книги хакеры / Как_защитить_себя_в_цифровом_мире_

железнодорожных билетов, ссылаясь на низкую репутацию этих граждан [411]. «Тяжкие преступления», например критика правительства, могут привести к блокировке репутации и заключению под стражу [412]. Следить за уровнем своей репутации жители страны могут в специальном мобильном приложении. Внедрение технологий учета репутации приводит к дополнительному расслоению населения, так как граждане стремятся повысить свой рейтинг, общаясь и создавая семьи с обладателями более высокого рейтинга. Многие элементы такой системы рассматриваются другими странами в качестве средства для контроля над населением на своих территориях, например для решений о выдаче кредитов [413].

КЕЙС В мае 2019 г. в открытом доступе оказалась база данных, размещенная в облачном хранилище китайского конгломерата Alibaba и содержащая гигабайты данных с результатами распознавания лиц прохожих в двух районах Пекина, один из которых — Лянмацяо, где расположены посольства других государств. Информация из этой базы данных позволяет определить, кто и куда ходил и как долго находился в том или ином месте, благодаря чему можно составить полную картину повседневной жизни человека. Кроме того, судя по обнаруженной базе данных, система распознавания лиц позволяет выявлять принадлежность людей к тем или иным этническим группам и соответственно маркировать. Также система следит за устройствами с Wi-Fi, такими как смартфоны и ноутбуки, для чего используются специальные датчики, установленные на улицах города: они фиксируют дату и времени регистрации устройства системой и потенциально могут извлекать их идентификаторы IMEI и IMSI, о чем свидетельствуют соответствующие поля в базе данных [414], [415].

В России, во многом перенимающей опыт Китая, также прорабатываются различные планы цифровизации экономики, в том числе проект создания цифровых профилей, документирующих успехи и неудачи их владельцев в работе и в обучении в вузах, и передаче этих сведений работодателям [416].

Публикация документов

Многие люди публикуют в интернете документы. В результате они очень часто становятся жертвами утечки персональных данных и махинаций со стороны злоумышленников. Пользователи безрассудно фотографируют себя с билетами на концерт или самолет, банковскими картами, свидетельствами о рождении детей и даже паспортами и

ограничить доступ посторонних к постам.

КЕЙС Один из жителей Москвы не смог попасть на концерт любимой группы, так как по его билету уже прошел кто-то другой. Оказалось, что после покупки билета пострадавший сфотографировал его и опубликовал фото в интернете. Злоумышленник использовал фотографию билета, чтобы вместо законного владельца пройти на концерт: для этого достаточно, чтобы на снимке был виден штрихкод, который сканируется на входе на мероприятие. Так как согласно условиям продажи билетов покупатель несет ответственность за передачу полученных им данных третьим лицам, пострадавшему не удалось вернуть деньги за билет [417].

Злоумышленники могут использовать копии документов в преступных целях: к примеру, по фотографии паспорта получить кредит или перевыпустить SIM-карту, с помощью которой впоследствии перехватить SMS-коды и списать все средства со счета жертвы, а по снимку билета пройти на концерт либо получить выигрыш [418].

Копии паспортов и других документов попадают в руки злоумышленников по вине не только их владельцев, но и сотрудников соответствующих ведомств и компаний. Например, сотрудники компаний сотовой связи могут продавать информацию об абонентах и копии их документов, а банковские служащие — сведения о вкладчиках и держателях банковских карт. Утечки происходят и из государственных систем, таких как «Российский паспорт» или «Розыскмагистраль» (содержащей информацию о передвижениях граждан на транспорте) [419].

КЕЙС Весной 2019 г. российский корреспондент BBC менее чем за 2000 рублей смог приобрести выписку со своими паспортными данными и копии заявлений о выдаче документов, в том числе первого заявления, написанного им в конце 1990-х по достижении 14-летнего возраста. Файлы журналист получил спустя сутки после того, как заплатил за услугу анонимному хакеру [420].

