Как защитить свои персональные данные: от звонков «сотрудников банка» до фишинговых сайтов

«На вашем счету подозрительная активность», или Как работают мошенники

Мошенники с невероятным усердием придумывают всё новые и новые способы отъёма денег у населения – и им неважно, пенсионер или школьник, инвалид или мать-одиночка станет его жертвой. Не так давно аферисты освоили очередной источник средств – молодёжные «Пушкинские карты».

Многие подростки мечтают пополнить свой скудный бюджет за счёт средств, «замурованных» в «Пушкинской карте». Но потратить эти деньги можно только на культурный досуг: билеты в театр, кино или на балет. Ушлые «предприниматели» научились извлекать их простым способом: они создают ИП, которое начинает продавать билеты на несуществующие спектакли. И эти билеты они сами оплачивают с «Пушкинских карт».

Но как же аферисты получают данные карт? Тоже довольно легко: в соцсетях они создают группы и каналы для подростков, где обещают за небольшую (а иногда и большую) комиссию перевести средства с «Пушкинской» карты на банковскую. Подростки сообщают данные своих «культурных карт»… И остаются ни с чем. По информации правоохранителей, на эту удочку попадаются десятки тысяч школьников и студентов.

Не устаревают по эффективности и звонки от «сотрудников банка», якобы заметивших «подозрительную активность» на счетах жертв. Убеждённые мошенниками в том, что их средства в опасности, люди сами сообщают конфиденциальную информацию, и деньги мгновенно «испаряются». Так, 9 января петербургский пенсионер, проживающий в Калининском районе, лишился 40 млн рублей – он сам перевёл их на указанный злоумышленниками счёт.

Прекрасно продолжает работать и схема «ваш сын/дочь стал виновником ДТП, нужны деньги на взятку». При такой схеме мошенники звонят пожилым людям (чаще всего, но далеко не всегда) и сообщают о печальном известии: случилась беда, переведите деньги, чтобы «отмазать» кровиночку. А если с мобильными банками не дружите – подвезите наличку.

По этому шаблону в январе текущего года молодой аферист похитил у 93-летней пенсионерки 1 млн 358 тыс. рублей, заявив, что её дочь стала виновницей аварии. Деньги он убедил бабушку передать курьеру. Всё это – методы социальной инженерии, о которых следует поговорить отдельно и в другой раз.

Объёмы хищений в России: официальная статистика

Сколько и как крадут

По информации Банка России, за III квартал 2022 года кибермошенники похитили у россиян почти 4 миллиарда рублей – на 23,9% больше, чем за тот же период 2021 года. При этом аналитики банка отметили интересную тенденцию: случаев обмана стало меньше, тогда как объём денежных средств, украденных в каждом случае, вырос. Всего же в III квартале прошлого года злоумышленники совершили 229,8 тысячи удачных попыток обмана и хищения средств.

Особенно популярен у мошенников, по информации банка, фишинг – а именно хищения средств с помощью поддельных сайтов финансовых организаций и известных магазинов. Как отчитались эксперты финансового регулятора, за девять месяцев 2022 года по инициативе Банка России было заблокировано более 10 тысяч подобных сайтов.

Процент возврата похищенного

А вот процент похищенных средств, которые банки всё же вернули обманутым мошенниками клиентам, оказался весьма невелик – в III квартале 2022 г. он составил всего 3,4% (134,3 млн рублей) от общей суммы хищений. Но почему так мало?

Как объяснил директор Департамента информационной безопасности Банка России Вадим Уваров, в данный момент по закону банки не обязаны возвращать деньги в том случае, если клиент сам назвал данные карты аферистам или самостоятельно перевёл средства на их счёт. Однако законопроект, предполагающий возврат средств людям, которых мошенники ввели в заблуждение, уже разработан при помощи Банка России и в данный момент рассматривается в Госдуме.

Что такое персональные данные и кто защитит от онлайн-кредитов?

Проясняем понятие

Что же относится к персональным данным, помимо номера банковской карты и другой информации с разных её сторон?

