Кража личности

Как хакеры охотятся за персональными данными


Кража личности. Против компании Sony, допустившей утечку личных данных почти 100 млн пользователей сети PlayStation Network, подан первый иск. Адвокаты не сомневаются, что последуют иски и от других пострадавших. Sony в результате скандала может потерять до $1,5 млрд, считают аналитики. Как хакеры охотятся за персональными данными — выяснял The New Times


В конце апреля хакеры взломали три системы онлайновых развлечений компании Sony — PlayStation 3, Sony Online Entertainment и Qriocity. Их клиентами были примерно 100 млн человек. Они играли в компьютерные игры, смотрели фильмы, слушали музыку и, расплачиваясь за услуги, указывали собственные имена и фамилии, даты рождения, адреса, номера и коды своих кредитных карт и другие персональные данные. Теперь эта информация попала в руки жуликов, которые могут использовать ее для получения кредитов и покупки товаров от имени жертв электронного взлома. Последствия будут давать о себе знать еще много лет, предсказывает Стив Уорд, представитель компании Invincea, специализирующейся на интернет-секьюрити.


Хакерская атака


Первый иск против Sony поступил в суд штата Калифорния: он подан адвокатской конторой Rothken Law Firm, которая специализируется на коллективных исках. Пока контора представляет интересы 36-летнего пользователя сети американца Кристофера Джонса, но уже объявила о том, что ищет других пострадавших, чтобы превратить иск в групповой.


Размер компенсации, требуемой истцом, не указывается. Но, по оценке председателя компании Ponemon Institute Ларри Понемона, Sony в результате скандала может потерять до $1,5 млрд. В этой сумме эксперт учитывает не только выплаты по многочисленным возможным искам, но и потенциальное падение продаж «игрушек» японской компании. Понемон считает, что любители игровых приставок переключатся с PlayStation на Xbox Live от Microsoft. На фоне скандала акции Sony уже начали падать: за последние две недели — на 8,5%.


Сеть PlayStation Network перестала работать вечером 20 апреля. Администрация Sony объяснила, что сеть пришлось отключить в связи с атакой хакеров, которые все же успели получить доступ к личным данным пользователей. Потеря персональной информации может дорого обойтись Sony. «Основную сумму составляют даже не выплаты по искам потерпевших (им при отсутствии прямого ущерба в лучшем случае могут выплатить пару тысяч долларов), а крупные штрафы со стороны надзорных органов», — говорит аналитик компании SearchInform Роман Идов.


Хакеров, осуществивших атаку на игровую сеть, интересовали деньги, которые можно заработать на продаже персональных данных игроков, уверен специалист по безопасности G Data Software в России и СНГ Роман Карась. «Стоимость такой информации на подпольных форумах может достигать €70 за одну кредитную карту и €25 за кредит в PlayStation Network», — уточнил эксперт. Кроме того, знание персональных данных пользователей позволит спамерам развернуть целую серию ловушек для владельцев аккаунтов, чтобы выманить из них еще больше денег. Аналитик Huffpost Tech Ларри Магид прогнозирует массовую рассылку на похищенные электронные адреса так называемых фишинговых писем — ссылок на страницы, выглядящие как официальные сайты компьютерных игр, где мошенники просят ввести свои данные* * The New Тimes подробно писал об этом виде компьютерных преступлений в № 9 от 14 марта 2011 г. .


На мушке


Корпорации Sony — не первая и, к сожалению, не последняя из больших компаний, ставших жертвой хакеров. Вот только несколько примеров масштабных «утечек», случившихся в США за последние годы: одна из крупнейших баз данных, ChoicePoint, недосчиталась личных параметров 145 тыс. человек. Другая ведущая база данных, LexisNexis, потеряла данные на 310 тыс. лиц. Корпорация Time Warner — 600 тыс. персональных файлов. Bank of America аналогичным образом «осчастливил» порядка 1,2 млн своих клиентов, компания Citigroup потеряла личные данные 3,9 млн человек.