Если же злоумышленникам удастся завладеть сканом водительских прав (либо использовать информацию из базы данных ГИБДД), они могут создать дубликат — «зеркальные права». Злоумышленник с «зеркальными правами» может совершать правонарушения, а сотрудники правоохранительных органов попытаются привлечь к ответственности владельца настоящих прав [421].

Публикация фотографий с билетами на авиарейс тоже опасная затея, так как кроме фамилии и имени на них присутствуют такие данные, как код бронирования (PNR) и номер бонусной карты, если таковая используется.

фамилии достаточно для доступа в личный кабинет или регистрации на рейс через интернет [422], а также для использования чужих «бонусных миль» [423].

Даже если кода бронирования в явном виде на билете нет, с помощью специальных утилит его можно извлечь из обязательно имеющегося на нем штрихили QR-кода. Код бронирования может содержать, например, детальную информацию о маршруте; о тех, кто летит вместе с владельцем билета; сведения об оплате (вплоть до номера банковской карты [[50]]), а также в некоторых случаях адрес регистрации, номер телефона, дату рождения и паспортные данные. Хакеры могут получить доступ к информации о пассажире по фотографии его билета, так как при аутентификации на сайте авиаперевозчика запрашиваются автоматически присваиваемые при регистрации фамилия (в качестве логина) и код бронирования (пароль). Все данные, необходимые хакеру для успешного входа в систему, печатаются на билете, а также на бирках, приклеиваемых к багажу (которые также можно фотографировать).

Примечание. Хакер также может перебирать коды бронирования брутфорсом (многие сайты не ограничивают количество попыток), используя в качестве логина наиболее распространенные фамилии. Это несложно, так как код PNR состоит из шести символов в верхнем регистре без нулей, единиц и специальных символов, а некоторые компании к тому же используют несовершенные алгоритмы генерации кодов (например, помещают одинаковые символы в начале кодов, сгенерированных в определенный день, или постоянно используют одни и те же символы для конкретных авиалиний).

Вряд ли хакер воспользуется чужим билетом, чтобы вылететь вместо настоящего владельца, но вполне может подшутить, например, купив билеты на другие рейсы [424], изменив дату вылета, аннулировав обратный билет или сменив данные владельца на данные преступника из базы правоохранительных органов. Или, определив по коду бронирования, что некий известный человек летит в компании с кем-то еще, но скрывает эту информацию от общественности, злоумышленник может обнародовать эти сведения либо шантажировать жертву в обмен на молчание.

Примечание. Следя за перемещением конкретного человека, хакер может использовать полученную информацию для сложных целевых фишинговых атак, например отправлять этому человеку ссылки на фишинговую страницу от имени используемой им авиакомпании, чтобы он подтвердил данные своей банковской карты. Если в обращении указаны настоящие имя и фамилия, а также рейс и прочие подробности

уведомление приходит на мобильное устройство, скрывающее часть адреса фишинговой страницы [425].

С определенным риском связана и публикация в интернете фотографий ключей от автомобиля или квартиры, так как в некоторых случаях с помощью специальной программы и 3D-принтера злоумышленники могут по снимку создать дубликат ключа (об определении места съемки мы упоминали ранее) [426].

КЕЙС В 2014 г. американский журналист провел эксперимент: выбрав момент, когда его сосед по дому отвлекся, он взял его ключ от квартиры и за 30 секунд отсканировал с помощью приложения KeyMe на смартфоне. Программа из отсканированного изображения подготовила образ 3D-модели ключа, а через некоторое время исследователь получил дубликат ключа в выбранном терминале KeyMe и смог попасть в квартиру соседа, когда того не было дома [427].

Кроме того, определив по опубликованным билетам (или даже просто по упоминанию будущего посещения концерта и т.п.) дату и время отсутствия человека дома, а также место его жительства, злоумышленники могут запланировать квартирную кражу.

