Кража личной информации

Общие понятия безопасности персональных данных

Кража личной информации

Аннотация: В лекции приведены общие понятия, связанные с безопасностью персональных данных, отражены обобщенные методики незаконного получения персональных данных, а также понятия, вносимые со стороны закона о защите персональных данных.

Цель лекции: Предоставить фундаментальные знания о понятиях безопасности персональных данных пользователям для последующего более глубокого изучения.

В современном мире информационных технологий возникла острая необходимость охранять данные от нежелательного доступа к ним. Современные методы похищения данных очень изощренны, и вполне возможно, что на вашем компьютере уже находится специальная зловредная программа, которая передает ваши данные другим людям.

Что мы будем подразумевать под персональными данными в рамках этого курса?

Персональные данные (данные) – информация, несущая определенно личный характер к своему владельцу.

Главное отличие персональных данных от корпоративных данных – это то, что при похищении персональных данных ущерб будет нанесен конкретному лицу в первую очередь (а потом возможно по цепочке украсть и данные друзей лица), а при похищении корпоративных данных урон будет нанесен в первую очередь компании, то есть группе лиц (а уже потом конкретно каждому лицу).

Примерами персональных данных могут служить переписка по электронной почте, файлы пользователя (например, файл диплома или созданный пользователем рисунок), логины и пароли к различным онлайн-сервисам (или веб-сайтам), данные кредитной карточки пользователя, фотографии пользователя (его собственные), его паспортные данные (которые могут храниться у пользователя на компьютере).

Персональные данные могут представлять в ряде случаев определенный интерес у злоумышленника. Например, зная ваш номер кредитной карты и ее пин-код, злоумышленник может сделать любые покупки и переводы в сети Интернет от вашего лица, а вы только будете удивляться тому, куда уходят ваши деньги.

Другой пример: вы пользователь платного онлайн-сервиса (например, сервиса Интернет-телефонии). Зная ваш логин и пароль к сервису, злоумышленник может пользоваться этим сервисом от вашего имени, не заплатив при этом ни копейки.

Суть похищения вашей персональной информации может быть не только в виде денежной прибыли, но также заключаться в личном интересе, например, злоумышленника может интересовать ваша личная жизнь, и он захочет просмотреть все ваши фотографии.

При этом действия злоумышленника могут носить различный характер: направленный и локальный. При направленном характере действий злоумышленник будет намеренно охотиться именно за вашей личной информацией (например, для компромата на вас по заказу от ваших недоброжелателей).

При локальном же характере действий у злоумышленника нет четкой ориентировки по поводу жертвы, он будет пытаться похитить личную информацию у большого круга лиц, причем информация эта может быть также направленного характера (например, похитить информацию кредитных карт у любой сотни пользователей), либо локального (похитить любую информацию личного характера у сотни пользователей).

А каким образом он может это сделать? Что при этом будет использовать злоумышленник? Прежде всего, существует такое общее понятие как malware (малварь, вредоносная программа, зловредная программа) – любое программное обеспечение, предназначенное для обеспечения получения несанкционированного доступа к информации, хранимой на компьютере, с целью причинения вреда (ущерба) владельцу информации и/или владельцу компьютерного устройства.

Компьютерный вирус – зловредная компьютерная программа, основная цель которой зачастую – уничтожение данных пользователей. Также вирус может быть использован в качестве посредника для других компьютерных программ.

Компьютерный червь – вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые “дыры” (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер.

Уязвимости – это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. (http://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D1%8B%D0%B9_%D0%B2%D0%B8%D1%80%D1%83%D1%81)

Руткит – программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Термин руткит исторически пришел из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя.(http://ru.wikipedia.org/wiki/%D0%A0%D1%83%D1%82%D0%BA%D0%B8%D1%82)

Троянский конь – одно из основных оружий злоумышленника. Является особым видом вируса, который занимается тем, что похищает личные данные пользователя.

Социальная инженерия – психологический навык злоумышленника заставлять пользователя делать те действия, которые хочет злоумышленник. С помощью социальной инженерии можно заставить пользователя быть марионеткой в руках злоумышленника. При этом пользователь ничего не заподозрит.

