Персональные данные злоумышленника

Предлагаем ознакомиться с тематической статьей, в которой полностью освящен вопрос: персональные данные злоумышленника. Если после прочтения останутся дополнительные вопросы или уточнения, то обратитесь к дежурному юристу.

Что делать, если персональные данные предположительно были украдены?

Наступившая эпоха социальных сетей и общедоступных интернет-сервисов сделала нашу жизнь более удобной. Однако при этом персональные данные многих пользователей стали уязвимы. Злоумышленники научились добывать конфиденциальную информацию различными способами. В некоторых случаях утечка данных происходит по вине пользователей, а иногда информацию похищают, используя уязвимости в популярных программах. Большинство пользователей никак не застраховано от утечки персональных данных.

Какие данные считаются персональными?

Для начала определимся с тем, какие данные считаются персональными. В России Федеральный закон «О персональных данных» (№ 152-ФЗ) гласит, что персональные данные – это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу» (ст. 3). То есть ваше имя, возраст, вес, состояние здоровья и любая другая информация о вас – это персональные данные, защищенные законом. В некоторых случаях эта информация может использоваться без согласия субъекта персональных данных, например, при расследовании по уголовному делу. Однако в большинстве случаев требуется согласие на обработку персональных данных. В Интернете вы «подписываете» его, например, соглашаясь с условиями использования социальной сети.

Однако далеко не всегда персональные данные публикуются в сети законно. В некоторых случаях злоумышленники крадут личную информацию с помощью методов социальной инженерии, фишинга и т.д. В дальнейшем незаконно полученные данные могут быть опубликованы в Интернете или проданы. К наиболее интересным для злоумышленников данным относятся номер мобильного телефона и адрес электронной почты (для последующей рассылки спама и фишинговых сообщений), а также паспортные данные, почтовый адрес, номера банковских счетов и кредитных карт.

Что делать, если мои персональные данные появились в интернете?

Публикация личной информации без вашего согласия – это правонарушение (за исключением случаев, перечисленных в ст. 10 № 152-ФЗ). Если вы обнаружили свои данные на незнакомом сайте, попытайтесь обратиться к владельцам интернет-ресурса. Иногда администраторы сайта удаляют информацию по просьбе субъекта персональных данных. В случае если владельцы сайта не реагируют на просьбы, необходимо обращаться в государственные органы.

Если кто-то опубликовал ваши персональные данные без вашего устного или письменного согласия – это (как правило) нарушение КоАП РФ (статья 13.11). В случае обнаружения в Интернете сайта, на котором незаконно опубликованы ваши данные, рекомендуем вам обратиться в Роскомнадзор. Для этого не обязательно идти в территориальное управление организации, можно отправить электронное обращение. В случае обнаружения нарушений Роскомнадзор может выписать предписание об удалении ваших данных с сайта. Также можно обратиться в прокуратуру. В Москве и Московской области, как и в других регионах России, действуют интернет-приемные прокуратуры, поэтому обращение можно направить в электронном виде. По предписанию прокуратуры Роскомнадзор может произвести проверку по факту нарушения. В случае если владельцы того или иного сайта систематически нарушают законодательство РФ, сайт может быть заблокирован на территории страны.

Если персональные данные были добыты путем взлома электронной почты или аккаунта в соцсети, обращаться следует уже в Следственный комитет, поскольку это уже не административное, а уголовное преступление (ст. 138 УК РФ, «Нарушение тайны переписки»). Обратиться в СК РФ можно через официальный сайт госоргана, выбрав на интерактивной карте нужный регион и открыв страницу интернет-приемной. Правда, необходимо отметить: СК РФ может отказать в возбуждении уголовного дела, особенно когда лицо, нарушающее закон, не определено и нет сведений об ущербе, который был причинен разглашением личной информации. Если Следственный комитет отказал в возбуждении дела, вы можете обжаловать это решение в прокуратуре.

Ой, это слишком сложно и долго. Можно ли обойтись без обращений в органы?

Разумеется, обращения в госорганы – это крайняя мера. Если принимать базовые меры по защите персональных данных, вероятность кражи личной информации значительно уменьшается. А значит, и в правоохранительные органы обращаться, скорее всего, не придется. Перечислим некоторые основные правила безопасности.

  1. Пользуйтесь современными антивирусами, защищающими не только от вредоносного ПО, но и от фишинга и кражи персональных данных. Также может быть полезным использование плагинов, удаляющих рекламу с веб-страниц и отключающих сторонние скрипты.
  2. Не переходите по ссылкам в соцсетях, электронных письмах и т.д., если не доверяете отправителю ссылки на 100%. Если вы регулярно отправляете на какой-либо сайт личную информацию, сохраните адрес этого сайта в закладках браузера и посещайте его по сохраненной ссылке.