Интимные фотографии и видеозаписи

Крайне опасно выгружать в интернет и интимные фотографии и видеозаписи, если только вы не хотите сделать их достоянием общественности. Правда, можно ограничить к ним доступ. Но время от времени сайты взламывают, и злоумышленники получают доступ к персональным данным пользователей, как, к примеру, это произошло со службой знакомств AshleyMadison.com [428]. Но и подписчики из числа друзей могут похищать фотографии и использовать их в корыстных целях. Так, например, поступил американец Кристофер Мадилл, скачав из профиля в Facebook и разместив на российском порносайте 83 фотографии дочери своей близкой подруги [429].

Злоумышленники могут использовать украденные фотографии и другие данные не только для публикации в интернете, но и для вымогательства и мошенничества.

КЕЙС В августе 2014 г. в интернете появились сотни интимных фотографий знаменитостей, которые хакер скачал с их аккаунтов, взломанных в ходе фишинговой атаки. Инцидент получил название The Fappening и затронул более сотни людей, в том числе Дженнифер Лоуренс, Кейт Аптон, Мэри Элизабет Уинстед, Джессику Браун Финдли, Кейли Куоко и Кирстен Данст [430]. Хакер получил доступ к 50 аккаунтам в iCloud и 72 аккаунтам в Gmail, после чего в поисках

помощью программы iBrute [431].

Уязвимы и просто хранящиеся на устройстве интимные фото, особенно если потенциальная жертва — известная личность. Хакеры могут целенаправленно пытаться получить доступ к такому контенту любыми способами, в том числе и с помощью социальной инженерии. Кроме того, к подобным снимкам посторонние лица могут получить вполне легальный доступ, если вы сдадите устройство на сервисное обслуживание или продадите, не удалив конфиденциальные данные. В 2021 г. корпорации Apple пришлось понести многомиллионные издержки из-за того, что двое сотрудников официального сервисного центра Apple в Калифорнии (США) опубликовали в Facebook интимные фото девушки, которая сдала свой смартфон в ремонт. Изображения увидели родственники и друзья владелицы телефона [432]. Примечание. Компания Apple с помощью специальных алгоритмов сканирует фотографии и видеозаписи, сохраняемые на устройствах пользователей, в целях борьбы с детской порнографией [433].

КЕЙС В 2008–2012 гг. Центр правительственной связи Великобритании и АНБ совместно следили за пользователями видеочата Yahoo и фиксировали происходящее на экране, собрав базу из более чем 2 млн изображений, в числе которых было много интимных кадров. Обнаружить факт утечки удалось благодаря данным, обнародованным Эдвардом Сноуденом [434].

Также небезопасно пересылать интимные фото- и видеоматериалы либо вести трансляцию в обнаженном виде, поскольку такой трафик тоже могут перехватить.

Но даже если злоумышленникам не удается раздобыть интимные фотографии или видеозаписи, они могут их подделывать с помощью упомянутой ранее технологии deepfake [435], позволяющей с помощью нейронных сетей заменять лица.

Особенную бдительность следует соблюдать, используя сервисы и приложения для знакомств, например Tinder. По разным причинам клиенты таких служб указывают минимум информации о себе, например, скрывая использование таких сервисов от супруга/супруги, друзей, коллег и т.п. Если вы пользуетесь псевдонимом, следует избегать возможности утечки реальных персональных данных. Это может быть сделанная в вашем офисе фотография, по которой злоумышленник может выяснить место работы, а впоследствии и найти того, кто запечатлен на фото. Либо такая же фотография может быть размещена в вашем профиле в социальной сети (неважно какой), а посторонний человек может, используя поисковую систему, определить вашу настоящую личность (см. ранее в этой главе). Не следует

сетей, даже если эта информация скрыта от посетителей. В случае утечки базы данных с такого сервиса сведения о вас, в том числе о связи вашего логина и аккаунта в социальной сети, могут стать достоянием общественности. По тем же причинам не стоит указывать номер телефона, связанный с социальной сетью (многие из них требуют номер телефона для авторизации). В случае необходимости безопаснее использовать отдельный номер телефона для регистрации и общения на таких сервисах. Также стоит соблюдать осторожность, общаясь с посторонним человеком, поскольку вы не можете установить его личность. Не сообщайте личную информацию, которая может быть использована для мошенничества или шантажа. В некоторых случаях утечка конфиденциальных данных может угрожать вашей безопасности и даже жизни [436].