• фамилия, имя, отчество
• дата рождения
• адрес
• семейное положение
• образование
• пол
• серия и номер паспорта, время и место его выдачи
• номер телефона
• адрес электронной почты

Полный перечень содержится в соответствующем законе – Федеральном законе № 152-ФЗ «О персональных данных». Но в целом же это «любая информация, относящаяся к прямо или косвенно определенному <…> физическому лицу». Понятно, что часть этой информации может быть доступна всем, а часть – конфиденциальна. К примеру, паспортные данные, украденные злоумышленниками, легко могут сделать вас «счастливым владельцем» множества кредитов, взятых в микрофинансовых организациях онлайн.

Ужесточение требований к МФО

Отметим, что с последним, весьма распространённым явлением Банк России решил бороться. Пресс-служба финансового регулятора 23 января анонсировала новую редакцию базового стандарта для операций МФО. Теперь при оформлении онлайн-микрозаймов организации будут обязаны убедиться в действительности паспорта клиента, подлинности фото и в том, не используют ли эти данные мошенники. Всего было анонсировано 10 пунктов проверки, из которых МФО будут обязаны использовать хотя бы три.

Виды киберугроз

Социальная инженерия – способ заставить людей самостоятельно и напрямую передать свои деньги мошенникам. Но в интернете вас и ваши персональные данные ждут и другие угрозы. Основных видов угроз кибербезопасности простого пользователя в сети в наши дни несколько (по данным компании Positive Technologies — разработчика решений для информационной безопасности):

• вредоносное программное обеспечение
• фишинг
• сталкерское программное обеспечение
• криптоджекинг (способ, при котором злоумышленник использует вычислительные данные компьютера жертвы для майнинга. С переходом самой популярной криптовалюты Эфириум на новый механизм майнинга, не требующий высоких энергозатрат, эта киберугроза стала не слишком актуальна)

DoS-атаки и прочие подобные угрозы простых пользователей обычно не беспокоят – они направлены на крупные компании, СМИ и т.п.

Кроме того, существует такое неприятное явление, как доксинг – поиск личной информации о человеке с последующим шантажом. Злоумышленник может угрожать жертве опубликовать личные данные самого разного характера, от адреса и телефона до банковских данных. Сюда же относится шантаж, связанный с обнародованием интимных видео.

Как к нам проникают вредоносные программы?

Как понять, что у вас на компьютере «засела» вредоносная или сталкерская программа? И откуда она в принципе может там взяться? На эти вопросы нам отвечает представитель IT-индустрии – старший инженер тестирования российской IT-компании Станислав Костомаров:

– Не имеет значения, сталкерская это программа, криптомайнинговая или «вредоносная». Сталкерские программы тоже вредоносные, просто вредят неявно. Явный вред – это, допустим, блокировка компьютера с вывешиванием порно-баннера на весь экран и требование заплатить денежку по такому-то адресу, иначе все данные останутся заблокированы. Это стандартная история, на которую многие попадались.

Если говорить про шпионские программы – это может быть, например, кейлоггер («клавиатурный шпион» – прим. авт.), который просто записывает, какие клавиши вы нажимаете, и отправляет эти данные злоумышленникам. Очевидно, что среди этих нажатий рано или поздно будут какие-то логины и пароли. Другие вредоносные программы могут красть пароли, сохранённые в браузере и т.д.

Но, независимо от характера действия вредоносных программ, все их можно «подцепить» одинаковым способом: перейти по непонятной ссылке, зайти на подозрительный сайт и кликнуть там на подозрительный баннер или скачать из непроверенного места какую-либо программу. Программы с файлообменников или торрентов – откуда они, кто их туда выложил? В их инсталляторах могут быть вирусы. А чтобы вредоносная программа установилась, нужно дать исполниться её коду – запустить исполняемый файл.

Всего расширений исполняемых файлов около трёх десятков, а самые популярные из них – .exe, .bin, .js. И запустить такой файл может только сам пользователь, подчеркнул наш собеседник. Соответственно, необходимо внимательно смотреть, что именно вы нажимаете и какого типа файл, который вы хотите скачать. Как отметил Станислав, современные антивирусы неплохо справляются с большинством угроз из интернета.

