Правозахисна асоціація
“ФРІРАЙТС”
Хто і навіщо викрадає персональні дані?
Інформацію не крадуть задля колекціонування або розваги. Мотивами вчинення будь-яких протиправних дій, як правило, є дві речі: жага до грошей чи влади. І персональні дані – це надзвичайно зручний інструмент, аби їх отримати. А точніше – відібрати й використати на свою користь, адже за допомогою чужих персональних даних зловмисники намагаються облегшити наші кишені, вплинути на свідомість, спонукати до певних вчинків. Ми вже не кажемо про те, що актуальна інформація про жертву полегшує скоєння злочинів проти неї – від замаху на життя до шантажу.
Діапазон можливостей протиправного використання персональних даних настільки широкий, що може буди предметом вивчення в окремій брошурі. Тому ми наведемо лише окремі з них, додавши для наочності приклади з правоохоронних сайтів.
1. Продаж в Інтернеті. Існування в Україні нелегальної «біржи» з торгівлі персональними даними факт беззаперечний. У Даркнеті («темний інтернет») навіть створені спеціальні майданчики з їх продажу. Але інформація, яка хоча би раз потрапила в мережу, залишається у ній назавжди і де та для чого її можуть використати у подальшому можна лише здогадуватися. Персональні дані передаються з рук в руки, а отже ніхто не застрахований від того, що скан-копія паспорта, залишена в комп’ютері ресепшена готелю при реєстрації, у подальшому не «спливе» у кредитній спілці чи у нотаріуса.
«19-річний житель Києва, студент одного з вищих навчальних закладів, створив бот у месенджері для продажу інформації з обмеженими доступом, у тому числі персональних даних громадян України. Доступ до боту коштував 1 долар на день або 4 долари за 20 спроб пошуку даних відносно конкретних осіб. Оплату фігурант отримував на крипто-гаманець. У розпорядженні фігуранта були бази даних декількох десятків мільйонів громадян».
«На спеціалізованих хакерських форумах фігурант за 300-400 доларів збував персональні дані громадян. Бази даних налічували персональну інформацію відносно півмільйона осіб. За скоєне фігуранту загрожує до 5 років ув’язнення».
2. «Пробив» на замовлення. «Пробити» людину по базах». Вірогідно, Вам вже знайома ця фраза в силу її поширеності. «Пробити», а точніше викрасти на замовлення можуть практично будь-яку особисту інформацію і зібране на Вас «досьє» включатиме ідентифікаційний номер, дані внутрішнього й закордонного паспортів, адресу звичайну і електронної пошти, номер мобільника, відомості про авто, інформацію про судимість, дати поїздок за кордон, реєстрацію мисливської чи травматичної зброї тощо. «Пробивають» по відповідних інформаційних базах МВС, поліції, міграційної й податкової служби, ЦНАП та інших установ, як правило, використовуючи для цього особисті стосунки з працівниками цих відомств (вони або просто копіюють інформацію на власний носій, або протиправно надають сторонній особі віддалений доступ до бази).
«Зловмисник торгував закритою інформацією, якою володіли правоохоронці та державні органи, а також банківські установи та оператори мобільного зв’язку. Зокрема, базами даних Міністерства внутрішніх справ, Державної податкової служби, Державної міграційної служби, Державної фіскальної служби, Міністерства юстиції України, Пенсійного фонду України. «Клієнтів» він знаходив за оголошеннями в телеграм-каналах, а оплату, для уникнення відповідальності, отримував на банківські картки третіх осіб».
«Встановлено, що підозрюваний налагодив схему збуту інформації про конкретних фізичних осіб та їх транспортні засоби із автоматизованої системи. За гроші для своїх «замовників» зловмисник знаходив потрібні дані в системі, фотографував на телефон та пересилав через месенджер»
3. Банківські афери. Сумні історії, які починаються з телефонного дзвінка «Добрий день. Вашу банківську картку заблоковано» настільки відомі, що вряд чи потрібно розповідати про них більш детально. Як і про використання чужих персональних даних, в тому числі ксерокопій паспортів та індивідуальних податкових номерів, для оформлення кредиту чи фіктивної реєстрації підприємницької діяльності.
«Троє чоловіків віком 32-36 років купували на хакерських форумах у DarkNet бази даних клієнтів операторів мобільного зв’язку та банківських установ. Наявні дані дозволяли фігурантам здійснювати перевипуск SIM-карт та отримати доступ до онлайн-банкінгу потерпілих. Гроші громадян зловмисники виводили на рахунки підставних осіб. Персональні дані громадян фігуранти також використовували для оформлення онлайн-кредитів. Таким чином шахраї ошукали понад дві сотні громадян. За попередніми підрахунками, сума збитків може сягати 10 мільйонів гривень».
