Как в Даркнете продают все ваши данные
Лайф продолжает серию публикаций про теневой Интернет. На этот раз журналист издания заказал самого себя у “информационного киллера” из Даркнета. Была поставлена задача купить все персональные данные объекта с возможностью изготовления дубликатов всех личных документов.
Вы когда-нибудь задумывались, что происходит с вашими документами, которые вы демонстрируете при покупке билета на поезд или сим-карты? Защищены ли данные, которые мы вбиваем при оформлении доставки определённого товара на дом или заказе пиццы? Помните, где, когда и кому вы показывали разворот с первой страницей паспорта?
На самом деле это не имеет значения. Вся наша личная информация хранится как минимум в десятке разных организаций, начиная с базы “Роспаспорта” и заканчивая офисом мобильного оператора, к которым очень легко могут протянуть руки совершенно незнакомые нам люди. Зачем им это надо?
Сюжеты детективно-фантастических фильмов не так далеки от реальности. Украсть чужую личность, позаимствовав её личные данные, сейчас может не только Джеймс Бонд, но и любой желающий — нужно лишь немного денег и терпения. И компьютер с браузером, который может вывести в Даркнет.
Утром деньги, вечером стулья
Устройство теневого рынка доподлинно неизвестно, непосвящённый покупатель видит лишь верхушку айсберга — основные процессы скрыты от глаз. Торговля личными данными — с недавних пор это заметная часть заработка незаконных маркетплейсов наряду с продажей наркотиков и оружия. За деньги можно получить многое: от списка соцсетей жертвы до её самых сокровенных данных (банковские счета, телефонные номера, истории передвижений и копии паспорта).
Самый дешёвый лот в маркетплейсе — случайные личные данные, которые продавец достаёт из своего кармана за небольшую сумму. Например, рандомный скан паспорта, СНИЛС, ИНН или реквизиты личного счёта. Это мелочь: за 200–1000 рублей жулики делятся копиями документов случайных людей, чьи паспорта или страховые номера засветились в соцсетях или попали в руки нерадивых работников салонов сотовой связи или коллекторов.
Найти документы на конкретное лицо сложнее, и не каждый продавец имеет набор источников и информаторов, которые могут слить ему данные. Но нет ничего невозможного — стоит лишь написать исполнителю в личные сообщения на сайте, запросив в личке информацию об интересующем нас человеке.
Как правило, стоимость лотов на незаконном аналоге eBay или AliExpress зависит от сложности работы и сезонности, но в целом прайсы на сбор досье примерно одинаковы. Приобретение паспорта, СНИЛС, ИНН, выписка ФНС, история звонков, штрафы ГИБДД, информация о банковских счетах обойдётся в сумму от 1000 до 10 000 рублей. Есть два метода: либо собрать данные по частям у разных исполнителей, либо приобрести услугу комплексного досье у одного. Второй вариант, как правило, быстрее и надёжнее, но обходится дороже. На данный момент на популярном сайте удалось найти несколько лотов стоимостью от 15 000 до 30 000 рублей. За срочность, сложность или дополнительную информацию приходится доплатить — в этом случае ценник может вырасти до бесконечности.
Судя по личному опыту, на сбор данных на самого себя уходит около двух-трёх недель времени и деньги, на которые можно приобрести недорогой, но качественный смартфон или телевизор. Чтобы облегчить труд исполнителя и скорректировать поиски, открываю для индексации личные страницы в соцсетях, где указаны мои имя и фамилия, год рождения, а также место жительства и фотография. Раньше эти данные были доступны лишь друзьям и знакомым.
Спустя некоторое время от разных продавцов получаю ссылки на отсканированные документы и текстовые выписки с личной информацией. Архивы выложены исполнителями в свободных облачных хранилищах, но получить к ним доступ можно только по ссылке. Раньше все эти данные лежали либо во внутреннем кармане моего рюкзака, либо в архивах государственных учреждений. Или мне так кажется?