– К примеру, в Windows по умолчанию есть достаточно хороший Microsoft Defender, если вы не планируете устанавливать другие антивирусы, то отключать его точно не стоит. Антивирусы сначала предупредят вас об опасности и спросят, стоит ли загружать из интернета или запускать тот или иной файл, если сочтут его подозрительным. Есть неплохие бесплатные антивирусы, да и подписка на известные платные антивирусы стоит около тысячи рублей в год.

Профилактика вредоносных установок

Меры предосторожности очень простые и очевидные:

– Если вы хотите установить какую-то программу, лучше всего идти на официальный сайт её разработчика и скачивать оттуда. Если вы по каким-то причинам не хотите или не можете перейти на официальный сайт разработчика, нужно идти в проверенные интернет-магазины. И точно не стоит скачивать искомое со случайного сайта. Всегда есть шанс, что в этой программе будут какие-то шпионские модули. Скачивание с торрентов – то же самое. На торрентах лежат взломанные программы, но кто их взламывал? Тут никто не может гарантировать безопасности.

Есть, конечно, известные группы хакеров, которые взламывают программы. У них есть свой, можно сказать, бренд. Они из года в год этим занимаются, и, если программа взломана такой группой, это своего рода «сертификат качества». Но, по факту, никто не может гарантировать, что и эти люди не собирают как-то втихаря ваши персональные данные. Всё возможно, и пользоваться такими программами можно только на свой страх и риск.

При этом всегда есть шанс наткнуться на злоумышленников, маскирующихся под известные хакерские группировки. То есть вы видите, что программа взломана известной группой хакеров, которой вы по какой-то причине доверяете, скачиваете её… А это подделка с вирусами.

Как вычислить вредоносный сайт или ссылку

Если вы всё же решили перейти по неизвестной ссылке, обратите внимание на несколько моментов:

• ошибки в написании адресов известных сайтов: лишние буквы, точки там, где их быть не должно. Всё это говорит о том, что перед вами фишинговый сайт-подделка. Даже не думайте вводить на таком сайте логин или пароль, оставлять какие-то личные данные.
• моментальное перенаправление вас с нужного сайта на какой-то другой – скорее всего, фишинговый.
• адрес должен начинаться с «https». «Это защищенное соединение (s – secure). И, если вас на странице оплаты просят ввести данные банковской карты, а адрес страницы просто http – это явное мошенничество», – отметил Станислав.
• при наведении курсора на различные кнопки и ссылки на сайте всплывает не соответствующее надписям на этих кнопках содержание.
• большой объём визуального шума на сайте: всплывающей рекламы, предложений сыграть в лотерею и т.п.
• несоответствие содержания сайта описанию, которое заставило вас перейти по ссылке.
• после перехода по ссылке на сайт загружается некий файл – ни в коем случае не нажимайте на него, не устанавливайте никакие программы.

Шпионы в смартфоне

А как определить, что вредоносное приложение засело на смартфоне? Всё тоже довольно просто, отмечает Станислав Костомаров:

• Вы начинаете замечать, что телефон стал слишком быстро разряжаться. Причина может быть в том, что какое-то приложение постоянно работает фоном и использует ресурсы устройства. Конечно, нужно проверить для начала, сколько энергии оттягивают на себя приложения, которые вы установили вполне осознанно.
• Внезапный рост исходящего траффика. «То есть какие-то данные передаются с вашего устройства. А куда и зачем они передаются?.. Это тоже может быть звоночек».
• Приложение может запрашивать доступ к функциям, которые ему не нужны. Например, камере, микрофону, галерее и т.п. «Если это, например, программа-блокнот или банальная игра, которым не нужны такие уровни доступа, стоит задуматься».

Задумываться стоит всегда, нажимая любую кнопку, переходя по любой ссылке в интернете. И, конечно, нужно очень трепетно относиться к своим паролям и данным банковских карт. А для оплаты покупок в интернете лучше всего использовать специальную виртуальную карту, на которой вы не храните средства постоянно – чтобы, если её данные всё же «утекут» злоумышленникам, не потерять все деньги разом.