Побочным продуктом цифровых благ цивилизации является то, что мы повсеместно вынуждены доверять. Доверять свое имя, контактные данные, фотографии, хобби, социальные связи и множество другой информации тем, кого мы не знаем лично и чьи намерения и степень компетентности в отношении хранения и обработки нашей информации нам тоже не известны. Как следствие, можно легко стать жертвой киберпреступников. Времена изменились, пора меняться и нам: новые технологии требуют новой психологии в отношении хранения и публичного распространения персональных данных.
Преступная доверчивость
Раньше все, что касалось вас, было известно, главным образом, тем, кого вы знаете лично. Обработка личных документов учреждениями занимала столько времени, что ее могли позволить только в отношении отдельных особо интересных лиц. Видимо, из-за этого люди привыкли доверять и, похоже, совершенно не заботятся о конфиденциальности своей информации.
Фото из группы «Необычная реклама» социальной сети «Вконтакте»
Постоянно появляются новости об уязвимостях тех или иных сервисов. В частности, сообщалось о компрометации транзакций плательщиков RBK Money, взломах и распространении пользовательских данных сайтов знакомств Topface и FriendFinder, приведших к раскрытию крайне чувствительной информации. Недавно стало известно, что 94% корпоративных информационных систем не защищены от взлома и позволяют получить полный контроль над критически важными ресурсами компаний, среди причин, в числе прочих, называется человеческий фактор. Это крупные, известные бренды, что говорить об уровне цифровой безопасности веб-сайта булочной по соседству?
Но зачастую личные данные оказываются в открытом доступе по воле самих пользователей. Например, мы добровольно выкладываем свои контакты с целью обмена SMS-сообщениями со случайными людьми в рамках промо-кампании. В некоторых группах социальных сетей тысячи людей публикуют свои номера телефонов, позволяя администраторам и другим посетителям страницы собирать данные и ассоциировать конкретного пользователя с его телефонным номером. Например, пост «А давайте напишем SMS совсем незнакомому человеку, сделаем приятное друг другу (номера в обсуждение)» в группе «Необычная реклама» социальной сети «Вконтакте» на данный момент собрал более 1200 комментариев, большинство которых содержат телефонные номера.
То же самое можно встретить на страницах сотовых операторов в соцсетях. Пользователи охотно публикуют свои номера и скриншоты экранов мобильных телефонов, например, при возникновении вопросов по списанным с баланса средствам или с целью получения технической поддержки. Это легкая добыча для мошенников, использующих инструменты социальной инженерии, но об этом чуть позже.
Охотники за данными
Конфиденциальная информация интересна в первую очередь рекламодателям. Используя автоматизированные инструменты, они могут обрабатывать данные, сортируя пользователей по местоположению, возрастным группам, интересам и другим характеристикам. С этой категорией заинтересованных лиц скорее связаны лишь незначительные проблемы, такие как спам или навязчивая реклама.
Гораздо хуже обстоят дела, когда ваша информация попадает в руки преступников, которые на основе данных вашего онлайн-профиля могут составить четкое представление о вашем социальном статусе, друзьях и привычках. Благодаря этому, заразить компьютер или телефон становится в разы проще, ведь теперь злоумышленники могут осуществить нацеленную атаку, заранее выявить и защититься от которой практически невозможно. Все зависит только от изобретательности атакующего и качества исполнения. Результатом может быть кража средств с банковского счёта, взлом аккаунтов социальных сетей, заражение компьютера с целью получения доступа к его вычислительным мощностям и т. д.
Преследователи и частные сыщики – особая категория. Попасть в поле их интересов гораздо менее вероятно по сравнению с предыдущими двумя группами заинтересованных лиц. Однако, не стоит недооценивать потенциальные риски. В связи с актуальностью проблемы в Англии и Уэльсе преследование, или сталкинг, уже в 2012 году стало уголовно наказуемым преступлением. Для преследования в цифровом пространстве появился специальный термин – киберсталкинг.
В качестве сноски на полях, выходящей за рамки статьи, отметим, что спецслужбы, в частности в России и многих других постсоветских странах, и так обладают или при желании могут получить практически любую конфиденциальную информацию о своих гражданах благодаря системам типа СОРМ (сокращение от Система технических средств для обеспечения функций оперативно-розыскных мероприятий).