О неприятных сюрпризах, связанных с потерей персональных данных, автор этих строк знает не понаслышке. В прошлом году решил сменить оператора мобильной связи. Заполнил заявление на сайте компании и ждал посылки с новыми телефонами. И вдруг — отказ. Оказалось, что в этой компании мобильной связи на авторе висит долг в несколько тысяч долларов, о котором я — ни сном ни духом. Запросил в кредитном бюро свое досье — credit report. Получил, как полагается в таких случаях, бесплатно. В разделе «Негативная информация»: тот самый мифический долг телефонной компании. Имя и фамилия — мои, номер социального страхования — тоже, а адрес и телефон — «от фонаря».


Подал в кредитное бюро жалобу, они провели расследование: автор был реабилитирован, но времени и нервов пришлось потратить немало. Жулики, выставившие компанию мобильной связи на несколько тысяч долларов, так и не были найдены. Как получили доступ к персональным данным — тоже осталось тайной. У полиции и ФБР сил хватает только на «крупняк».


Национальное бедствие


В США, по оценкам Федеральной торговой комиссии, каждая четвертая семья так или иначе столкнулась с утечкой персональных данных. Каждый год мошенники похищают личные данные порядка 10 млн человек — около 3,25% населения. Для сравнения: в Великобритании ежегодно происходит примерно 100 тыс. случаев хищения личных данных (0,17% населения). Эксперты связывают такое различие в цифрах с особенностями европейского и американского законодательств в области защиты персональных данных. В частности, законодательство стран Западной Европы запрещает компаниям делиться персональной информацией с другими организациями — ее нельзя ни продавать, ни отдавать задаром. В Америке это дозволено. В Европе компаниям не разрешается создание и продажа баз данных с адресно-телефонной историей людей. В США подобные базы данных часто используются коммерческими организациями, которые, разыскивая должников, связываются с их родственниками и соседями по всей цепочке адресов. Наконец, директивы Европейского союза ограничивают накопление персональной информации, поэтому там невозможно создание гигантских баз данных, таких как американские ChoicePoint или LexisNexis.


В России хакерские атаки, направленные на кражу персональных данных, тоже пока встречаются нечасто, успокаивает Роман Идов из SearchInform: электронные платежи у нас значительно менее распространены, чем на Западе. Впрочем, громкие истории, связанные с утечкой персональных данных, случаются и у нас. В начале мая в распоряжение прокремлевского движения «Наши» попали данные 100 с лишним человек, которые перечисляли средства при помощи сервиса «Яндекс.Деньги» на поддержание антикоррупционного сайта адвоката Алексея Навального «РосПил». Как выяснилось, данные эти у «Яндекса» запросила ФСБ России, после чего они и перекочевали в руки «третьих лиц». «Если вы собираетесь бороться с хакерами, — заявил по этому поводу известный блогер Антон Носик, — то имейте в виду, что они сидят в госорганах».


«Российская специфика — «слив» баз персональных данных из государственных органов, — подтверждает Роман Идов. — На черном рынке можно купить базы ГИБДД, телефонные базы, сведения о прописке и судимостях. Но за это даже не штрафуют, или же дело ограничивается символическими суммами в несколько тысяч рублей». «На компенсацию по судебным искам россиянам тоже пока что рассчитывать не приходится. Большинство дел, связанных с утечкой персональных данных, даже если они доходили до суда, прекращалось в связи с отсутствием состава правонарушения», — добавляет эксперт.