Фотографии имущества или из отпуска

Публикация фотографий дорогих покупок и ваших фотопортретов на фоне квартиры или коттеджа после дорогого ремонта позволяет судить об уровне вашего дохода. Определить место съемки помогают метаданные фотографии, окружающие вас предметы, вид из окна; к тому же многие пользователи сами указывают, где была снята фотография. Такие фото способны заинтересовать преступников, которые могут попытаться ограбить вас и ваше жилище. Специальные алгоритмы позволяют из множества разных фотографий выстраивать полную картину всего, что находится вокруг человека [437]. Если вы делаете фотографии, находясь в отпуске, и сразу публикуете их или выкладываете фото с билетами, собираясь уехать, вы даете злоумышленникам информацию о том, что вас нет дома.

Шерентинг

«Шерентинг» — это новый термин, появившийся в эпоху цифровых технологий и произошедший от слияния двух английских слов: share — делиться и parenting — воспитание. Им обозначаются ситуации, когда родители публикуют в интернете фотографии своих детей, порой затрагивая самые интимные аспекты их жизни.

Главная опасность в том, что такие публикации привлекают внимание мошенников, троллей, растлителей малолетних и прочих злоумышленников. Фотографии детей в нижнем белье или вовсе обнаженных могут утечь на скрытые форумы, где общаются педофилы и люди, страдающие еще какими-то расстройствами. Публикация детских фотографий может также привлечь похитителей детей.

сделано. Кроме того, место съемки можно определить по описанию фотографии, ее фону, метаданным или даже с помощью остальных публикаций в аккаунте и вообще в интернете. Также родители часто раскрывают информацию о номере детского сада, школы, местах проведения досуга и т.п. Если злоумышленник выяснит имена преподавателей, родителей, родственников и друзей; домашний адрес; информацию об интересах ребенка, имеющихся дома игрушках и т.д., ему будет проще войти в доверие к ребенку. Среди «друзей» любого пользователя в социальных сетях могут быть неадекватные люди.

Кроме того, такие публикации формируют цифровую личность ребенка, изменить которую после его взросления может быть очень трудно; а если ребенок впоследствии становится знаменитым, то детские снимки могут неправомерно использоваться злоумышленниками (для вымогательства и прочих преступлений), а также желтой прессой. Важно помнить: если некий контент появился в интернете, то он уже не исчезнет оттуда, даже если вы его удалите со своей страницы. Дело в том, что имеются различные сервисы агрегации контента, шеринг (совместное использование контента) и прочие инструменты сбора данных; кроме того существует эффект Стрейзанд. Поэтому допустимо публиковать только такой контент, за который повзрослевшему ребенку не будет стыдно.

Эффект Стрейзанд Социальный феномен, заключающийся в том, что попытка изъять

некую информацию из публичного доступа приводит лишь к дальнейшему ее распространению. Иными словами, если вы попытаетесь ограничить доступ, к примеру, к фотографии, это приведет к ее перепосту в других пабликах, трекерах и прочих ресурсах. Данный термин появился из судебного иска известной актрисы Барбры Стрейзанд к фотографу, который сфотографировал ее особняк, осуществляя проект по изучению эрозии почвы. До судебного процесса фотографию скачали лишь шесть раз, причем два раза ее скачали адвокаты, а после распространения информации об иске снимок в течение месяца просмотрели свыше 420 000 посетителей.

Этот момент важно учесть еще и потому, что многие работодатели при найме сотрудников проверяют профили кандидатов в социальных сетях и могут с подозрением отнестись к публикациям, где вы, к примеру, обсуждаете психологические или медицинские проблемы своего

ребенка — наличие у него частной информации, которую он хотел бы сохранить в тайне от большинства людей.