«Правоохоронці встановили, що до складу угруповання входило дев’ятеро мешканців Дніпропетровщини. Вони телефонували громадянам нібито від імені мобільних операторів і «випитували» персональні дані для несанкціонованого випуску дублікатів сім-карток. Отримавши інформацію, зловмисники через Інтернет оформлювали на ці реквізити так звані «швидкі» кредити та привласнювали гроші. За попередніми даними слідства, за період «роботи» зловмисники встигли взяти кредити від імені кількох сотень громадян на суми від 2 до 10 тисяч гривень».
4. Шахрайські кол-центри (сall center). Такі центри створюються з метою організованого та масштабного виманювання у довірливих осіб персональних даних, після чого зловмисники використовують їх, як казав великий комбінатор Остап Бендер, для «відібрання грошей у населення».
«У Миколаївській області припинили незаконну діяльність шахрайського кол-центру. За місцем його розташування поліцейські провели санкціонований обшук, у результаті якого вилучили й направили на експертизу 102 комп’ютери, сервер та 28 мобільних телефонів. Call-центр був розташований в одному з офісних приміщень у центрі міста і в ньому «працювали» 30 операторів, які заволодівали персональними даними потерпілих.
«Якщо раніше подібні злочини вчинялись переважно з місць позбавлення волі, то в останні роки незаконні call-центри все частіше відкриваються у великих містах, маскуючи свою діяльність під інтернет-магазини, центри обслуговування клієнтів, гарячі лінії тощо. Зазвичай схема роботи полягала в тому, щоб оператор центру телефонував жертві та представився працівником банку, після чого, використовуючи методи соціальної інженерії, змусив довіряти та виконувати покрокові інструкції, що направлені на з’ясування у потерпілого персональних даних його банківської карти, а також паролів, що надходять в СМС-повідомленнях. Дізнавшись ці відомості, шахраї миттєво заволодівають всіма грошима, що перебувають на рахунку жертви», – пояснює начальник відділу протидії кіберзлочинам у Миколаївській області Ганна Забєліна».
«Правоохоронці викрили шахрайську «схему» із заволодіння коштами громадян та припинили діяльність «Call-centre» в Запорізькій області. За даними слідства, організувала діяльність центру 28-річна мешканка Запоріжжя. Його працівники, представляючись співробітниками служби безпеки банківських установ, отримували персональні дані фізичних осіб про банківські карти і рахунки та надалі привласнювали кошти. Допомагали жінці вести «бізнес» троє місцевих мешканців. Вони відповідали за підбір, інструктаж та контроль персоналу, звіт організаторці про суму грошових коштів, отриманих внаслідок оборудок. Отримані гроші зловмисники переводили на електронні гаманці, на картки власні або підконтрольних осіб. Крім того, частину коштів конвертували у біткоіни. Шахрайський «бізнес» щомісяця приносив організаторці до 2-х мільйонів гривень».
5. Вплив на виборців. Персональні дані – це ласий шматок для політтехнологів, оскільки дозволяють спробувати вдатися до маніпулювання нашим волевиявленням. І мова йде не тільки про примітивні, але поширені випадки знищення чи корегування електронних баз зі списками виборців. Наразі є інструменти й методи, якими можна впливати не лише на вподобання покупців, а й на вподобання електорату. Алгоритми схожі – отримати (у тому числі й через соціальні мережі, онлайн опитування, тести) як можна більше приватних даних про людину, проаналізувати її уподобання та схилити не до придбання телевізора певної марки, а до голосування за певного кандидата. Для цього в інформаційному інтернет-просторі навколо виборця штучно створюється своєрідний «інформаційний пузир», всередині якого замість нав’язливої реклами телевізора, його постійно оточує прихована політична реклама кандидата.
«Співробітники СБУ встановили, що на одному із спеціалізованих хакерських форумів зловмисник пропонував придбати базу даних, яка за багатьма ознаками співпадає з інформацією, що зберігається в АІТС «Державний реєстр виборців». Дані із зазначенням місця проживання та номерів виборчих дільниць користуються великим попитом у «даркнеті» напередодні проведення виборів до органів місцевого самоврядування. Адже ця інформація може бути використана замовниками для впливу на електоральні вподобання громадян. Наразі встановлюються всі обставини злочину та перелік «клієнтів», що придбали персональні дані виборців».
«Нацполіція викрила схему штучного збільшення кількості виборців на окремих виборчих дільницях. Заяви про зміну місця голосування надавалися як у паперовій, так і в електронній формі. Зокрема в Одеській області для подачі заяви в електронній формі зловмисники використовували цифрові підписи громадян, які були отриманні шахрайським способом».
Володимир Батчаєв