Инженеры человеческих душ
Учитывая распространение нелицензионного программного обеспечения, связанный с ним отказ от обновления операционной системы и низкий уровень осведомленности общества в вопросах цифровой безопасности, заражение компьютера или смартфона среднестатистического пользователя не вызывает особых сложностей. Все, что для этого порой требуется — это переход по ссылке или запуск вложенного в сообщение файла.
Видимо по этой причине массовые рассылки спама до сих пор сохранили свою актуальность, несмотря на то, что их очень легко определить. Ниже представлен пример стандартного спам-письма, отправленного широкому кругу лиц и плохо адаптированного для русскоязычной аудитории. Как правило, такие сообщения автоматически блокируются спам-фильтрами, в противном случае пользователь может легко идентифицировать это сообщение как спам.
Пример массовой рассылки спама, плохо адаптированного под русскоязычную аудиторию
Для повышения эффективности рассылок используются методы так называемой социальной инженерии. Социальная инженерия представляет собой методологию манипуляции человеком, основанную на создании доверительного отношения к атакующему. Аналогичное представленному выше сообщение будет гораздо убедительнее, если придет от компании, в которую вы обращались этим утром, будет написано грамотным языком, а его содержание будет актуальным для вашего конкретного случая. В таком случае вероятность того, что вы откроете вложенный файл или перейдете по ссылке, увеличивается в разы. Даже опытному пользователю, осведомленному о возможностях подобных атак, сложно порой определить вредоносное письмо. Одним из множества негативных последствий может быть взлом почтового ящика и аккаунтов социальных сетей, которые могут повлечь за собой раскрытие личной информации, финансовые потери и нацеленные атаки на контакты взломанного пользователя.
Существуют сайты, открыто предлагающие услуги по взлому электронной почты. FAQ владельцев сайта сообщает: «Если почтовый ящик, который вы заказываете, активен и его проверяют регулярно, то работа может уложиться в 12 часов. Чем быстрее проверят почту после вашего заказа, тем больше вероятность быстрого выполнения заявки». Отсюда можно сделать вывод, что атака ведется исключительно с помощью средств социальной инженерии, т.к. требует некоего действия (например, открытия ссылки в письме) от адресата. И это вполне логично: «взломать» человека при помощи психологических инструментов проще, чем, например, перебирать все возможные пароли.
Социальная инженерия выходит далеко за рамки электронных писем. Продуманные сообщения со ссылками отправляются через SMS, интернет-сервисы типа Viber, WhatsApp и другие. Распространение вредоносных программ через SMS-рассылки уже приводили в России к массовым заражениям смартфонов и огромному количеству пострадавших от ограбления банковских счетов. Для большей убедительности злоумышленники могут и вовсе позвонить вам, сообщая уверенным голосом, что вам непременно нужно поскорее проверить почту и перейти по ссылке или распечатать и подписать вложенный в письмо PDF-документ, чтобы быстрее вернуть по ошибке списанную с вашего баланса сумму.
Учитывая простоту реализации мошеннической схемы, решиться на такие неправомерные действия может любой мало-мальски грамотный в компьютерных вопросах пользователь. Таких хакеров-любителей, как правило, ловят и с недавних пор за подобные преступления дают реальные сроки.
Под личную ответственность
Последствия заражения компьютеров и смартфонов, взлома учетных записей и утечки конфиденциальных данных напрямую связаны с финансовыми потерями, которые в реалиях постсоветской действительности далеко не всегда возвращаются жертвам и всегда причиняют массу проблем.
Помимо финансовых потерь, важно помнить о неприкосновенности частной жизни. Утечка личной информации и предание огласке секретов человека может разрушить его отношения с близкими, привести к гонениям со стороны общественности (например, это касается представителей ЛГБТ-сообщества в традиционно консервативных регионах) и, таким образом, нанести серьезный моральный ущерб.
Пренебрежительное отношение к обеспечению собственной цифровой безопасности может сказаться не только на вас, но и на ваших близких. Использование взломанных учетных записей для имперсонализации (то есть выдачи себя за кого-то другого) и атаки на контакты жертвы является стандартной практикой киберпреступников. Пора начинать относиться к своим электронным данным с не меньшей ответственностью, чем к привычным бумажным: если вы не станете делиться с первым встречным на улице номером своего телефона и паспортными данными, не стоит этого делать и в сети, где навредить вам гораздо проще.