Конечно, полностью защититься от утечки персональных данных практически невозможно: всегда существует вероятность намеренного или случайного обнародования информации о вас. Однако разумная осторожность позволит существенно уменьшить вероятность появления вашей личной информации в открытом доступе.

Источник: http://blog.onlime.ru/2018/02/05/chto_delat_yesli_personalniye_danniye_bili_ukradeny/

Мошенники узнали мои персональные данные. Что делать?

Наша персональная информация, от паспортных данных до логина и пароля от мобильного банка, — желанная добыча для мошенников. Имея ее, злоумышленники могут оформить на наше имя кредит или поживиться деньгами с банковского счета.

Получить доступ к чужой конфиденциальной информации преступникам не так-то сложно. Одни граждане сами называют аферистам CVC-код от карточки и/или одноразовые пароли для входа в мобильный банк.

С первыми все понятно — граждане довольно быстро (сразу после пропажи денег) понимают, что имели дело с мошенниками и скомпрометировали данные своей банковской карты. Со вторыми сложнее — оперативно узнать, что из банка утекли данные, сложно. Однако есть косвенные признаки, указывающие на компрометацию информации по вине третьего лица, вернее организации. Это, во-первых, звонки от всевозможных организаций, знающих ваше имя/отчество и предлагающих какие-либо услуги. Во-вторых, это звонки от аферистов, якобы работающих в службе безопасности банка.

Что же делать, если личные данные скомпрометированы? Вместе с экспертами разбирался АиФ.ru.

После компрометации — уничтожить

«Если вы уверены в компрометации карты, вы потеряли ее или она была украдена, не раздумывая, обращайтесь в банк для блокировки счета. Сделать это можно из мобильного приложения или по телефону, указанному на официальном сайте», — говорит директор по стратегическим коммуникациям Infosecurity Softline Company Александр Дворянский.

Читайте так же:  Возражение на иск о банкротстве

Как тревожный звонок стоит рассматривать и получение смс-сообщения от банка с запросом кода подтверждения операции или с отказом банка выполнить операцию. В этом случае также имеет смысл оперативно перевести все денежные средства на другой счет через интернет-банк или заблокировать карту, так как, скорее всего, злоумышленники «прощупывают» пользователя.

«Не стоит бояться блокировки и дальнейшей замены карты: если данные, даже неполные, один раз стали доступны мошенникам, они могут воспользоваться ими снова и достигнуть своей цели. Срок замены в большинстве банков сейчас составляет один-два дня, а в некоторых — даже несколько часов», — отмечает эксперт.

«Следует помнить, что использование исключительно пароля для входа в мобильный банк не может обеспечить необходимый уровень защиты, особенно когда пользователи используют простые для запоминания комбинации, облегчающие хакерам процедуру взлома, а также единый пароль для всех сервисов и приложений, увеличивая тем самым ущерб от компрометации. Необходимо усиливать защиту с помощью многофакторной аутентификации (подтверждения операции по нескольким каналам). Переход к многофакторной аутентификации сводит к минимуму вероятность взлома и компрометации ваших учетных данных», — рассказывает Дворянский.

Если достоянием общественности стали паспортные данные, документ также лучше заменить. Это подстраховка на случай, если мошенники захотят воспользоваться вашим паспортом для оформления микрозайма — такие истории происходят сплошь и рядом.

В случае утечки персональных данных заместитель генерального директора юридической компании URVISTA Светлана Петропольская рекомендует обратиться в Управление Роскомнадзора и предоставить всю имеющуюся у вас информацию, подтверждающую, что ваши данные теперь общедоступны. «Это перечень персональных данных, точные адреса сайтов (если вам удалось найти ресурсы с персональными данными). Кроме того, можно попробовать урегулировать вопрос, направив требования об уничтожении данных администратору сайта. Если Роскомнадзор при проверке обнаружит нарушение законодательства, то сайт будет заблокирован, а компании, опубликовавшей ваши данные, придется выплачивать штраф», — резюмирует Петропольская.

Источник: http://aif.ru/money/mymoney/moshenniki_uznali_moi_personalnye_dannye_chto_delat

Общие понятия безопасности персональных данных

Цель лекции: Предоставить фундаментальные знания о понятиях безопасности персональных данных пользователям для последующего более глубокого изучения.

В современном мире информационных технологий возникла острая необходимость охранять данные от нежелательного доступа к ним. Современные методы похищения данных очень изощренны, и вполне возможно, что на вашем компьютере уже находится специальная зловредная программа , которая передает ваши данные другим людям.

Что мы будем подразумевать под персональными данными в рамках этого курса?

Персональные данные (данные) – информация , несущая определенно личный характер к своему владельцу. Главное отличие персональных данных от корпоративных данных – это то, что при похищении персональных данных ущерб будет нанесен конкретному лицу в первую очередь (а потом возможно по цепочке украсть и данные друзей лица), а при похищении корпоративных данных урон будет нанесен в первую очередь компании, то есть группе лиц (а уже потом конкретно каждому лицу).

