Не проходит и недели, чтобы в СМИ не появилось сообщения о мошенничестве, в результате которого люди лишились денег со своего счета в банке, с банковской карты или из электронного кошелька. Чаще всего основную роль в этом процессе играет так называемая социальная инженерия, а технические методы взлома вторичны. Часто они применяются, если вообще применяются, только на одном из этапов мошенничества. Потеря банками наших данных для доступа к совершению трансакций, то есть нашего логина и пароля, чрезвычайно редкое явление. А вот утечки персональных данных — наших паспортных данных, номера счета или карты, номера транзакций и счетов, СНИЛС и прочего — случаются.
Все, что может быть использовано
Сейчас для большинства людей уже очевидно, что потеря персональных данных — это не только утрата конфиденциальности личной жизни, но и облегчение жизни мошенникам, применяющим методы социальной инженерии. Чем больше мошенник о вас знает, тем проще ему сфабриковать ситуацию, в которую вы поверите. «Перефразируя американских стражей порядка, можно с уверенностью утверждать, что “все ваши данные в случае утечки будут использованы против вас”, — рассказывает технический директор Qrator Labs Артем Гавриченков. — Единственным препятствием к этому является физическая невозможность использования каких-то данных в пользу злоумышленника». Поясним: банки хранят наши паспортные данные, но это не настолько опасно с финансовой точки зрения, как кажется. Ведь практически для всех юридически значимых операций, где используется наш паспорт, требуется его оригинал и личное присутствие владельца. Лазейки появляются — например, нашумевшая недавно серия сделок с квартирами с поддельными электронно-цифровыми подписями: в прошлом году был зафиксирован первый случай в России кражи квартиры с помощью сфальсифицированной электронной цифровой подписи (ЭЦП). Москвич Роман обнаружил, что в очередной квитанции за коммунальные услуги у его квартиры на Тверской улице указан уже новый владелец. После обращения в Росреестр выяснилось, что злоумышленники дистанционно подарили квартиру некоему жителю Уфы, подписав электронные документы ЭЦП. Роман же никогда ЭЦП не оформлял.
«Довольно опасным и актуальным в последнее время становится вектор с незаконным получением квалифицированной электронной подписи, которую можно использовать для получения ряда госуслуг, включая подписание договора купли-продажи или дарения квартиры без ведома собственника, — говорит директор FBK CyberSecurity Александр Черненко. — Помимо этого встречаются и более экзотические сценарии, когда целью злоумышленников становится получение доступа к разнообразным сервисам, не только финансовым, где удаленная идентификация часто проводится по дате рождения и паспортным данным, а не по кодовому слову». Речь идет о соцсетях, бонусных программах, платных онлайн-сервисах, в том числе игровых. Недавно в СМИ был описан случай взлома аккаунта в каршеринге — злоумышленник арендовал дорогую машину, а заплатил за это владелец аккаунта.