Все эти средства используются на практике злоумышленником для обеспечения доступа к вашей информации. Также могут использоваться комбинированные методы доступа к вашей информации (например, с помощью социальной инженерии злоумышленник спровоцирует вас загрузить троянского коня из Интернета).

Но вышеописанные методы применимы в основном для кражи личных данных в условиях, когда данные находятся в статическом состоянии на компьютере, либо переносном носителе (то есть данные не передаются). Для случая, когда данные находятся в динамическом состоянии (то есть находятся в процессе передачи), существуют другие способы их кражи, построенные на едином принципе кражи динамических данных.

Принцип кражи динамических данных – это принцип, согласно которому существуют отправитель данных (пользователь, который отправляет свои данные), получатель (ли) данных (пользователь (ли), который (е), получает (ют) данные), канал передачи данных (канал, по которому передаются данные). Злоумышленник при этом пытается украсть данные в момент, когда данные находятся в процессе течения по каналу передачи данных. Схематически это выглядит следующим образом:

Рис. 1.1.

Как видно из рисунка, злоумышленник взаимодействует напрямую только с каналом передачи данных, с отправителем или получателем данных злоумышленник не взаимодействует.

Взаимодействовать с каналом передачи данных он может разными способами – как с помощью различного программного обеспечения, так и с помощью физических устройств.

Одним из примеров такого взаимодействия с каналом передачи данных может быть использование скиммера.

Скиммер – устройство для снятия информации с магнитной ленты пластиковой карты (банковские карты, кредитные карты). Злоумышленник устанавливает скиммер в место картоприемника банкомата. При этом сам скиммер является малозаметным для обывателя. Подробнее об использовании скиммера, методах его обнаружения и защиты от него будет рассказано в отдельной лекции про пластиковые карты.

Во многих случаях современные мошенники рассчитывают на невнимательность жертвы, на ее незнание технических основ, деталей технических устройств или основ работы программного обеспечения. Техническая безграмотность современных людей зачастую играет на руку мошенникам. Одним из видов современного мошенничества в области кражи персональных данных является использование различных муляжей.

Муляж (в отношении к краже информации) – это устройство, либо программа, которые вводят в заблуждение пользователя с целью кражи персональных данных. Например, муляжом может являться антивирус, который вы скачали с ненадежного источника.

В этом случае такой лжеантивирус может запросить у вас пароль к вашей учетной записи на компьютере, мотивируя это тем, что ему необходимо проверить надежность данного пароля. При вводе пароля в такой антивирус будьте уверены – ваша информация попадет в руки к злоумышленнику.

Как видно из этого примера, злоумышленник воспользуется вашей компьютерной безграмотностью с помощью подобного муляжа, ведь технически подкованные люди знают, что антивирус не запросит вашей личной информации.

Примечательны также “классические” случаи мошенничества, основанные на предоставлении “бесплатного сыра” пользователям. В таких случаях злоумышленник может предложить вам через сеть Интернет вложить какие-либо деньги под проценты в выгодный проект.

При этом он будет уверять вас, что вы получите несоизмеримую прибыль при ваших минимальных вложениях.

Вложения, действительно, будут минимальные в этом случае, но ваши личные данные, которые запросит злоумышленник, могут использоваться в корыстных целях (например, злоумышленник попросит вас прислать копию вашего паспорта с вашей подписью, а потом на эту копию он вполне может оформить кредит на ваше имя). Другим примером в этой области может являться пример с использованием подставной конторы, которая предложит вам выгодное оформление заграничной визы, либо другие услуги, которые требуют от вас предоставления документов.

Интересная сторона мошенничества заключается в том, что мошенник должен привлечь внимание своей жертвы. Для этого могут использоваться как психологические уловки, так и различные трюки, которые обязательно привлекут жертву.

Так как большинство злоумышленников в этой области работают через сеть Интернет, то одними из таких трюков для привлечения внимания являются трюки с поисковой оптимизацией (Поисковая оптимизация – различные методы и средства продвижения вашего сайта с информацией на вершину поисковой выдачи (так называемый “серп” выдачи)).