Примерами персональных данных могут служить переписка по электронной почте, файлы пользователя (например, файл диплома или созданный пользователем рисунок), логины и пароли к различным онлайн -сервисам (или веб-сайтам), данные кредитной карточки пользователя, фотографии пользователя (его собственные), его паспортные данные (которые могут храниться у пользователя на компьютере). Персональные данные могут представлять в ряде случаев определенный интерес у злоумышленника. Например, зная ваш номер кредитной карты и ее пин-код, злоумышленник может сделать любые покупки и переводы в сети Интернет от вашего лица, а вы только будете удивляться тому, куда уходят ваши деньги. Другой пример: вы пользователь платного онлайн -сервиса (например, сервиса Интернет -телефонии). Зная ваш логин и пароль к сервису, злоумышленник может пользоваться этим сервисом от вашего имени, не заплатив при этом ни копейки. Суть похищения вашей персональной информации может быть не только в виде денежной прибыли, но также заключаться в личном интересе, например, злоумышленника может интересовать ваша личная жизнь, и он захочет просмотреть все ваши фотографии.

При этом действия злоумышленника могут носить различный характер: направленный и локальный. При направленном характере действий злоумышленник будет намеренно охотиться именно за вашей личной информацией (например, для компромата на вас по заказу от ваших недоброжелателей). При локальном же характере действий у злоумышленника нет четкой ориентировки по поводу жертвы, он будет пытаться похитить личную информацию у большого круга лиц, причем информация эта может быть также направленного характера (например, похитить информацию кредитных карт у любой сотни пользователей), либо локального (похитить любую информацию личного характера у сотни пользователей).

А каким образом он может это сделать? Что при этом будет использовать злоумышленник ? Прежде всего, существует такое общее понятие как malware (малварь, вредоносная программа , зловредная программа ) — любое программное обеспечение , предназначенное для обеспечения получения несанкционированного доступа к информации, хранимой на компьютере, с целью причинения вреда (ущерба) владельцу информации и/или владельцу компьютерного устройства.

Средства и методы осуществления кражи информации

Компьютерный вирус — зловредная компьютерная программа , основная цель которой зачастую — уничтожение данных пользователей. Также вирус может быть использован в качестве посредника для других компьютерных программ.

Компьютерный червь — вид вирусов, которые проникают на компьютер -жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер .

Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус -червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет . (http://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D1%8B%D0%B9_%D0%B2%D0%B8%D1%80%D1%83%D1%81)

Руткит — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Термин руткит исторически пришел из мира UNIX , и под этим термином понимается набор утилит или специальный модуль ядра , которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя .(http://ru.wikipedia.org/wiki/%D0%A0%D1%83%D1%82%D0%BA%D0%B8%D1%82)

Троянский конь – одно из основных оружий злоумышленника. Является особым видом вируса, который занимается тем, что похищает личные данные пользователя.

Социальная инженерия – психологический навык злоумышленника заставлять пользователя делать те действия, которые хочет злоумышленник . С помощью социальной инженерии можно заставить пользователя быть марионеткой в руках злоумышленника. При этом пользователь ничего не заподозрит.

Читайте так же:  Мнимая сделка судебная практика по гражданским делам

Все эти средства используются на практике злоумышленником для обеспечения доступа к вашей информации. Также могут использоваться комбинированные методы доступа к вашей информации (например, с помощью социальной инженерии злоумышленник спровоцирует вас загрузить троянского коня из Интернета).

Но вышеописанные методы применимы в основном для кражи личных данных в условиях, когда данные находятся в статическом состоянии на компьютере, либо переносном носителе (то есть данные не передаются). Для случая, когда данные находятся в динамическом состоянии (то есть находятся в процессе передачи), существуют другие способы их кражи , построенные на едином принципе кражи динамических данных.

Принцип кражи динамических данных — это принцип, согласно которому существуют отправитель данных ( пользователь , который отправляет свои данные), получатель (ли) данных ( пользователь (ли), который (е), получает (ют) данные), канал передачи данных (канал, по которому передаются данные). Злоумышленник при этом пытается украсть данные в момент, когда данные находятся в процессе течения по каналу передачи данных. Схематически это выглядит следующим образом:

Как видно из рисунка, злоумышленник взаимодействует напрямую только с каналом передачи данных, с отправителем или получателем данных злоумышленник не взаимодействует. Взаимодействовать с каналом передачи данных он может разными способами — как с помощью различного программного обеспечения, так и с помощью физических устройств. Одним из примеров такого взаимодействия с каналом передачи данных может быть использование скиммера.

