Досьє за долар, або Як можуть продати будь-яку особистість

Автор: Тетяна Бодня

Кіберполіцейські під час спецоперації виявили й вилучили 100 баз персональних даних громадян. У цих базах містились відомості про більш ніж 300 мільйонів громадян України, Європи й США. Також було викрито понад 50 осіб, причетних до торгівлі персональними даними.

Це не перша операція правоохоронців з виявлення таких злочинів. Персональні дані громадян постійно перебувають у зоні ризику. У тому, як влаштовано "чорний ринок" з продажу такої інформації, за скільки й де можна замовити досьє на будь-яку людину, з’ясовувала журналіст "Цензор.НЕТ".

ЩО МОЖНА КУПИТИ?

"Зараз складно знайти людину, яка не знає, що таке інтернет. Багато хто використовує можливості мережі для навчання, роботи, покупок, розваг, спілкування… Й цей перелік можна продовжувати довго. Та чи часто люди думають про безпеку своїх персональних даних у віртуальному світі, реєструючи черговий акаунт на якомусь із сайтів? А на них може чекати реальна небезпека, – зазначив голова Національної поліції Ігор Клименко в коментарі "Цензор.НЕТ". – Звісно, продавці баз персональних даних не рекламують свої пропозиції в метро чи автобусах. Вони використовують даркнет, там продаж відбувається через спеціальні форуми, маркетплейси чи месенджери".

Також пропозиції від таких торговців персональними даними можна знайти і в телеграм-каналах, які, знову ж таки, використовують ті дані, які люди залишають про себе, наприклад, у соцмережах.

За словами Ігоря Клименка, у даркнеті можна знайти різну персональну інформацію – від простої адреси електронної пошти чи пароля до повного пакета даних на певну людину. Найбільш популярними для продажу на даркнет-форумах є саме бази даних. Їх ціна залежить від актуальності інформації й типу даних.

"Наприклад, база з телефонами, іменами (маю на увазі повні дані – прізвище, ім’я та по-батькові) й місцем проживання коштуватиме від 200 доларів США, база фізичних осіб України – від 100 доларів США. Вартість залежить від кількості рядків у базі, – розповідає він. – Ціна за розворот внутрішнього паспорта в середньому становить всього лиш 1 долар США, закордонного – 2,5 долара за розворот. При цьому продавці не розмінюються на одиничні замовлення. Вони віддають перевагу оптовим "угодам". Ціни можуть змінювати на власний розсуд, беручи до уваги кількість рядків або повноту наданої інформації.

Продаж здійснюється напряму або через "гаранта" форуму чи каналу, якому переказується завдаток за вказану послугу.

Основною валютою в таких угодах є криптовалюта, наприклад Bitcoin, але є випадки, коли використовуються міжнародні платіжні системи, наприклад PayPal, або російські сервіси Qiwi чи "Интеркасса".

До речі, можна замовити "досьє" на конкретну людину, а не купувати загальну базу даних. Як пояснив Ігор Клименко, така інформація, залежно від ціни й продавця, може включати в себе ПІБ, дату народження, ідентифікаційний код, фотокартку, місце народження, адресу реєстрації, паспортні дані, абонентський номер мобільного телефону, електронні поштові скриньки, паролі, що використовує людина тощо.

Усе залежить від специфічності бази даних. Це, приміром, може бути перелік замовлень особи з інтернет-магазину. Серед послуг є навіть відстеження руху коштів на рахунках людини, деталізація її дзвінків.

"Продавці далеко не завжди хакери – часто це звичайні користувачі мережі, які формують великі бази з кількох дрібних, – пояснює голова Нацполіції. – Наприклад, нещодавно кіберполіція України провела слідчі дії щодо фігуранта, який продавав базу з 773 млн унікальних адрес електронної пошти та понад 21 млн паролів.

Та трапляється, що фігуранти наших розслідувань формують автоматизовані системи для пошуку інформації, наприклад боти в месенджері Telegram, які розкривають персональну інформацію громадян".

Під час останньої операції правоохоронці викрили 51 особу, які незаконно заволоділи персональними даними громадян, закритими відомостями про ведення фінансово-господарської діяльності фізичних і юридичних осіб, інформацією про клієнтів банківських і комерційних установ, даними для авторизації на електронних поштових скриньках, соцмережах, інтернет-магазинах.

Загалом на території України було проведено 117 обшуків. У результаті операції вилучено близько 100 баз персональних даних, актуальних на 2020-2021 роки.

