Где используются ваши данные в интернете? Виды угроз

Угрозы, связанные с хищением персональных данных, эволюционируют и адаптируются к новым технологиям. Объем персональных данных, доступных в интернете, наша зависимость от технологий и растущая изощренность киберпреступников приводят к тому, что кража персональных данных становится все более распространенным явлением.
 
Каковы современные тенденции в киберпространстве и как это может подвергнуть риску вас или ваш бизнес? Мартин Бареш, специалист по киберугрозам компании Trask, рассказывает о современных методах киберпреступников и способах защиты от них.
 
Кража персональных данных: растущая угроза с серьезными последствиями

Для кражи конфиденциальной информации киберпреступники используют ряд современных методов, таких как фишинг (мошенническое сообщение под видом сообщения от доверенного источника), вишинг (голосовой фишинг), вредоносное ПО или социальная инженерия (способ манипулирования людьми, например, для получения секретной информации или доступа к системам компании). В глубинах интернета, в так называемом дарквебе, скрывается рынок этих похищенных данных.
 
Не только с переходом банковского сектора на цифровые технологии расширяются возможности для нарушения безопасности и мошенничества, что представляет значительную угрозу для организаций и их клиентов. Кража личных данных в банковской сфере может привести к серьезным последствиям, включая финансовые потери, снижение кредитоспособности, юридические проблемы и стресс. Но и для самих банковских учреждений это создает проблемы в виде финансовых потерь, возможных штрафов и проблем с сохранением доверия клиентов.
 
Согласно новым правилам NIS2, штрафы за нарушения кибербезопасности могут достигать 250 млн крон. В соответствии с GDPR они могут составлять до 20 млн евро. В случае несоблюдения правил AML штраф может составлять до 10% годового оборота. Кроме того, банки рискуют лишиться лицензии на осуществление банковской деятельности. Таким образом, решение проблем кибербезопасности необходимо как для защиты клиентов, так и для поддержания стабильности и репутации финансовой отрасли.
 
Распространенные виды мошенничества

Существует несколько видов хищения персональных данных, и в будущем их число может увеличиться. В целом их можно разделить на шесть основных направлений.
 
Финансовые хищения персональных данных
 
Это наиболее распространенная форма хищения персональных данных, когда один человек использует данные другого в целях получения финансовой выгоды. Например, неправомерное использование данных кредитной карты для совершения покупок, кража средств с банковского счета или открытие нового счета с использованием личных данных ограбленного.
 
Синтетическая кража личных данных

Этот метод предполагает создание ложных личных данных с использованием информации о реальных людях, например даты рождения, адреса или идентификационного номера, и их комбинирование для создания поддельного профиля. Такие данные могут использоваться для получения кредитов или кредитных карт, а также для совершения других финансовых преступлений.
 
Кража идентификационных данных в связи с совершением преступления

Это происходит, когда задержанный полицией человек использует чужое имя вместо своего собственного. Он может выдать себя за другого человека, изготовив поддельное удостоверение личности или предъявив украденное удостоверение, например, полиции. Это может привести к неожиданной повестке в суд или записи в базе данных полиции.
 
Кража личных данных в здравоохранении

Это происходит, когда преступник выдает себя за другое лицо с целью получения медицинских и оздоровительных услуг. Например, для получения рецептов на лекарства, доступа к лечению, включая дорогостоящие операции, или для получения медицинского оборудования и принадлежностей, таких как инвалидные кресла.
 
Кража личных данных ребенка

Информация о несовершеннолетнем ребенке может быть использована для совершения финансовых махинаций, например для открытия нового счета или получения кредита на его имя.
 
Другие способы хищения персональных данных

К другим способам можно отнести кражу налоговой информации с использованием ваших персональных данных. Другими словами, чтобы подать налоговую декларацию и получить возврат налога — ваш возврат. В случае кражи личных данных при трудоустройстве воры также могут использовать ваши данные для получения работы или прохождения проверки на благонадежность. Кража личных данных из наследства происходит в том случае, если похититель использует персональные данные умершего человека для кражи денег или открытия счета.
 
Некоторые из этих атак встречаются не только в банковской сфере. Хотя наиболее распространенным способом является фишинг, все чаще появляются и другие методы. Например, технология deep fake используется в процессах онбординга: злоумышленники готовят фальшивое видео и обращаются к клиентам, сотрудникам и другим лицам.
 
Поэтому нужно внимательно относиться к тому, кому мы предоставляем доступ, например, к фотографиям. К потенциальным угрозам относятся подозрительные приложения от сомнительных владельцев, которые обычно имеют доступ к камере телефона или позволяют напрямую сканировать радужную оболочку глаза. Существуют проекты, предлагающие деньги в обмен на сканирование радужной оболочки глаза. При отсутствии уверенности в происхождении получателя следует быть начеку и надежно защищать любую свою идентификационную информацию.
 
Личные данные, которые могут вас раскрыть

Любая информация, по которой можно установить вашу личность, например биометрические данные (отпечатки пальцев, лица, голоса, радужной оболочки глаза и ладони или отпечатки пальцев с венами), дата рождения, номер водительского удостоверения, информация о трудоустройстве, финансовая информация, имена, адреса и другие номера из документов, являются так называемыми PII. Это означает «персонально идентифицируемая информация» — информация, которая может быть использована для идентификации конкретного человека. При наличии достаточного количества такой информации можно быстро совершить кражу персональных данных. Таким образом, необходимо тщательно защищать всю личную информацию как от раскрытия, так и от несанкционированного доступа.
 
Почему именно сейчас?

Угрозы кибербезопасности растут вместе с технологическим прогрессом, но несомненно, что именно в этот период в сфере кибербезопасности значительно возросло число случаев кражи персональных данных. Например, по данным FTC США, в период с 2018 по 2020 год количество жалоб клиентов, связанных с кражей личных данных, увеличилось в три раза и превысило 1,3 млн. Несмотря на снижение в 2022 году, это число все еще превышает 1,1 млн.
 
Ответственный подход компаний к инвестициям в кибербезопасность вроде бы приносит свои плоды, но результат далек от идеала. В Чехии наиболее распространенными кибератаками являются фишинг, например, электронные письма с предложением получить выигрыш или наследство, а также подозрительные сообщения в социальных сетях. Лишь 7% респондентов сталкивались с ложными звонками, поступающими от представителей банковского сектора. 4% сталкивались со звонками людей, выдававших себя за представителей банка. Тем не менее это один из главных кандидатов на кражу персональных данных в будущем, и эта угроза постоянно растет.
 
Что делать вам или вашей компании, чтобы обезопасить себя?

Попасть в ловушку довольно просто. Мы рекомендуем регулярно проверять выписки по кредитным картам, использовать разные пароли для каждого сервиса и избегать их раскрытия, проверять электронную почту, быть бдительным при загрузке подозрительных приложений или участии в сомнительных проектах.
 
Компаниям следует регулярно обучать сотрудников, устанавливать высокие стандарты безопасности, следить за соответствием и работоспособностью инструментов. Безопасность данных — это краеугольный камень в достижении надежных и долговременных технологических достижений. Средства защиты от мошенничества не устаревают. Различные технологии, включая искусственный интеллект, помогают выявлять мошенничество. Но осторожность нужна всегда.
 
Особенно сейчас, когда с распространением социальных сетей становится все проще получить данные об «обычном» человеке. Чем меньше вы предоставляете информации, тем лучше.