В общем случае поисковая оптимизация обозначается аббревиатурой SEO(search engine optimization).Существуют различные методы SEO. Одним из методов SEO является использование дорвеев.

Дорвей – вид поисковой оптимизации, представляющий собой веб-страницу, которая напичкана однородным типом слов, с целью выдвижения этой страницы в “серп” выдачи по этим словам.

Примером такой страницы может являться страница со следующим текстом: “Просто это не то арбалет ак-47б купить собрать на ужин окружил!!! Мы сами выбираем общество, в котором хотим быть сами уважаю мнения людей. Тебе было бы действительно неприятно и поймешь, что я образно говорю о чьей-то там умереть, то можно вообще купить ак-47.

Ты хочешь мне сказать, что Никакие подарки не заменят ак-47″. Как можно увидеть, в данном тексте логически нет никакого смысла, он построен таким образом только для того, чтобы при вводе в поисковую машину словосочетания “купить ак-47” страница с этим текстом была на одной из первых позиций.

На таких страницах может быть и информация о том, что вышла новая антивирусная программа, и вы должны ей воспользоваться для эффективной защиты вашего компьютера. Естественно, этот антивирус будет муляжом.

Другим способом привлечения жертвы к злоумышленнику может быть использование различного вида Интернет-рекламы.

Например, могут использоваться красочные баннеры (баннер – графическое изображение рекламного характера) или всплывающие окна, говорящие о том, что компьютер пользователя якобы заражен вирусом, и необходимо скачать определенный антивирус. Как ни странно, но пользователи с низкой компьютерной грамотностью поверят такой рекламе.

Часто перед злоумышленником встает задача раскрытия определенного пароля пользователя. В этом случае он может воспользоваться различными методами подбора пароля, но самым безотказным (хотя и долгим) остается метод брутфорса (полного перебора паролей) – технический метод подбора паролей с использованием программно-аппаратных средств.

В этом случае есть некоторое вычислительное устройство (либо часть этого устройства, например, процессор компьютера), которые выполняет действия по перебору паролей, и программное средство, которое координирует действия вычислительного устройства.

Метод брутфорса является одним из самых долгих методов перебора паролей, но с развитием вычислительных устройств, этот метод начинает становиться быстрее и эффективнее. Так, например, мощность современных графических процессоров позволяет подобрать сложные пароли (около 10 символов) за 40 дней, хотя раньше на это требовалось гораздо большее количество времени.

Учитывая тот факт, что скорость вычислительной техники растет достаточно быстро, можно сказать, что вскоре методом полного перебора станет возможно подбирать пароли самой большой сложности за сжатые сроки. Следует заметить новое определение, такое как устойчивость пароля пользователя.

Устойчивость пароля – это свойство пароля, благодаря которому можно определить скорость его взлома. Слабоустойчивый пароль в этом случае будет подобран за короткий промежуток времени, сильноустойчивый пароль будет подобран злоумышленником за продолжительный промежуток времени.

Как можно увидеть, арсенал злоумышленника достаточно богат и разнообразен по методам и способам кражи персональных данных. Для неподготовленного пользователя все эти “приемы” могут показаться достаточно совершенными и недоступными к противодействию.

Но это не так, многие приемы по защите персональных данных может сделать и достаточно продвинутый пользователь компьютера или владелец банковской карты.

Основным моментом здесь является стрессоустойчивость пользователя, его навык правильно среагировать в какой-либо неожиданной ситуации, а также его возможность предвидеть действия злоумышленника.

Злоумышленник пользуется во многом компьютерной необразованностью пользователя, его незнанием современных технологий, а также основных механизмов их работы. Именно поэтому “продвинутых компьютерщиков” нельзя провести на обычные трюки злоумышленников.

Со стороны пользователя его помощниками в борьбе с злоумышленниками являются различные защитные комплексы персональных данных.

Одним из таких комплексов является антивирусная защита – совокупность различных программ, основная цель которых – противодействие вредоносным программам (malware) (данное определение антивирусной защиты как комплекса программ распространяется на весь курс данных лекций).

Из данного комплекса отдельно можно выделить антивирусную программу – специальное программное обеспечение, целенаправленно борющееся с вредоносной программой.