Скиммер — устройство для снятия информации с магнитной ленты пластиковой карты (банковские карты, кредитные карты). Злоумышленник устанавливает скиммер в место картоприемника банкомата. При этом сам скиммер является малозаметным для обывателя. Подробнее об использовании скиммера, методах его обнаружения и защиты от него будет рассказано в отдельной лекции про пластиковые карты.

Во многих случаях современные мошенники рассчитывают на невнимательность жертвы, на ее незнание технических основ, деталей технических устройств или основ работы программного обеспечения. Техническая безграмотность современных людей зачастую играет на руку мошенникам. Одним из видов современного мошенничества в области кражи персональных данных является использование различных муляжей.

Муляж (в отношении к краже информации) — это устройство, либо программа , которые вводят в заблуждение пользователя с целью кражи персональных данных . Например, муляжом может являться антивирус , который вы скачали с ненадежного источника. В этом случае такой лжеантивирус может запросить у вас пароль к вашей учетной записи на компьютере, мотивируя это тем, что ему необходимо проверить надежность данного пароля. При вводе пароля в такой антивирус будьте уверены — ваша информация попадет в руки к злоумышленнику. Как видно из этого примера, злоумышленник воспользуется вашей компьютерной безграмотностью с помощью подобного муляжа, ведь технически подкованные люди знают, что антивирус не запросит вашей личной информации.

Примечательны также «классические» случаи мошенничества, основанные на предоставлении «бесплатного сыра» пользователям. В таких случаях злоумышленник может предложить вам через сеть Интернет вложить какие-либо деньги под проценты в выгодный проект. При этом он будет уверять вас, что вы получите несоизмеримую прибыль при ваших минимальных вложениях. Вложения, действительно, будут минимальные в этом случае, но ваши личные данные, которые запросит злоумышленник , могут использоваться в корыстных целях (например, злоумышленник попросит вас прислать копию вашего паспорта с вашей подписью, а потом на эту копию он вполне может оформить кредит на ваше имя). Другим примером в этой области может являться пример с использованием подставной конторы, которая предложит вам выгодное оформление заграничной визы, либо другие услуги, которые требуют от вас предоставления документов.

Интересная сторона мошенничества заключается в том, что мошенник должен привлечь внимание своей жертвы. Для этого могут использоваться как психологические уловки, так и различные трюки, которые обязательно привлекут жертву. Так как большинство злоумышленников в этой области работают через сеть Интернет , то одними из таких трюков для привлечения внимания являются трюки с поисковой оптимизацией ( Поисковая оптимизация — различные методы и средства продвижения вашего сайта с информацией на вершину поисковой выдачи (так называемый «серп» выдачи)). В общем случае поисковая оптимизация обозначается аббревиатурой SEO ( search engine optimization ).Существуют различные методы SEO . Одним из методов SEO является использование дорвеев.

Дорвей — вид поисковой оптимизации, представляющий собой веб-страницу, которая напичкана однородным типом слов, с целью выдвижения этой страницы в «серп» выдачи по этим словам. Примером такой страницы может являться страница со следующим текстом: «Просто это не то арбалет ак-47б купить собрать на ужин окружил. Мы сами выбираем общество, в котором хотим быть сами уважаю мнения людей. Тебе было бы действительно неприятно и поймешь, что я образно говорю о чьей-то там умереть, то можно вообще купить ак-47. Ты хочешь мне сказать, что Никакие подарки не заменят ак-47». Как можно увидеть, в данном тексте логически нет никакого смысла, он построен таким образом только для того, чтобы при вводе в поисковую машину словосочетания «купить ак-47» страница с этим текстом была на одной из первых позиций. На таких страницах может быть и информация о том, что вышла новая антивирусная программа , и вы должны ей воспользоваться для эффективной защиты вашего компьютера. Естественно, этот антивирус будет муляжом.

Другим способом привлечения жертвы к злоумышленнику может быть использование различного вида Интернет -рекламы. Например, могут использоваться красочные баннеры ( баннер — графическое изображение рекламного характера) или всплывающие окна, говорящие о том, что компьютер пользователя якобы заражен вирусом, и необходимо скачать определенный антивирус . Как ни странно, но пользователи с низкой компьютерной грамотностью поверят такой рекламе.

Как можно увидеть, арсенал злоумышленника достаточно богат и разнообразен по методам и способам кражи персональных данных . Для неподготовленного пользователя все эти «приемы» могут показаться достаточно совершенными и недоступными к противодействию. Но это не так, многие приемы по защите персональных данных может сделать и достаточно продвинутый пользователь компьютера или владелец банковской карты. Основным моментом здесь является стрессоустойчивость пользователя, его навык правильно среагировать в какой-либо неожиданной ситуации, а также его возможность предвидеть действия злоумышленника. Злоумышленник пользуется во многом компьютерной необразованностью пользователя, его незнанием современных технологий, а также основных механизмов их работы. Именно поэтому «продвинутых компьютерщиков» нельзя провести на обычные трюки злоумышленников.