Онлайн-агрессия

В некоторых случаях публикация фотографий (а также видеозаписей и т.д.) какого-либо лица может спровоцировать кибербуллинг. Поводом для этого вида травли могут послужить, например, неудачные снимки или фото, запечатлевшие чью-то «красивую жизнь». Согласно результатам одного из исследований, 72% опрошенных в Москве школьников пострадали от кибертравли [438]. Жертва подвергается многочисленным оскорблениям; злоумышленники могут создавать компрометирующий или унижающий ее контент и т.п., иногда атаки на нее могут быть длительными.

КЕЙС 14-летняя школьница из Великобритании Ханна Смит покончила жизнь самоубийством после травли, которой подвергалась на

сайте ask.fm. Анонимные пользователи насмехались над внешностью девочки и желали ей смерти [439].

Сексуальное вымогательство

Sextortion (от слов sex («секс») и extortion («вымогательство»)) — частое явление в цифровой среде. Вымогательство, связанное с преступлениями на сексуальной почве, распространено и в реальном мире. Например, оно существует в форме коррупции, когда наделенные властью люди, например чиновники, судьи, кинорежиссеры, преподаватели, сотрудники правоохранительных органов и работодатели, в обмен на какие-то действия в пределах или даже вне своих полномочий вымогают сексуальные услуги. В других случаях злоумышленник получает доступ к информации об интимной жизни какого-то лица и шантажирует его. Именно этот вид преступлений и встречается в цифровом мире. Шантажист скрытно или обманным путем становится обладателем интимных фотографий/видеозаписей жертвы (например, получает несанкционированный доступ к камере или хранящимся на принадлежащем жертве устройстве файлах, тайно производит фотоили видеосъемку и т.п.), а затем шантажирует ее, вымогая деньги или сексуальные услуги с угрозами опубликовать интимный контент в открытом доступе (переслать родственникам и т.п.). В частности, этот способ широко применяется в Skype, когда мошенник с фейкового аккаунта симпатичной девушки или юноши уговаривает жертву прислать интимные фотографии или раздеться перед камерой (webcam blackmail — мошенничество с помощью веб-

или даже ложно обвиняет жертву в преступлениях сексуального характера. Кроме того, интимные фотографии могут попадать в руки преступников в результате утечек данных из различных сервисов, где они публикуются (например, из социальных сетей и с сайтов знакомств). Это происходит, когда настройки на устройствах и в этих сервисах не обеспечивают достаточной конфиденциальности. Также утечки возможны в процессе секстинга, т.е. пересылки интимных изображений через интернет (по электронной почте, в мессенджерах и т.п.).

КЕЙС Вымогатели довели до самоубийства 17-летнего Дэниела Перри. Он спрыгнул с автомобильного моста, после того как злоумышленники стали шантажировать его в Skype. Они требовали от мальчика заплатить деньги, угрожая показать его родителям видеозаписи и фотографии с участием Дэниела и его подруги [440].

При недостаточной защите устройств от вирусов, использовании ненадежной политики безопасности (например, «слабых» паролей) или наличии уязвимостей в программном обеспечении злоумышленники могут несанкционированно подключаться к видеокамерам различных устройств, записывать все происходящее в пределах видимости камеры (и даже управлять камерой (перемещением или изменением фокусного расстояния), если такие функции поддерживаются).

Кроме того, мошенники могут вводить жертву в заблуждение, утверждая, что в их распоряжении есть некая видеозапись, на которой видно, к примеру, чем занимался пользователь во время посещения порносайтов. В некоторых случаях обращение к пользователю может сопровождаться ссылкой на «видеоролик» или вложением с компрометирующей записью. Запустив запись или открыв ссылку, жертва активирует вредоносную программу, крадущую персональные данные или дающую злоумышленникам доступ к видеокамере [441], [442].

Теневые профили

Социальные сети создают теневые профили людей, которые не пользуются их услугами или вообще не заходят в интернет. В апреле 2018 г. президент Facebook Марк Цукерберг на слушаниях в Комитете по энергетике и торговле палаты представителей конгресса США признал, что его компания собирает информацию о потребителях, которые не зарегистрированы в качестве пользователей, подтверждая то, что уже сообщалось, но о чем компания публично не заявляла. «Как правило, мы собираем данные о людях, которые не зарегистрированы в