Копии паспортов и других документов попадают в руки злоумышленников по вине не только их владельцев, но и сотрудников соответствующих ведомств и компаний. Например, сотрудники компаний сотовой связи могут продавать информацию об абонентах и копии их документов, а банковские служащие – сведения о вкладчиках и держателях банковских карт. Утечки происходят и из государственных систем, таких как «Российский паспорт» или «Розыск-магистраль» (содержащей информацию о передвижениях граждан на транспорте)[468].
КЕЙС Весной 2019 г. российский корреспондент BBC менее чем за 2000 рублей смог приобрести выписку со своими паспортными данными и копии заявлений о выдаче документов, в том числе первого заявления, написанного им в конце 1990-х по достижении 14-летнего возраста. Файлы журналист получил спустя сутки после того, как заплатил за услугу анонимному хакеру[469].
Если же злоумышленникам удастся завладеть сканом водительских прав (либо использовать информацию из базы данных ГИБДД), они могут создать дубликат – «зеркальные права». Злоумышленник с «зеркальными правами» может совершать правонарушения, а сотрудники правоохранительных органов попытаются привлечь к ответственности владельца настоящих прав[470].
Публикация фотографий с билетами на авиарейс тоже опасная затея, так как кроме фамилии и имени на них присутствуют такие данные, как код бронирования (PNR) и номер бонусной карты, если таковая используется.
Примечание. На сайтах некоторых авиакомпаний кода бронирования и фамилии достаточно для доступа в личный кабинет или регистрации на рейс через интернет[471], а также для использования чужих «бонусных миль»[472].
Даже если кода бронирования в явном виде на билете нет, с помощью специальных утилит его можно извлечь из обязательно имеющегося на нем штрих– или QR-кода. Код бронирования может содержать, например, детальную информацию о маршруте; о тех, кто летит вместе с владельцем билета; сведения об оплате (вплоть до номера банковской карты[473]), а также в некоторых случаях адрес регистрации, номер телефона, дату рождения и паспортные данные. Хакеры могут получить доступ к информации о пассажире по фотографии его билета, так как при аутентификации на сайте авиаперевозчика запрашиваются автоматически присваиваемые при регистрации фамилия (в качестве логина) и код бронирования (пароль). Все данные, необходимые хакеру для успешного входа в систему, печатаются на билете, а также на бирках, приклеиваемых к багажу (которые также можно фотографировать).
Примечание. Хакер также может перебирать коды бронирования брутфорсом (многие сайты не ограничивают количество попыток), используя в качестве логина наиболее распространенные фамилии. Это несложно, так как код PNR состоит из шести символов в верхнем регистре без нулей, единиц и специальных символов, а некоторые компании к тому же используют несовершенные алгоритмы генерации кодов (например, помещают одинаковые символы в начале кодов, сгенерированных в определенный день, или постоянно используют одни и те же символы для конкретных авиалиний).
Вряд ли хакер воспользуется чужим билетом, чтобы вылететь вместо настоящего владельца, но вполне может подшутить, например, купив билеты на другие рейсы[474], изменив дату вылета, аннулировав обратный билет или сменив данные владельца на данные преступника из базы правоохранительных органов. Или, определив по коду бронирования, что некий известный человек летит в компании с кем-то еще, но скрывает эту информацию от общественности, злоумышленник может обнародовать эти сведения либо шантажировать жертву в обмен на молчание.
Примечание. Следя за перемещением конкретного человека, хакер может использовать полученную информацию для сложных целевых фишинговых атак, например отправлять этому человеку ссылки на фишинговую страницу от имени используемой им авиакомпании, чтобы он подтвердил данные своей банковской карты. Если в обращении указаны настоящие имя и фамилия, а также рейс и прочие подробности бронирования, это притупит бдительность получателя, особенно если уведомление приходит на мобильное устройство, скрывающее часть адреса фишинговой страницы[475].
С определенным риском связана и публикация в интернете фотографий ключей от автомобиля или квартиры, так как в некоторых случаях с помощью специальной программы и 3D-принтера злоумышленники могут по снимку создать дубликат ключа (об определении места съемки мы упоминали ранее)[476].
КЕЙС В 2014 г. американский журналист провел эксперимент: выбрав момент, когда его сосед по дому отвлекся, он взял его ключ от квартиры и за 30 секунд отсканировал с помощью приложения KeyMe на смартфоне. Программа из отсканированного изображения подготовила образ 3D-модели ключа, а через некоторое время исследователь получил дубликат ключа в выбранном терминале KeyMe и смог попасть в квартиру соседа, когда того не было дома[477].
