Персональные данные часто попадают в поле зрения хакеров: они дорого стоят, они востребованы и есть множество способов их получить. Поговорим о том, как персональные данные попадают в руки злоумышленников, кто должен их защищать и как конкретный человек может позаботиться о сохранности своих персональных данных.
Что такое персональные данные и кто должен их защищать
Согласно Закону Украины «О защите персональных данных», персональными данными являются сведения об идентифицированной личности или такие, благодаря которым можно идентифицировать конкретного человека.
Забота о сохранности персональных данных ложится не только на их владельца, а по большей части на компании, которым мы эти данные передаем. А делаем мы это постоянно: пользуемся услугами банков, покупаем товары в магазинах, регистрируемся на сайтах или устраиваемся на работу. Компания, которой мы доверили свои данные, должна сделать так, чтобы их не украли именно у нее. А нам же остается следить за тем, кому мы предоставляем столь ценную информацию.
Как персональные данные попадают в руки злоумышленников
Есть множество вариантов, как хакеры могут украсть ваши данные. Иногда это происходит даже случайно, а если точнее — по счастливой случайности для хакера. Куда большую ценность для злоумышленников представляют данные компаний — например, информация, являющая собой коммерческую тайну. Но так уж вышло, что наиболее простой точкой входа в инфраструктуру компании является именно рядовой сотрудник: его почта, мессенджер или устройство. Таким образом, взламывая телефон конкретного человека хакер получает доступ ко всему: от логинов и паролей в корпоративные сервисы до личных фотографий на клауде или истории переписок.
Но все-таки чаще всего наши данные «уплывают» в сеть через взлом приложений и сервисов, которыми мы пользуемся. Неудивительно: чтобы получить ощутимую выгоду от продажи украденных данных, хакер должен украсть тысячи записей. Для этого он может взломать тысячу почт, телефонов, аккаунтов, а может хакнуть одно слабо защищенное приложение или государственный сервис с защитой родом из начала нулевых.
Помимо персональных, ценность могут представлять и другие данные, которые мы «транслируем в сеть»: история передвижений, поиска, посещенных сайтов и действий на этих сайтах. Когда нам кажется, что это никому не интересно, следует вспомнить о том, что в другом углу ринга развивающаяся экосистема угроз: новые технологии у хакеров, появление понятия взлома как сервиса и услуги, организованность злоумышленников и спрос со стороны заказчиков. Есть люди, у которых бизнес построен на шантажировании других пользователей. Красть все подряд — вдруг что-то будет полезным.
Например, в некоторых странах можно купить информацию об авиаперелетах и всех деталях будущих рейсов: список пассажиров, паспортные данные, по которым куплены билеты, багаж, маршрут и так далее. Остается лишь догадываться, кому и о ком именно понадобится такая информация.
Поэтому я и акцентирую внимание на том, что сохранность данных должна быть первоочередной задачей именно компаний. Современный человек не может перестать пользоваться всеми благами человечества и интернетом в целом. При этом защитить свои данные от хорошо спланированных атак ему не под силу.
Правда, это не значит, что нужно бездействовать. Если борьбу с хакерами-профессионалами мы доверяем компаниям, то защититься от любителей-новичков и не попасть под «широкий закос» нам как раз под силу.
Как защитить данные самостоятельно
Включить двухфакторную аутентификацию
Речь идет о подтверждении логина куда-либо через дополнительный сервис — письмо на почту, уведомление в телефон и так далее. Получив логин и пароль, хакеры имеют доступы ко всем данным, двухфакторная аутентификация очень значительно влияет на ситуацию. Она делает логин и пароль бесполезными для хакера, ведь чтобы попасть, куда нужно, ему потребуется получить полноценный доступ и ко второму фактору: телефону, почте и т.д.