Читайте так же:  Приказ права подписи актов выполненных работ

Со стороны пользователя его помощниками в борьбе с злоумышленниками являются различные защитные комплексы персональных данных . Одним из таких комплексов является антивирусная защита — совокупность различных программ, основная цель которых — противодействие вредоносным программам ( malware ) (данное определение антивирусной защиты как комплекса программ распространяется на весь курс данных лекций). Из данного комплекса отдельно можно выделить антивирусную программу – специальное программное обеспечение , целенаправленно борющееся с вредоносной программой. Также из антивирусной защиты можно выделить такое средство как файерволл ( межсетевой экран ) — специальная программа (комплекс программ), которая осуществляет контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Источник: http://www.intuit.ru/studies/mini_mba/5397/courses/536/lecture/12090?page=1

Случаи крупнейших интернет-взломов с утечками данных. Досье

ТАСС-ДОСЬЕ /Валерий Корнеев/. С начала 2000-х гг. в интернете неоднократно происходили крупномасштабные утечки персональных данных пользователей в результата взлома хакерами информационных баз различных организаций и предприятий. Редакция ТАСС-ДОСЬЕ собрала список из десяти случаев, когда в распоряжение посторонних лиц попадали личные данные более 15 млн человек.

25 января 2003 г. в Республике Корея в результате действий хакеров произошел общенациональный сбой в интернете: в течение нескольких часов вся страна была лишена доступа в мировую сеть. Впервые действия «кибертеррористов» отразились на деятельности компаний в общенациональном масштабе. Главными жертвами атаки стали компании, ведущие интернет-торговлю. Сбой затронул около 17 млн пользователей, которые не могли получить доступ к своим учетным записям в онлайн-магазинах. Помимо Южной Кореи пострадали интернет-пользователи ряда других стран, включая Россию. По всему миру были поражены по меньшей мере 22 тыс. серверов.

В апреле 2011 г. группа хакеров LulzSec взломала базу данных примерно 77 млн пользователей глобальной сети PlayStation Network компании Sony. В августе 2013 г. один из участников хакерской группы, американец Рейналдо Ривера, был приговорен в США к году тюрьмы, общественным работам и денежному штрафу.

Видео (кликните для воспроизведения).

В октябре 2013 г. хакеры похитили данные 38 млн клиентов корпорации-разработчика программного обеспечения Adobe Systems. Представитель компании также отметил, что в руки преступников попали исходные коды программных продуктов Adobe Acrobat, ColdFusion и ColdFusion Builder.

За период с 27 ноября 2013 г. по 15 декабря 2014 г. хакерам удалось похитить персональные данные (номера телефонов, электронные и почтовые адреса, номера и PIN-коды кредитных и дебетовых карт) 110 млн клиентов компании Target, владеющей третьей по величине торговой сетью США. В результате американские финансовые институты понесли убытки в размере более 200 млн долларов США. 18 января 2014 г. газета The New York Post сообщила, что вредоносная программа «Картоха», с помощью которой были похищены данные клиентов Target, была написана 17-летним программистом Сергеем Тарасовым из Санкт-Петербурга. Однако к самому взлому россиянин не был причастен. 8 мая 2014 г. полиция шт. Техас арестовала Го Синчэня, подозреваемого в краже данных клиентов сети Target.

В феврале 2014 г. произошел взлом базы данных американской компании eBay, владеющей одной из основных онлайн-площадок по купле-продаже товаров. В результате атаки в руки хакеров попали зашифрованные пароли и другие персональные данные 145 млн пользователей сервиса. Мошеннических действий с использованием похищенных данных зафиксировано не было. Ответственность за атаку взяла на себя «Сирийская электронная армия».

6 августа 2014 г. эксперты в области информационной безопасности из американской компании Hold Security сообщили журналистам газеты The New York Times, что группе хакеров из России удалось составить крупнейшую в мире базу данных паролей интернет-пользователей. В ней собрано более 1,2 млрд паролей и имен, более 500 млн электронных адресов, похищенных с 420 тыс. сайтов. Название хакерской группы, предположительно состоящей из десяти человек в возрасте около 20 лет, не уточнялось. Данный случай — самая крупная зафиксированная утечка личных данных интернет-пользователей.

4 февраля 2015 г. одна из крупнейших медицинских страховых компаний США Anthem сообщила о хакерской атаке. Злоумышленники получили доступ к базе данных примерно 80 млн клиентов и сотрудников фирмы. По данным агентства Bloomberg, кибератаку могли организовать хакеры, поддерживаемые властями Китая.