Также из антивирусной защиты можно выделить такое средство как файерволл (межсетевой экран) – специальная программа (комплекс программ), которая осуществляет контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Источник: https://intuit.ru/studies/courses/680/536/lecture/12090

Ответственность за разглашение персональных данных по 137 УК РФ

Кража личной информации

Разглашение персональных данных 137 УК РФ — указанная статья закона квалифицирует данное деяние как преступное, влекущее за собой уголовную ответственность. Сущность юридического понятия персональных данных, необходимость законной защиты конфиденциальности частной жизни человека, ответственность за разглашение персональных данных — все эти вопросы рассмотрены в нашей статье.

Виды ответственности за разглашение персональных данных

Каждый человек наделен Конституцией РФ правом на сохранение тайны частной жизни (ст. 23). Защита этого права обеспечивается путем выполнения положений ст. 24 Конституции, декларирующей, что сбор и распространение сведений о личной, семейной жизни человека без его согласия незаконны.

Смысл юридического термина «персональные данные» сформулирован в законе «О персональных данных» от 27.07.2006 № 152-ФЗ. Это любая информация о различных данных, прямо или косвенно относящаяся к физическому лицу. При этом информация может касаться как определенного физического лица, так и того, кого пытаются определить.

Подробнее о том, что такое персональные данные, мы рассказали здесь.

Пример

Есть физическое лицо — Иванов Иван Иванович. Очевидно, что указанные личные данные не позволят однозначно установить определенного человека, ведь лиц с такими «параметрами» наверняка очень много. Тем не менее Ф. И. О. — это персональные данные известного нам физического лица.

Информация же «Иванов Иван Иванович, паспорт 45 08 № 123456» позволяет идентифицировать (определить) конкретного человека — выбрать из многочисленной группы одного с точной характеристикой.

Персональные данные включают Ф. И. О., реквизиты удостоверения личности, место и дату рождения, адрес, образование, семейное, имущественное положение, номер страхового свидетельства и другую подобную информацию, относящуюся исключительно к конкретному человеку.

Кадровая служба работодателя в силу своих функций занимается сбором документов работников, формированием их личных дел в целях установленного порядка кадрового учета.

Личное дело сотрудника содержит сведения о семейной, личной жизни, должности и сумме вознаграждения за труд, удостоверении личности и пр.

Документарный состав личных дел — это персональные данные сотрудников, и наниматель, следуя положениям законодательства, обязан обеспечить их защиту (ст. 18.1 закона № 152-ФЗ).

Что будет, если не получить согласие на обработку и использование персональных данных, читайте здесь.

А здесь вы найдете образец такого согласия.

Ст. 7 закона № 152-ФЗ закрепляет статус конфиденциальности персональных данных. Указанная статья запрещает в общем случае лицам, имеющим доступ к личной информации, раскрывать эти сведения, не имея на то согласия их обладателя.

Последствия несоблюдения правил трудовой дисциплины, в том числе раскрытия информации, подробно описаны в статье «Дисциплинарный проступок по ТК РФ – понятие и признаки».

За несоблюдение данной нормы возникает ответственность (ст. 24 закона № 152-ФЗ). Основные ее виды следующие:

  • дисциплинарная — по ТК РФ;
  • административная — по КоАП РФ;
  • уголовная — по УК РФ.

О величине санкций за разглашение персональных данных сотрудников работником, имеющим доступ к такой информации, рассказали эксперты КонсультантПлюс. Получите пробный доступ к системе К+ и бесплатно переходите в Путеводитель по кадровым вопросам.

Ст. 81 (о разглашении персональных данных, ставших доступными в связи с исполнением должностных обязанностей) и 90 ТК РФ (о нарушении порядка получения, хранения, обработки информации, имеющей признаки персональной) в качестве максимальной меры ответственности за разглашение персональной информации называют увольнение.

Подробнее о дисциплинарной ответственности см. статью «Дисциплинарная ответственность работника и ее виды».

Согласно ст. 13.11 и 13.14 КоАП РФ разглашение персональных данных наказывается административным штрафом.

