Аналитик Ульянов: Утечка данных может обернуться микрокредитами на имя пользователей

Пользователи цифровых сервисов могут застраховать себя на случай утечки данных, указав неполную или неверную информацию, однако данный способ актуален только для площадок, не требующих обширных сведений при регистрации – например, маркетплейсов или приложений розничных магазинов. При использовании учетной записи в банковских и прочих системах с подтверждением личности, пользователю остается лишь надеяться, что его персональная информация не утечет в руки злоумышленников. Об этом, а также о том, что хакеры и мошенники могут сделать с ворованными данными россиян, Общественной службе новостей рассказал руководитель аналитического центра компании Zecurion, эксперт по кибербезопасности Владимир Ульянов.

Для регистрации в системах банков, госучреждений и прочих серьезных организаций, граждане неизбежно предоставляют обширную и актуальную информацию о себе, часто подкрепляя ее копиями или сканами паспорта и прочих документов. Все эти сведения попадают в базы данных, откуда впоследствии они потенциально могут утечь в третьи руки.

Эксперт отметил, что сведения, которые обрабатываются и хранятся в этих организациях, высоко ценятся у злоумышленников – за ними охотятся и за них готовы хорошо платить. Однако такие системы часто бывают хорошо защищены от внешнего вмешательства – например, банки Ульянов назвал одним из «локомотивов рынка информационной безопасности». Поэтому утечки происходят не только в результате кибератак, но и из-за действий сотрудников, которые, имея доступ к системе, осознанно «сливают» данные пользователей в корыстных целях. Граждане, предоставляя информацию о себе таким организациям, могут только надеяться на то, что их данные будут должным образом защищены и не окажутся скомпрометированы, отметил специалист.

«Не нужно указывать избыточные данные».

Если же речь идет о менее значимых сервисах вроде маркетплейсов или программах лояльности розничных магазинов, то тут пользователи вполне могут застраховать себя на случай утечки, говорит специалист. Например, при регистрации можно указать другое имя.

«На каких-то не очень важных сервисах можно указывать не совсем корректные, не полные данные. Например, если мы говорим о доставке и заказах через Интернет, то не обязательно указывать все данные полностью, включая паспортные. Достаточно имени и номера телефона, чтобы курьер мог набрать и уточнить – куда и в какой интервал времени доставлять. Вовсе не нужно указывать избыточные данные. Сколько минимально необходимо данных, столько и предоставили. Другие мы не передаём, тем самым сокращая тот объём информации, которая в теории может попасть в руки злоумышленников», — добавил он.

Если персональные данные все же утекли, злоумышленники могут использовать их для разных целей – все зависит от того, какой именно информацией они овладели. Так, если им удалось украсть только контактные данные пользователя – например, номер телефона или адрес электронной почты – они могут использовать их для рассылки нежелательных сообщений и спама.

«Чем большим количеством информации обладают мошенники, тем легче им втереться в доверие».

«Стандартная схема мошенников – позвонил, обманул и получил какие-то деньги – будет работать только в том случае, если злоумышленник уже обладает какой-то информацией о своей потенциальной жертве, — говорит Ульянов. — Откуда взять эту информацию – как раз из утечек, прежде всего. Либо данные можно получить из открытых источников, но для этого нужно собирать сведения на каждого конкретного человека. Это довольно дорого, сложно и нецелесообразно. Гораздо проще взять уже готовую базу утекших данных и начать по ней обзвон. При этом чем большим количеством информации обладают мошенники, тем легче им втереться в доверие и обмануть человека, заставить его совершить нужное действие: выдать какой-то СМС код или заставить перевести деньги».

Если же в результате утечки злоумышленники получат достаточно данных, чтобы с помощью них получить деньги без непосредственного участия жертвы, они не будут заниматься звонками, подчеркнул эксперт.

«Поддельную заявку легче провести через какие-то небольшие сервисы».

«В теории, это могут быть заявки в микрокредитные организации или какие-то другие финансовые сервисы. Почему микрокредитные организации, а не обычные банки – уровень внимательности при рассмотрении заявок там немножечко ниже, поэтому поддельную заявку легче провести через какие-то небольшие сервисы. Понятное дело, что для этого недостаточно каких-то контактных данных. Обычно собирается относительно значительный пакет документов, включая и сканы этих самых документов, но опять же зависит от того, какие данные и откуда утекли», — резюмировал специалист.

Ранее в разговоре с ОСН эксперт по кибербезопасности Владимир Ульянов сообщил, что в настоящее время никто не застрахован от дипфейков со своим участием.