10 июля 2015 г. кадровое управление правительства США признало, что хакеры совершили взлом компьютерных систем ведомства и получили личные данные более 25 млн человек, в том числе бывших и действующих госслужащих. Об атаке на архив данных кадрового управления правительства США стало известно 5 июня. Американские чиновники тогда сообщили журналистам, что взломщики похитили информацию, которая собиралась последние 30 лет. Следователи пришли к выводу, что, с высокой степенью вероятности, была похищена важная информация, в том числе номера социального страхования 21,5 млн человек.

20 июля 2015 г. группа хакеров Impact Team заявила о краже персональных данных 37 млн пользователей сайта Ashley Madison — онлайн-сервиса знакомств, рассчитанного на желающих завести внебрачные связи. Хакеры потребовали прекратить работу сайтов Ashley Madison и Established Men. Для демонстрации серьезности своих намерений взломщики опубликовали часть попавших в их руки клиентских данных.

В ноябре 2015 г. анонимный хакер взломал сервер американского телекоммуникационного провайдера Securus Technologies и передал представителям СМИ более 70 млн регистрационных записей о телефонных звонках и порядка 144 тыс. аудиозаписей телефонных разговоров американских заключенных. Около 14 тыс. из этих разговоров происходили между заключенными и адвокатами — конфиденциальность таких бесед защищена законом. Записывая их, Securus фактически нарушала конституционные права заключенных.

Источник: http://tass.ru/info/2619230

Персональные данные злоумышленника

С каждым днем растет количество киберпреступлений, в частности, значительно возросло число хакерских атак, в результате которых происходят утечки персональных данных простых пользователей, которые чаще всего даже не подозревают, что подверглись нападению злоумышленников. Главная проблема заключается в том, что пользователи не могут осознать тот факт, что киберпреступники могут беспрепятственно завладеть критически важными персональными данными, не проникая при этом в дом и не похищая сумки на улице. Но сегодня данные пользователей особенно уязвимы — новые технологии позволяют хакерам без особых трудозатрат получать логины и пароли, номера банковских счетов и другую конфиденциальную информацию.


Так какими же способами злоумышленникам удается завладеть персональными данными пользователей? Эксперты eScan перечислили основные методы, с помощью которых хакеры получают доступ к данным:

Читайте так же:  Сколько стоит генеральная доверенность на квартиру

Самый распространенный путь утечки данных — троянцы или другое вредоносное программное обеспечение, загружающееся на компьютер. Это происходит во время перехода с сайта на сайт, по невнимательности пользователь может загрузить зараженный файл, которые откроет путь ко всем данным, хранящимся на зараженном устройстве;

Значительная часть персональной информации присутствует в открытом доступе — в социальных сетях, мессенджерах и т.д., все это помогает киберпреступникам в достижении их целей. Сайты знакомств — особо излюбленные хакерами ресурсы для получения личных данных пользователей;

Фишинг. С помощью точных копий сайтов онлайн-магазинов, злоумышленники могут получить информацию о кредитных картах.

Также хакеры активно используют в своих целях электронную почту — отправляют ссылки, ведущие на сайты, «инфицированные» вирусами.

Кроме того, хакеры получают данные с потерянных или украденных ноутбуков, сменных устройств хранения данных, а также из бумажных документов, содержащих личную информацию.

Так что может сделать пользователь для создания надежной системы защиты своей персональной информации? Предпринять несколько важных мер:

Источник: http://data-sec.ru/public/how-protect-personal-data/

Общие понятия безопасности персональных данных

Цель лекции: Предоставить фундаментальные знания о понятиях безопасности персональных данных пользователям для последующего более глубокого изучения.

В современном мире информационных технологий возникла острая необходимость охранять данные от нежелательного доступа к ним. Современные методы похищения данных очень изощренны, и вполне возможно, что на вашем компьютере уже находится специальная зловредная программа , которая передает ваши данные другим людям.

Что мы будем подразумевать под персональными данными в рамках этого курса?

Персональные данные (данные) – информация , несущая определенно личный характер к своему владельцу. Главное отличие персональных данных от корпоративных данных – это то, что при похищении персональных данных ущерб будет нанесен конкретному лицу в первую очередь (а потом возможно по цепочке украсть и данные друзей лица), а при похищении корпоративных данных урон будет нанесен в первую очередь компании, то есть группе лиц (а уже потом конкретно каждому лицу).

Примерами персональных данных могут служить переписка по электронной почте, файлы пользователя (например, файл диплома или созданный пользователем рисунок), логины и пароли к различным онлайн -сервисам (или веб-сайтам), данные кредитной карточки пользователя, фотографии пользователя (его собственные), его паспортные данные (которые могут храниться у пользователя на компьютере). Персональные данные могут представлять в ряде случаев определенный интерес у злоумышленника. Например, зная ваш номер кредитной карты и ее пин-код, злоумышленник может сделать любые покупки и переводы в сети Интернет от вашего лица, а вы только будете удивляться тому, куда уходят ваши деньги. Другой пример: вы пользователь платного онлайн -сервиса (например, сервиса Интернет -телефонии). Зная ваш логин и пароль к сервису, злоумышленник может пользоваться этим сервисом от вашего имени, не заплатив при этом ни копейки. Суть похищения вашей персональной информации может быть не только в виде денежной прибыли, но также заключаться в личном интересе, например, злоумышленника может интересовать ваша личная жизнь, и он захочет просмотреть все ваши фотографии.