Штраф по КоАП планируют увеличить в 10 раз. Законопроект уже внесен в Госдуму. Подробнее о планируемых нововведениях узнайте в Обзорном материале от КонсультантПлюс. Если у вас нет доступа к системе К+, получите пробный онлайн-доступ бесплатно.

Уголовная ответственность по ст. 137 УК РФ

Виновные в неисполнении условий получения, хранения и защиты информации, составляющей персональные данные, могут быть привлечены и к уголовной ответственности.

Ст. 137 УК РФ в качестве состава преступления называет несоблюдение неприкосновенности частной жизни. Обратимся к понятию частной жизни. Ст. 152.

2 ГК РФ определяет частную жизнь человека как сведения о его происхождении, месте жительства, личной, семейной жизни и т. д. Список сведений является открытым.

Сравнивая понятие частной жизни в гражданском законодательстве и понятие персональных данных в законе № 152-ФЗ, можно сделать вывод об их тождественности.

Умышленные действия, выражающиеся в незаконном сборе, распространении сведений о частной жизни человека без его согласия, признаются преступлением, наказуемым по ст. 137 УК РФ, т. е. влекут за собой уголовную ответственность.

Квалифицирующим признаком данного преступления является факт использования служебного положения при совершении указанных действий.

Уголовная ответственность определяется в виде:

  • либо штрафа;
  • либо обязательных, принудительных или исправительных работ;
  • либо лишения свободы.

Итоги

Разглашение персональных данных человека без его согласия незаконно и влечет за собой ответственность в соответствии с трудовым, административным, а в случае умышленных действий — уголовным законодательством.

Источник: https://zen.yandex.ru/media/nalognalog/otvetstvennost-za-razglashenie-personalnyh-dannyh-po-137-uk-rf-5f964f994dcc5c613c9a7e8e

Что такое кража цифровой личности и как защитить свои данные в интернете

Кража личной информации

Да, причём практически любые. Информацию о пользователях (фото, имя, дату рождения, адрес проживания, телефон) сегодня собирает большинство интернет-сервисов. Именно из этой информации и складывается ваш цифровой портрет.

Подробные данные о вас, ваших интересах и предпочтениях собирают социальные сети и поисковики. Кроме того, специальные трекеры, мониторящие вашу историю веб-сёрфинга, встроены в сайты многих почтовых сервисов, магазинов, приложений. В общем, если вы активный пользователь интернета, скрыться от этого не получится.

Такая информация может собираться для маркетинговых целей. Компании готовы платить большие деньги за портрет клиентов, чтобы эффективнее продавать свои услуги. Чем подробнее этот портрет, тем он дороже.

Такая торговля данными, может быть, и неприятна, но не противоречит закону. Чаще всего к ней прибегают страховые компании или банки, чтобы понять, не столкнутся ли они с невыплатами по кредиту или большими расходами на покрытие медицинской страховки.

Гораздо опаснее, если эта информация попадает в руки мошенников. Например, они могут украсть её или купить на одном из подпольных форумов. К сожалению, массовые утечки пользовательских данных сегодня происходят довольно регулярно.

Причём не застрахованы от этого не только маленькие интернет-магазины, но и такие гиганты, как Yahoo! или . Последним в череде инцидентов стала утечка данных о пластиковых картах клиентов крупнейшей авиакомпании Delta и ретейлера Sears.

Известно множество способов злонамеренного использования личных данных. Например, спамеры и фишеры могут воспользоваться вашими именем и фамилией при рассылке сообщений. Как показывает печальный опыт, персонализированные рассылки, в которых злоумышленники обращаются к жертве по имени, работают гораздо эффективнее массовых и обезличенных.

Бывает, преступники охотятся и за конкретным человеком. Чтобы целевой фишинг сработал, им необходимо получить как можно больше информации о пользователе. Например, продаёт ли он сейчас автомобиль, едет за границу, побывал ли недавно в каком-то ресторане — всё это может быть использовано для составления крайне правдоподобного мошеннического сообщения, чтобы жертва точно попалась на крючок.