Переходить на e-SIM
Так вы защитите второй фактор аутентификации. Часто он заключается в звонке или SMS-сообщении на телефон — вам приходит пароль в сообщении, вы его вводите и входите в приложение. Или же поступает звонок от робота, который говорит «для подтверждения входа нажмите цифру 1». Если телефон попал в руки злоумышленника, то он может вытащить сим-карту и вставить ее в другой телефон, таким образом получив возможность пройти второй фактор.
E-SIM — цифровая сим-карта, лишенная физических недостатков. Ее невозможно вытащить из телефона и, как следствие, получить доступ к звонкам и СМС. Данный тип карты защищен напрямую операционной системой устройства, что является довольно внушительным шифрованием. Поэтому нужно внедрять e-SIM как только появится такая возможность. Если же переход на e-SIM по каким-то причинам вам недоступен, то как минимум установите надежный пин-код на симку.
Подвергать все сомнению
Изучайте рекомендации сервисов, на которых вы находитесь. Например, банк не будет звонить вам с целью актуализации данных или каких-то других действий с картой — вас попросят приехать в отделение или сделать что-то в приложении. Ну и другие уловки вроде «вы выиграли миллион, пришлите CVV для получения» — тоже, будем честны, из области фантастики.
Прежде чем принимать решения, следует:
· Присмотреться к ссылкам
· Присмотреться к письмам
· Не обсуждать по телефону банковские данные
· Перепроверять подозрительные данные
· Общаться только с проверенными источниками
· Разобраться в технологиях, которыми пользуетесь
Стоит помнить, что если прицелились в конкретного человека, то его изучат до косточек и пришлют такое письмо, которое он получает каждый день: от коллег, родственников, друзей или партнеров. Оно может даже выглядеть идентично и быть написано с учетом особенностей речи привычного вам отправителя, но тем не менее быть фейковым. С другой стороны, это уже более продвинутый уровень и таким атакам подвергаются далеко не все подряд.
Чаще всего пользователи попадают в поле зрения хакеров-новичков постоянно. Нужно просто быть внимательным и диджитал-подкованным. Например, когда «Дія» раздавала предпринимателям по 8000 грн в качестве помощи, появился фейковый портал, который воровал эти деньги со счетов вместо того, чтобы их начислять. Фейк просил ввести номер карточки, пароли и т. д. Если «включить скептика» — никто в текстовом виде никогда не спрашивает CVV код. И вот — под угрозой все, кто работает как ФЛП.
Изложенные выше рекомендации помогают защитить себя и свои данные на бытовом уровне. Здоровый уровень паранойи позволит снизить риск и повысить защищенность.
Как устранить последствия кражи данных
Главное, что нужно усвоить — риск есть всегда. Описанные меры, какой-то софт для безопасности и вообще все шаги, что можно предпринять, будут лишь снижать вероятность взлома. Потому о том, что делать, если все-таки вы стали жертвой утечки, знать необходимо.
То, что попало в интернет, не пропадет оттуда никогда. Украденные данные — не исключение, потому в первую очередь нужно сделать их неактуальными и заменить. Если это данные банковской карты — перевыпустите карту и смените пароли, если это паспортные данные — смените документы, номера телефонов, пароли и доступы в аккаунты — покупайте и регистрируйте новые.
Помимо этого, нужно понять, как произошел взлом, и в следующий раз принять меры для защиты, чтобы ситуация не повторилась. Для этого проведите самостоятельное расследование: подумайте о том, где использовали украденную информацию в последнее время, просмотрите логи мессенджеров и переписки в почте. Чаще всего злоумышленники пытаются обмануть, а не взломать. Например, пользователи куда чаще отправляют свои фотографии злоумышленникам сами, нежели становятся жертвами взломанных телефонов или облачных хранилищ.
Ваша задача — быть внимательными и думающими. Читайте договоры, проверяйте, кто вам пишет и звонит, подвергайте все сомнению, вникайте в условия на сайтах и прочих сервисах — это не гарантирует абсолютной безопасности, но убережет от 99% способов краж, которые встречаются каждый день.
Редакция не несет ответственности за содержание материала и может не разделять мнение его автора