При этом действия злоумышленника могут носить различный характер: направленный и локальный. При направленном характере действий злоумышленник будет намеренно охотиться именно за вашей личной информацией (например, для компромата на вас по заказу от ваших недоброжелателей). При локальном же характере действий у злоумышленника нет четкой ориентировки по поводу жертвы, он будет пытаться похитить личную информацию у большого круга лиц, причем информация эта может быть также направленного характера (например, похитить информацию кредитных карт у любой сотни пользователей), либо локального (похитить любую информацию личного характера у сотни пользователей).

А каким образом он может это сделать? Что при этом будет использовать злоумышленник ? Прежде всего, существует такое общее понятие как malware (малварь, вредоносная программа , зловредная программа ) — любое программное обеспечение , предназначенное для обеспечения получения несанкционированного доступа к информации, хранимой на компьютере, с целью причинения вреда (ущерба) владельцу информации и/или владельцу компьютерного устройства.

Средства и методы осуществления кражи информации

Компьютерный вирус — зловредная компьютерная программа , основная цель которой зачастую — уничтожение данных пользователей. Также вирус может быть использован в качестве посредника для других компьютерных программ.

Компьютерный червь — вид вирусов, которые проникают на компьютер -жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер .

Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус -червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет . (http://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D1%8B%D0%B9_%D0%B2%D0%B8%D1%80%D1%83%D1%81)

Руткит — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Термин руткит исторически пришел из мира UNIX , и под этим термином понимается набор утилит или специальный модуль ядра , которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя .(http://ru.wikipedia.org/wiki/%D0%A0%D1%83%D1%82%D0%BA%D0%B8%D1%82)

Троянский конь – одно из основных оружий злоумышленника. Является особым видом вируса, который занимается тем, что похищает личные данные пользователя.

Социальная инженерия – психологический навык злоумышленника заставлять пользователя делать те действия, которые хочет злоумышленник . С помощью социальной инженерии можно заставить пользователя быть марионеткой в руках злоумышленника. При этом пользователь ничего не заподозрит.

Все эти средства используются на практике злоумышленником для обеспечения доступа к вашей информации. Также могут использоваться комбинированные методы доступа к вашей информации (например, с помощью социальной инженерии злоумышленник спровоцирует вас загрузить троянского коня из Интернета).

Но вышеописанные методы применимы в основном для кражи личных данных в условиях, когда данные находятся в статическом состоянии на компьютере, либо переносном носителе (то есть данные не передаются). Для случая, когда данные находятся в динамическом состоянии (то есть находятся в процессе передачи), существуют другие способы их кражи , построенные на едином принципе кражи динамических данных.

Принцип кражи динамических данных — это принцип, согласно которому существуют отправитель данных ( пользователь , который отправляет свои данные), получатель (ли) данных ( пользователь (ли), который (е), получает (ют) данные), канал передачи данных (канал, по которому передаются данные). Злоумышленник при этом пытается украсть данные в момент, когда данные находятся в процессе течения по каналу передачи данных. Схематически это выглядит следующим образом:

Читайте так же:  Срок подачи апелляции на приговор

Как видно из рисунка, злоумышленник взаимодействует напрямую только с каналом передачи данных, с отправителем или получателем данных злоумышленник не взаимодействует. Взаимодействовать с каналом передачи данных он может разными способами — как с помощью различного программного обеспечения, так и с помощью физических устройств. Одним из примеров такого взаимодействия с каналом передачи данных может быть использование скиммера.

Скиммер — устройство для снятия информации с магнитной ленты пластиковой карты (банковские карты, кредитные карты). Злоумышленник устанавливает скиммер в место картоприемника банкомата. При этом сам скиммер является малозаметным для обывателя. Подробнее об использовании скиммера, методах его обнаружения и защиты от него будет рассказано в отдельной лекции про пластиковые карты.

Во многих случаях современные мошенники рассчитывают на невнимательность жертвы, на ее незнание технических основ, деталей технических устройств или основ работы программного обеспечения. Техническая безграмотность современных людей зачастую играет на руку мошенникам. Одним из видов современного мошенничества в области кражи персональных данных является использование различных муляжей.