Крім того, правоохоронці припинили роботу одного з найбільших сайтів, де поширювали персональні дані як українців, так і іноземців. На сайті були відомості про номер телефона, прізвище, ім'я та по-батькові громадян, їхнє місце реєстрації, а в окремих випадках — інформація про надані адмінпослуги, пов'язані з використанням транспортних засобів. Назву сайту в інтересах слідства в Нацполіції не називають.

Також у Дніпропетровській області кіберполіцейські викрили ексспівробітника мережі супермаркетів у збуті конфіденційних даних. Чоловік незаконно збирав і продавав компаніям-конкурентам інформацію, що містить комерційну таємницю, через що мережа зазнала понад мільйон гривень збитків.

НАВІЩО ХАКЕРАМ ПЕРСОНАЛЬНІ ДАНІ

За словами Клименка, найчастіше причиною витоків персональних даних стає саме їхній перепродаж. Зазвичай цим займаються співробітники установ, які мають доступ до такої інформації, – працівники банків, операторів зв'язку тощо.

Є й інші варіанти, коли зламом баз даних займаються хакерські угруповання, що продають отриману інформацію в даркнеті.

"Якщо йдеться про злам сторінок у соціальних мережах, найпопулярніший спосіб – використання посилань на фішингові сайти. Вони створюються як точна копія відомих веб-ресурсів. Але вводячи свої дані на цих шахрайських сторінках, ви власноруч передаєте зловмисникам логіни й паролі. Далі ними наповнюються бази персональних даних, які виставляють на продаж. Крім того, отримуючи доступ до ваших сторінок у соцмережах, шахраї можуть надсилати вашим друзям повідомлення із проханням позичити грошей. Одну із таких груп на початку грудня викрили поліцейські на Житомирщині.

П’ятеро фігурантів за допомогою фішингу зламували сторінки користувачів соцмереж, а також створювали фейкові акаунти. Потім із цих скомпрометованих сторінок розсилали прохання позичити гроші. Як правило, просили небагато – в середньому по 200 грн. За попередніми підрахунками, фігуранти зламали близько тисячі акаунтів соцмереж і привласнили 1,5 мільйона гривень. І це ще неповні дані. Правоохоронці продовжують рахувати кількість ошуканих.

У Нацполіції констатують, що ситуація зі збереженням персональних даних в країні погана, наприклад, в мережі продаються бази клієнтів банків за різні роки, досить поширеними є витоки з баз перевізників. Також популярні витоки з різних кредитних організацій.

Збутом найчастіше займаються сегрегатори (ті, хто збирає) даних, проте трапляється, коли їх продає безпосередньо винуватець витоку.

Кажучи про відповільність за торгівлю персональними даними, в Нацполіції зазначають, що такі дії підпадають під декілька різних статей Кримінального кодексу. Серед них – ст. 361 (несанкціоноване втручання в роботу комп'ютерів, автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку), ст. 361-2 (несанкціоновані збут або поширення інформації з обмеженим доступом, яка зберігається в комп'ютерах, автоматизованих системах, комп'ютерних мережах або на носіях такої інформації), ст. 362 (несанкціоновані дії з інформацією, яка оброблюється в комп'ютерах, автоматизованих системах, вчинені особою, яка має право доступу до неї), ст. 182 (порушення недоторканності приватного життя) Кримінального кодексу України.

Несуть відповідальність і шахраї, які використовують бази даних, та це їх не зупиняє. Наприклад, користуючись даними чужого паспорта, шахраї реєструють фірму-одноденку. Так вони ухиляються від сплати податків або збирають зі звичайних людей гроші за замовлення дорогих товарів.

"На домашній телефон мені вже кілька місяців поспіль наполегливо телефонують молоді люди, які представляються менеджерами підприємства – виробника пластикових вікон, – розповідає киянка Лариса Вишня. – Вони чітко називають мою домашню адресу, хоч не знають імені й по-батькові. Очевидно, що купили лише телефонний номер з прив’язкою до адреси. Щоразу кажу, щоб перестали дзвонити, але вони продовжують це робити. Видається, що хочуть під будь-яким приводом потрапити в квартиру. Спочатку сказала їм, що в мене старі дерев’яні вікна – запропонували замінити. Наступного разу – що вже поставила пластикові, почали пропонувати профілактику, мовляв, щоб краще функціонували".