Надежда на прогресс


Некоторые эксперты считают, что проблема кражи личных данных рассосется сама собой по мере развития технологий. Уйдут в прошлое «пластиковые деньги» — кредитные карточки. Не надо будет оставлять свои личные данные на сайтах интернета. Вместо этого мы будем, к примеру, носить на руке электронный чип с уникальной личной информацией, а некое хитрое устройство будет при необходимости считывать наши данные. Или же умные автоматы будут без всяких карточек опознавать нас по отпечаткам пальцев. Эта технология, кстати, уже существует в США: в штатах Техас, Миссури, Вашингтон, Канзас люди расплачиваются в некоторых магазинах, прикладывая пальцы к специальной пластинке.


В середине мая международная компания Visa, которая является мировым лидером электронных платежей, объявила о запуске новой услуги — цифрового кошелька. Он позволит своим владельцам иметь сразу несколько счетов, причем они могут быть открыты в разных банках. Но самое главное: для использования этого цифрового кошелька не потребуется пластиковая карта — достаточно обычного мобильного телефона.


В Японии и Южной Корее пользователи «мобильников» уже могут с их помощью делать покупки: сумма покупки сразу вычитается с банковского счета. Встроенные в телефоны электронные микросхемы, работающие на радиочастотах, настолько хорошо защищены, что у хакеров — пока — нет шансов на перехват информации или взламывание счетов.


    Как защитить свои персональные данные

    Советы от Джона Силео, автора бестселлеров на тему кражи личных данных («Украденные жизни», «Личные данные как источник прибыли»):


    • Если вы состоите в социальных сетях типа Facebook или Twitter, установите такие настройки, которые не позволяют видеть ваш профиль через Google и прочие поисковики.


    • Сделайте так, чтобы вы делились информацией только тогда, когда на это поступила от вас команда, а не автоматом, «по умолчанию».


    • Не выставляйте на своей страничке ничего лишнего — там должно быть только то, что вы не боитесь предать гласности.


    • Не надо сохранять в интернете пароли для легкого захода на веб-сайт. Такая «экономия времени» может вам дорого обойтись, если ваш компьютер окажется в руках жулика.


    • Не позволяйте веб-сайтам сохранять впрок номера ваших кредитных карточек. Лучше лишний раз напечатать 16 цифр, чем потом расхлебывать последствия кражи ваших данных.


    • Прежде чем ввести свои личные данные на каком-то коммерческом сайте, убедитесь, что адрес данной страницы начинается не с http, а с https: это — признак защищенной страницы, с которой безопасно делать финансовые транзакции и посылать личные данные.


    • Не делайте покупок у тех интернет-продавцов, которые на своих сайтах не указывают физического адреса и номера телефона. Если координаты фирмы — только почтовый ящик и адрес электронной почты, это должно быть для вас красным сигналом светофора.


    • Не спешите на подмогу «друзьям, попавшим в беду», которые просят о помощи: прежде чем высылать деньги, позвоните им по телефону.


    • Если кто-то звонит вам или присылает е-мail с просьбой подтвердить ваши личные данные — номер банковского счета, ИНН и т.п., не торопитесь отзываться. Банки, кредитные компании и госучреждения, под которые чаще всего маскируются жулики, обычно не «переспрашивают» информацию, которая у них хранится.


    • Сведите до минимума количество кредиток — не давайте лишних шансов ворам. При покупке через интернет авиабилетов, книг, лекарств и т.д. пользуйтесь одной и той же кредитной карточкой. И свой электронный адрес всем коммерсантам давайте один и тот же — даже если у вас их целая дюжина.


    • Не носите в кошельке, бумажнике, сумочке PIN-коды, пароли, номера счетов и т.п. Если вы не можете запомнить нужные данные, занесите их в записную книжку, которая всегда с вами, но замаскируйте эти данные тем или иным способом — напишите не полностью, на другом языке, каким-то шифром…


    • Пропускайте через шредер все старые банковские выписки, все ненужные чеки и квитанции — не выбрасывайте просто так ни единой бумажки, на которой есть хоть какая-то опознавательная информация.


    Бараникас Илья, Нью-Йорк


The New Times


Поделиться
Комментировать

Популярное в разделе