Муляж (в отношении к краже информации) — это устройство, либо программа , которые вводят в заблуждение пользователя с целью кражи персональных данных . Например, муляжом может являться антивирус , который вы скачали с ненадежного источника. В этом случае такой лжеантивирус может запросить у вас пароль к вашей учетной записи на компьютере, мотивируя это тем, что ему необходимо проверить надежность данного пароля. При вводе пароля в такой антивирус будьте уверены — ваша информация попадет в руки к злоумышленнику. Как видно из этого примера, злоумышленник воспользуется вашей компьютерной безграмотностью с помощью подобного муляжа, ведь технически подкованные люди знают, что антивирус не запросит вашей личной информации.

Примечательны также «классические» случаи мошенничества, основанные на предоставлении «бесплатного сыра» пользователям. В таких случаях злоумышленник может предложить вам через сеть Интернет вложить какие-либо деньги под проценты в выгодный проект. При этом он будет уверять вас, что вы получите несоизмеримую прибыль при ваших минимальных вложениях. Вложения, действительно, будут минимальные в этом случае, но ваши личные данные, которые запросит злоумышленник , могут использоваться в корыстных целях (например, злоумышленник попросит вас прислать копию вашего паспорта с вашей подписью, а потом на эту копию он вполне может оформить кредит на ваше имя). Другим примером в этой области может являться пример с использованием подставной конторы, которая предложит вам выгодное оформление заграничной визы, либо другие услуги, которые требуют от вас предоставления документов.

Интересная сторона мошенничества заключается в том, что мошенник должен привлечь внимание своей жертвы. Для этого могут использоваться как психологические уловки, так и различные трюки, которые обязательно привлекут жертву. Так как большинство злоумышленников в этой области работают через сеть Интернет , то одними из таких трюков для привлечения внимания являются трюки с поисковой оптимизацией ( Поисковая оптимизация — различные методы и средства продвижения вашего сайта с информацией на вершину поисковой выдачи (так называемый «серп» выдачи)). В общем случае поисковая оптимизация обозначается аббревиатурой SEO ( search engine optimization ).Существуют различные методы SEO . Одним из методов SEO является использование дорвеев.

Дорвей — вид поисковой оптимизации, представляющий собой веб-страницу, которая напичкана однородным типом слов, с целью выдвижения этой страницы в «серп» выдачи по этим словам. Примером такой страницы может являться страница со следующим текстом: «Просто это не то арбалет ак-47б купить собрать на ужин окружил. Мы сами выбираем общество, в котором хотим быть сами уважаю мнения людей. Тебе было бы действительно неприятно и поймешь, что я образно говорю о чьей-то там умереть, то можно вообще купить ак-47. Ты хочешь мне сказать, что Никакие подарки не заменят ак-47». Как можно увидеть, в данном тексте логически нет никакого смысла, он построен таким образом только для того, чтобы при вводе в поисковую машину словосочетания «купить ак-47» страница с этим текстом была на одной из первых позиций. На таких страницах может быть и информация о том, что вышла новая антивирусная программа , и вы должны ей воспользоваться для эффективной защиты вашего компьютера. Естественно, этот антивирус будет муляжом.

Другим способом привлечения жертвы к злоумышленнику может быть использование различного вида Интернет -рекламы. Например, могут использоваться красочные баннеры ( баннер — графическое изображение рекламного характера) или всплывающие окна, говорящие о том, что компьютер пользователя якобы заражен вирусом, и необходимо скачать определенный антивирус . Как ни странно, но пользователи с низкой компьютерной грамотностью поверят такой рекламе.

Как можно увидеть, арсенал злоумышленника достаточно богат и разнообразен по методам и способам кражи персональных данных . Для неподготовленного пользователя все эти «приемы» могут показаться достаточно совершенными и недоступными к противодействию. Но это не так, многие приемы по защите персональных данных может сделать и достаточно продвинутый пользователь компьютера или владелец банковской карты. Основным моментом здесь является стрессоустойчивость пользователя, его навык правильно среагировать в какой-либо неожиданной ситуации, а также его возможность предвидеть действия злоумышленника. Злоумышленник пользуется во многом компьютерной необразованностью пользователя, его незнанием современных технологий, а также основных механизмов их работы. Именно поэтому «продвинутых компьютерщиков» нельзя провести на обычные трюки злоумышленников.

Со стороны пользователя его помощниками в борьбе с злоумышленниками являются различные защитные комплексы персональных данных . Одним из таких комплексов является антивирусная защита — совокупность различных программ, основная цель которых — противодействие вредоносным программам ( malware ) (данное определение антивирусной защиты как комплекса программ распространяется на весь курс данных лекций). Из данного комплекса отдельно можно выделить антивирусную программу – специальное программное обеспечение , целенаправленно борющееся с вредоносной программой. Также из антивирусной защиты можно выделить такое средство как файерволл ( межсетевой экран ) — специальная программа (комплекс программ), которая осуществляет контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Видео (кликните для воспроизведения).

Источник: http://www.intuit.ru/studies/educational_groups/911/courses/536/lecture/12090?page=1

Персональные данные злоумышленника
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here