети, где пользователи могут случайно раскрыть свои персональные данные.

К сожалению – это не исчерпывающий перечень способов получения информации о нас.

Мы все чаще стали замечать в новости о том, что у какой-то фирмы вновь произошла утечка информации – персональных данных. После подобных инцидентов количество инцидентов с утекшими в руки злоумышленников нашими данными возрастает пропорционально. В таком порочном треугольнике, состоящем, как правило, из злодея, незаконно заполучившим чужие персональные данные и пытающимся их продать, злодея, пытающегося эти персональные данные монетизировать и обычного человека, как мы с вами, самым незащищенным, в том числе с правовой стороны, и битым с обеих сторон является простой человек – заложник ситуации. Одни злодеи воруют данные о нас, другие злодеи звонят по этим данным. Но так ли оно на самом деле? Что, если утечки данных являются лишь ширмой и все намного интересней, чем мы думаем.

С чем столкнулись мы

История 1. Привет Альфа-банкЕ

 

Раз вы читаете эту статью, то наверняка знаете, что LMSecurity – это компания, оказывающая услуги по информационной безопасности. Как и все юридические лица – мы имеем расчетный счет в одном из банков. А именно – Альфабанке. Так же ввиду специфики исполняемых работ – основная часть работников параноики, которые переживают о сохранности своих персональных данных, и соблюдают цифровую гигиену: не складывают данные в одну корзину, смотрят кому доверяют свои данные, лишний раз не светят своими данными.
В один прекрасный день – нам понадобилось оформить зарплатный проект и получить на всех работников банковские карты от Альфабанка. Тут стоит обратить внимание, что у меня два номера телефона и один номер уже был привязан в Альфабанке к моей карте, а другой – нет. Сотрудница банка указала мой второй номер в качестве контактных, в заявлении на выпуск зарплатной карты. Отправили заявление и стали ждать, когда нас пригласят для получения карт. Наконец настал день Х. Мы всем коллективом выстроившись попарно за руки дружно пошли получать карты в банк. Альфабанк шагает в ногу со временем и томительное ожидание обслуживания заменили на комфортную обстановку с электронной очередью. Вы приходите, получаете в терминале талончик и благополучно ждете на мягком кресле, когда к вам подойдет сотрудник банка. Для рядового потребителя услуг – ничего, казалось бы, страшного. Но для того, кто постоянно ищет изъяны, встал сразу вопрос: А как сотрудник банка знает к кому подойти и уже с ходу обращается к тебе по имени? А все на самом деле просто – банк без ведома собирает биометрические данные и у сотрудника на планшете, помимо ФИО – отображается и ваша свежесфотканая физиономия с терминала, на котором вы получали талончик для электронной очереди. Собрать собрали, но что же делать то с этим? Согласно букве закона – нельзя собирать персональные данные, а тем более биометрические, без согласия собственника. А согласие то берется. Помните те бумаги о согласии на обработку персональных данных, которые Вам постоянно подпихивают в различных местах при оформлении различных услуг? Так вот, Альфабанк тут не исключение, но если вчитаться в текст, то там есть согласие на обработку биометрии, среди всего остального перечня данных. Даже если писать отказ от обработки и регистрировать у них – никто на это не обращает внимание. Данные собираются.

Карту выдали, согласие собрали, казалось бы – на этом все должно закончиться и можно получать денежки от работодателя. Как бы не так. Через неделю всем работникам компании, которые получили зарплатные карты и писали заявления – начались звонки от мошенников. После начались спам звонки и продолжались на протяжении месяца. Напомню, что сотрудники в основной массе – параноики. Соответственно до этого момента никаких мошенников и спаммеров ни им, ни мне не звонили. Мало того, мне начались звонки именно на тот номер, который был указан в заявлении. Естественно, поняв откуда растут ноги, я написал запрос в службу поддержки Альфабанка по поводу утечки персональных данных и просьбой провести служебную проверку. Буквально через пару часов техподдержка отписалась стандартной отпиской, что была проведена проверка (через пару часов) и нарушений не выявлено. После чего мы написали заявление в Роскомнадзор по данному поводу. На что получили отписку. Созвонившись с Роскомнадзором, получили следующий комментарий: «Нет прямых доказательств, указывающих утечку данных от банка. Вот если бы мошенники позвонили и сказали, что взяли данные из Альфабанка, то да».

 

История 2. ОПСОСЫ тоже в теме

 

Как я уже говорил – у меня есть еще второй номер. Которым я фактически не пользуюсь. Звонки на него мне не поступают. По крайней мере не поступали до этого времени. Поскольку я не звонил с номера, то соответственно движений по биллингу не осуществлялось. В результате чего мой номер был заблокирован. Позвонил в тех. поддержку, а там милая дама сообщила, что необходимо подойти в отделение связи и переоформить номер. Что я в принципе и сделал. Пришел в отделение, дал паспорт, переоформил номер, его активировали и я неспешно ушел восвояси. Каково было мое удивление, когда на этот номер буквально через несколько дней начались спам звонки.

Выводы

 

Порывшись в сети, можно найти объявления о продаже данных с различных банков, ОПСОСОВ и всех тех «добрых» компаний, которые занимаются нашим обслуживанием. Альфабанк так же находится в этом списке. Неоднократно в СМИ фигурировала информация по поводу того, что сотрудники Альфабанка сливали данные. Учитывая масштаб утечки данных, отсутствия желания предпринимать по этому поводу какие-либо действия со стороны банка – закрадывается мысль о том, что помимо банковских услуг, существует теневая деятельность у крупных компаний. А именно продажа данных клиентов, и осуществляется она на уровне руководства, а сотрудники и хакеры являются лишь козлами отпущения и ширмой для прикрытия своих грязных делишек. Спамеры, мошенники и прочий сброд являются их прямыми клиентами. Не удивлюсь, если коллцентры организовываются теми же руководителями компаний, для быстрой монетизации данных.

С учетом того, что везде суют бумажки на согласие обработки ПДн, в которых указывается, что вы разрешаете обрабатывать ваши данные третьим лицам (а что это за лица никто не перечисляет), то концов в принципе не найти.

Разобрав немного проблему незаконного использования наших с вами персональных данных третьими лицами, стоит обратить внимание на способы защиты своих персональных данных. Защита персональных данных является важным аспектом в современном информационном обществе. Я опущу такие способы защиты своих персональных данных, как сильные пароли, двухфакторную аутентификацию и прочее, а коснусь наиболее уязвимой их части – защите общедоступной и около того информации о вас, например:

1. При регистрации на различных платформах используйте сервисы временной почты.
2. По возможности используйте две сим-карты, одна из которых будет у вас постоянная, а вторая как раз для регистрации на платформах. Сейчас еще есть возможность приобрести сим-карту без регистрации ее на свой паспорт с возможностью пополнения баланса через клиент банка.
3. Вместе с тем, при регистрации на платформах, называйтесь каждый раз другими именами, это позволит вам выявить какой сервис послужил утечкой информации в случае инцидента.
4. Внимательно читайте документы при их заполнении, в них всегда прописано самым мелким подстрочным шрифтом о вашем согласии на обработку персональных данных – отказывайтесь, либо в этом же документы прописывайте своими руками, либо заранее готовьте заявление об отказе об обработке персональных данных.
5. Если же утечка ваших персональных данных все-таки произошла, и вы знаете откуда именно, направьте в адрес этой фирмы заявление об отказе от обработки ваших персональных данных, желательно вручить его нарочно, в двух экземплярах, на одном из которых они поставят дату принятия и подпись лица, принявшего ваше заявление.