Куда уходит data
Зачем сетевым жуликам нужна приватная информация на чужих людей? Во-первых, в личных целях — неважно, запрашивает данные ревнивый супруг, обиженный товарищ или любопытный преследователь. Понять мотивы некоторых злопыхателей сложно, но, имея на руках небольшое досье на человека, можно использовать эту информацию в своих интересах. Например, узнать подноготную малознакомой персоны перед заключением важного контракта, приёмом на работу, выдачей кредита или ради шантажа.
Во-вторых, в корыстных целях, связанных с финансами, или для нанесения урона репутации. Банальной копии чужого паспорта на руках может быть достаточно, чтобы получить кредит онлайн в некоторых заведениях МФО — ранее Лайф уже описывал подобные истории в небольшом расследовании. Имея на руках СНИЛС или ИНН, злоумышленник может даже перевести деньги из накопительной части пенсии из одного фонда в другой (правда, для этого нужно вооружиться набором других документов и навыками социальной инженерии).
Опаснее всего, если у мошенника есть на руках комплексная информация о жертве. Например, набор из паспорта, выписки с банковского счёта, списка кредитных карт и номера телефона. Как показывает практика, этого может быть достаточно для банальной кражи средств: злоумышленнику остаётся лишь систематизировать информацию и, например, прикинуться консультантом из банка. Или сотрудником страховой компании, коллекторского бюро, оператора сотовой связи, ЖЭКа — все работы хороши. Описывать все варианты манипуляций с чужими личными данными не вижу смысла, во-первых, чтобы не подсказывать потенциальным жуликам методы получения наживы, во-вторых, из-за быстро меняющихся и устаревающих способов мошенничества.
Чтобы продемонстрировать, как работает этот нелегальный супермаркет, я связался с продавцами и попробовал купить на своё имя три документа: паспорт, СНИЛС и договор сотового оператора.
Данные паспорта (4500 рублей)
“Пробив” по главному документу пришёл в текстовом файле, который начинался со слов “Источник информации: СПО СК АС “Российский паспорт”. В документе прилагалась информация о всех паспортах — от первого, выданного в 14 лет, до (пока что) последнего. Вся информация с первых страниц документа и раздела с пропиской была уложена в аккуратную таблицу. Напротив данных о старом паспорте оказалась приписка “Изъят, уничтожен” и дата, когда я сдал документ в УФМС.
Кроме строчек с именем, серией и номером паспорта я нашёл Приложение № 1 — отсканированный документ, в котором не только дублируется вся информация из паспорта, но и хранится моя личная подпись. Таких бумажек ровно две — по числу выданных паспортов. Подозрения, что система “Роспаспорт” — проходной двор, подтвердились, когда по соответствующему запросу в поисковике вылезло несколько компаний, которые предлагали за деньги достать информацию по любому гражданину. Выходит, заказать документы я мог, даже не заходя в Даркнет.
Получатель приватной информации имеет не только основные данные паспорта, но и коллекцию фотографий, которые жертва сдавала при получении главного документа. Смотреть на своё лицо 15-летней давности было немного неожиданно и малоприятно — сравнимо с ощущениями, как если бы незнакомый человек открыл папку “Личное” на моём смартфоне.
Бонусом к основной информации система выдала продавцу ещё и данные моего загранпаспорта. Хорошо, что уже истёкшего и что без данных о передвижениях по миру. Вероятно, посмотреть на штемпели разных стран в “загране” жертвы можно, если заказать отдельно “пробив” по этому документу.
Какая информация получена: ФИО, номер и серия паспорта, прописка, история смены прописки, личная подпись.
“Пробив” по номеру телефона (2500 рублей)
Как оказалось, отдельный “пробив” по паспорту можно было не заказывать и сэкономить драгоценные дни. Продавец прислал фотографию экрана, которая, подозреваю, была сделана с компьютера в одном из салонов оператора сотовой связи. На покрытом рябью изображении читались ФИО, серия и номер паспорта, адрес прописки. Разумеется, там был и номер телефона с подробной информацией по тарифу, балансу и остаткам минут, СМС и трафика интернета.