Кроме того, определив по опубликованным билетам (или даже просто по упоминанию будущего посещения концерта и т. п.) дату и время отсутствия человека дома, а также место его жительства, злоумышленники могут запланировать квартирную кражу.
Крайне опасно выгружать в интернет и интимные фотографии и видеозаписи, если только вы не хотите сделать их достоянием общественности. Правда, можно ограничить к ним доступ. Но время от времени сайты взламывают, и злоумышленники получают доступ к персональным данным пользователей, как, к примеру, это произошло со службой знакомств AshleyMadison.com[478]. Но и подписчики из числа друзей могут похищать фотографии и использовать их в корыстных целях. Так, например, поступил американец Кристофер Мадилл, скачав из профиля в Facebook и разместив на российском порносайте 83 фотографии дочери своей близкой подруги[479].
Злоумышленники могут использовать украденные фотографии и другие данные не только для публикации в интернете, но и для вымогательства и мошенничества.
КЕЙС В августе 2014 г. в интернете появились сотни интимных фотографий знаменитостей, которые хакер скачал с их аккаунтов, взломанных в ходе фишинговой атаки. Инцидент получил название The Fappening и затронул более сотни людей, в том числе Дженнифер Лоуренс, Кейт Аптон, Мэри Элизабет Уинстед, Джессику Браун Финдли, Кейли Куоко и Кирстен Данст[480]. Хакер получил доступ к 50 аккаунтам в iCloud и 72 аккаунтам в Gmail, после чего в поисках личных фотографий выкачивал из iCloud все резервные копии с помощью программы iBrute[481].
Уязвимы и просто хранящиеся на устройстве интимные фото, особенно если потенциальная жертва – известная личность. Хакеры могут целенаправленно пытаться получить доступ к такому контенту любыми способами, в том числе и с помощью социальной инженерии. Кроме того, к подобным снимкам посторонние лица могут получить вполне легальный доступ, если вы сдадите устройство на сервисное обслуживание или продадите, не удалив конфиденциальные данные. В 2021 г. корпорации Apple пришлось понести многомиллионные издержки из-за того, что двое сотрудников официального сервисного центра Apple в Калифорнии (США) опубликовали в Facebook интимные фото девушки, которая сдала свой смартфон в ремонт. Изображения увидели родственники и друзья владелицы телефона[482].
Примечание. Компания Apple с помощью специальных алгоритмов сканирует фотографии и видеозаписи, сохраняемые на устройствах пользователей, в целях борьбы с детской порнографией[483].
КЕЙС В 2008–2012 гг. Центр правительственной связи Великобритании и АНБ совместно следили за пользователями видеочата Yahoo и фиксировали происходящее на экране, собрав базу из более чем 2 млн изображений, в числе которых было много интимных кадров. Обнаружить факт утечки удалось благодаря данным, обнародованным Эдвардом Сноуденом[484].
Также небезопасно пересылать интимные фото– и видеоматериалы либо вести трансляцию в обнаженном виде, поскольку такой трафик тоже могут перехватить.
Но даже если злоумышленникам не удается раздобыть интимные фотографии или видеозаписи, они могут их подделывать с помощью упомянутой ранее технологии deepfake[485], позволяющей с помощью нейронных сетей заменять лица.
Особенную бдительность следует соблюдать, используя сервисы и приложения для знакомств, например Tinder. По разным причинам клиенты таких служб указывают минимум информации о себе, например, скрывая использование таких сервисов от супруга/супруги, друзей, коллег и т. п. Если вы пользуетесь псевдонимом, следует избегать возможности утечки реальных персональных данных. Это может быть сделанная в вашем офисе фотография, по которой злоумышленник может выяснить место работы, а впоследствии и найти того, кто запечатлен на фото. Либо такая же фотография может быть размещена в вашем профиле в социальной сети (неважно какой), а посторонний человек может, используя поисковую систему, определить вашу настоящую личность (см. ранее в этой главе). Не следует привязывать к профилю в службе знакомств аккаунты социальных сетей, даже если эта информация скрыта от посетителей. В случае утечки базы данных с такого сервиса сведения о вас, в том числе о связи вашего логина и аккаунта в социальной сети, могут стать достоянием общественности. По тем же причинам не стоит указывать номер телефона, связанный с социальной сетью (многие из них требуют номер телефона для авторизации). В случае необходимости безопаснее использовать отдельный номер телефона для регистрации и общения на таких сервисах. Также стоит соблюдать осторожность, общаясь с посторонним человеком, поскольку вы не можете установить его личность. Не сообщайте личную информацию, которая может быть использована для мошенничества или шантажа. В некоторых случаях утечка конфиденциальных данных может угрожать вашей безопасности и даже жизни