Моя співрозмовниця розповідає, що коли розмістила пост про це у "Фейсбуці", люди в коментарях почали писати, що пенсіонери пускають таких шахраїв, роблять їм замовлення, а ті потім пропадають разом з передоплатою.

Не менш поширена і багатьом відома схема, коли шахрай пропонує "викупити" родича, який потрапив у біду: нібито дитину доставили у відділення поліції, бо вона зробила щось протизаконне. Лжеполіцейські можуть прикриватися такими вкраденими персональними даними, наприклад, називати точний вік та ім'я дитини.

ЯК ВІДКРИТІСТЬ МОЖЕ ЗАХИСТИТИ?

Аби захистити персональні дані, громадяни мають вивчити найпростіші правила "кібергігієни", радять у Нацполіції. "Передовсім використовувати двофакторну автентифікацію – це найкращий захист для інтернет-акаунтів, додатковий рівень безпеки. До імені користувача й пароля додайте змогу підтвердження входу через мобільний номер чи електронну скриньку.

Пароль також має значення. Використовуйте складні комбінації, і вони мають бути різними для кожної соцмережі. До речі, самостійно вигадати добре захищений пароль може бути складно, тож можна скористатися спеціальним сервісом від кіберполіції", – каже Ігор Клименко.

Крім того, правоохоронці рядять уникати входу в акаунти з чужих пристроїв, не пересилати приватні фото або фотокопії документів. У разі зламу ці дані опиняться у зловмисників. І, звісно, не переходьте за сумнівними гіперпосиланнями й своєчасно оновлюйте програмне забезпечення.

"Усе, що потрапляє в мережу, там і залишається. Навіть якщо ви поставите налаштування конфіденційності "для друзів", це не означає, що ваш друг не може передати інформацію комусь іншому, тому що вона в принципі була у відкритому доступі, – каже голова комісії з етики Асоціації приватних детективів України Руслан Болгов. – До того ж, будь-яка людина, заходячи в інтернет, підписуєте мовчазну згоду на передачу персональних даних, ставлячи галочку в угоді користувача тієї чи іншої програми. Найбільше мені подобається, коли люди, які божеволіють від того, що їхні персональні дані кудись зникають, тут же ідуть у додаток GetContact подивитися, як вони там записані, зливши в контактну мережу свої фотографії, паролі тощо".

За його словами, торговці персональними даними діють як спамери. Вони можуть надсилати пропозиції людям на пошту, месенджери, приєднуватися до яких- небудь груп в соцмережах.

"Ось у мене є чат "Підвези сусіда в Боярці". Туди зайшов якийсь бот і кидає оголошення про сертифікати від ковіду й довідки, мовляв, бажаючі можуть писати в особисті. Те саме – з базами. Такі торговці заходять у будь-які групи, створюючи фейкові акаунти й закидаючи туди посилання. Протримається воно там добу чи місяць – не важливо, хтось все одно клюне і перейде, а далі вже справа техніки. Це ж бачить і поліція, і вони це припиняють, – продовжує він і додає, що треба дбати про захист особистої інформації. – Кому я тільки дорогу не перейшов за роки роботи – і педофілів виявляв, і шахраїв чимало посадив, вже працюючи детективом, не кажучи вже про моє минуле в правоохоронних органах. Усі чудово знають, де я живу, але у мене тут стоять відеокамери, у мене закрите подвір'я. Щодо інших даних, вони також відкриті. При цьому в мене телефони прив'язані до паспортних даних, те ж саме – і з телефонами членів моєї сім'ї. Вони контрактні, а отже, ніхто не зможе на них взяти кредит. Окрім того, у мене всюди стоїть двоетапна автентифікація, подвійні паролі. Я подбав про свою безпеку заздалегідь".

Захищати чи ні свої дані, звичайно, кожен вирішує сам. Головне – розуміти наслідки. Днями зайшла в аптеку, там у черзі переді мною стояв чоловік років за сорок. Фармацевт запропонувала йому оформити дисконтну картку. При цьому анкетні дані вона одразу вносила в базу, тому за п’ять хвилин усі, хто був на ту мить в аптеці, знали його прізвище, ім’я й по-батькові, номер телефону і дату народження. Чи варта цього знижка?

Передаючи персональні дані третім особам, ми повинні усвідомлювати, що будь-якої миті вони можуть потрапити до рук тих, хто скористається ними на свою користь.

Тетяна Бодня, "Цензор.НЕТ"