Очень удобно: потратив несколько тысяч, пусть и выполняя редакционное задание, я узнал, с какого года являюсь абонентом оператора. А ещё (тест на возраст) — PUK-номер своей сим-карты.
Какая информация получена: ФИО, номер и серия паспорта, прописка, данные о тарифе, баланс.
Данные СНИЛС (4000 рублей)
Самый быстрый заказ с точки зрения временных и денежных затрат. Наверное, мало кто знает, что страховой номер индивидуального лицевого счёта можно узнать либо у своего работодателя, либо через “Госуслуги”. К сожалению, это был единственный лот, купить который не удалось. По каким-то причинам исполнитель сперва взял деньги, а спустя неделю транзакция отменилась.
Какая информация может быть получена: ФИО, номер СНИЛС.
Забирай меня скорей
По этой причине каждая организация, работающая с клиентами, перед сотрудничеством заключает с ними договор на обработку персональных данных. Причём это может быть не только скан паспорта или копия СНИЛС — даже номер телефона или электронный адрес зачастую считаются персональными данными (если эти данные не обезличены, например, ivan.sidoroff@mail.ru). Если вы не хотите, чтобы какой-нибудь банк “Петрушка” оперировал вашей личной информацией, или желаете снизить вероятность утечки, требуйте от организации отзыва персональных данных. Кстати, это ещё и отличный способ прекратить поток спама и телефонных звонков от банков и магазинов.
Для этого нужно обратиться к оператору с письменным заявлением, в котором указать, кому направлен документ и правомерность просьбы (ссылка на федеральный закон). Если оператор отказывается прекратить обработку данных и делает это, по вашему мнению, незаконно, нужно обращаться в контролирующие органы, например, территориальное управление Роскомнадзора.
Безусловно, для условного банка “Петрушка” ваши личные данные являются лакомым кусочком, с которым организация не спешит расставаться. Одной из правомерных причин отказа может быть тот факт, что вы ещё являетесь клиентом компании, которая без информации о вас не сможет оказывать вам услуги. Заметим, что для отзыва личных данных в банке нужно будет закрыть счёт в кредитной организации и выполнить все свои обязательства перед компанией. Например, погасить кредит или закрыть ипотеку — в этом случае учреждение не имеет права отказать вам в просьбе. “Обрабатываемые Банком персональные данные Заявителя подлежат уничтожению либо обезличиванию по достижении указанных целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом”, — говорится, например, в договоре на обработку персональных данных в “Альфа-банке”.
Нужно помнить, что наши с вами права как субъекта персональных данных охраняются статьёй № 152-ФЗ. Согласно закону, каждый официальный контакт с банками, микрокредитными фирмами, операторами сотовой связи и прочими организациями, при котором мы делимся определённой информацией, считается передачей персональных данных, которые компании, как операторы ПД, обязаны сохранять. За неисполнение закона (незаконную обработку, разглашение, передачу третьим лицам) на оператора может быть наложен штраф, а причастные могут даже попасть на уголовный срок.
Как сохранить приватность
Понятно, что описанный в статье сценарий исключителен, в большинстве случаев мошенники крадут деньги или репутацию совершенно бесплатно, не делая дорогих “пробивов” по теневым базам. Поэтому популярный постулат “Да кому я нужен, я же не президент” работает в обе стороны. С одной стороны, вряд ли кто-то будет выкупать скрытую информацию на обывателя, не отличающегося высоким чином или доходом. С другой, подобный подход расхолаживает самого обывателя, делая его уязвимым к краже данных и заставляя забыть об элементарных правилах безопасности.
Если относиться к личным данным с заботой и вниманием, можно если не полностью защитить себя от шальных мошенников, то во всяком случае обеспечить себе базовый уровень безопасности. Впрочем, не забываем, что теневой маркет работает по законам рынка: если есть спрос (информация о конкретном человеке), то появится и предложение (обширное досье на него).
Андрей Ставицкий
По материалам: “Life”