Всё более угрожающие обороты набирает кража цифровой личности пользователя целиком. Сам по себе этот феномен не новый. Фейковые страницы в соцсетях появились одновременно с самими соцсетями. Воспользовавшись данными жертвы, злоумышленники могут создать поддельную страничку и писать от её имени непристойности, регистрироваться на сомнительных ресурсах.

Однако сегодня эта угроза получила новое развитие.

Даже без специальных знаний теперь можно смонтировать видеоролик не самого приятного содержания, где в главных ролях будете вы или ваши друзья.

Если, конечно, у вас есть хотя бы десяток-другой фотографий в интернете. У большинства наверняка найдётся.

Недавняя история с Deepfakes — это лишь начало. Со временем подобные технологии будут лишь совершенствоваться.

Если сегодня поддельный ролик со знаменитостями вполне можно отличить от реального, то в ближайшем будущем нас вполне могут ожидать настоящие «шедевры», которые можно будет распознать лишь с помощью специальных технологий. То же касается и ых данных: уже сегодня существуют коммерческие решения для имитации чужого голоса.

Отдельный риск, который становится всё более реальным, — утечки биометрических данных. Лицо, голос или отпечатки пальцев уже в ближайшем будущем могут стать универсальным средством авторизации.

Недавно свои системы распознавания лиц запустили три главные социальные сети, работающие в России. Кража биометрических данных открывает перед мошенниками по-настоящему большие возможности.

При этом лицо или пальцы, в отличие от пароля, вы сменить не сможете.

Особенно на открытых площадках. Хотя были и такие случаи, когда фотографии людей утекали из закрытых публикаций. Любое ваше действие в Сети оставляет цифровой след. Во многих случаях с этим ничего нельзя поделать, если не прибегать к радикальному отказу от технологий. Но до определённой степени это можно контролировать.

Обновите настройки приватности в соцсетях

Ограничьте доступ незнакомых людей к той информации, которую вы бы не хотели увидеть в плохих руках. На некоторых сайтах достаточно поставить одну-две галочки. Гибкие настройки предполагают, что разные параметры можно выставить даже для разных фотоальбомов. Поэтому будьте внимательны.

Если вы обнаружили где-то свои данные, не паникуйте

Если это не мёртвый ресурс, всегда можно связаться с администрацией и попросить удалить. Как правило, в большинстве случаев это происходит вполне оперативно.

Ограничьте доступ приложений к личной информации

Ваши данные могут попасть в базы, даже если вы пользуетесь кнопочным телефоном, а в интернет выходите только по праздникам. Помните GetContact? Некоторые приложения при установке получают доступ к списку контактов.

Таким образом беспечный пользователь сливает не только свои данные, но и контакты всех друзей. С этим тоже можно бороться.

В , например, есть специальная настройка, которая позволяет выбрать, доступ к какой информации открыт для приложений в подобных случаях.

Внимательно относитесь ко всем ссылкам, по которым переходите

Сборщики данных могут поджидать в самых неожиданных местах. Например, в популярных тестах вроде «Какой вы фрукт?» или «Кем бы вы были в викторианской Англии?».

Не хотим никого огорчать, но зачастую главная цель таких тестов — не помочь пользователям лучше узнать себя, а перепродать маркетологам или мошенникам ваш цифровой портрет. Ярким примером может служить недавняя история с Cambridge Analytica.

Прежде чем давать приложениям доступ к профилю, подумайте, надо ли вам оно.

Защитите свои биометрические данные

Очень часто они собираются без вашего ведома и не только в интернете. Например, одним из источников информации служат камеры наблюдения. Но некоторые меры принять всё-таки можно.

В том же распознавание лиц можно отключить вовсе. Хотя бы до тех пор, пока не будет уверенности, что эти данные хранятся безопасно.

Кроме того, в соцсетях с фотографий, на которых вы отмечены, можно удалить соответствующие отметки.

Чем меньше о вас данных в интернете, тем меньше риск потерять свою цифровую личность.

При взаимодействии с современными онлайн-технологиями лучше сто раз всё перепроверить, чем потом отбиваться от спамеров или выискивать собственных клонов в интернете.

Источник: https://Lifehacker.ru/kak-zashhitit-dannye-v-internete/

9 способов предотвратить кражу личных данных в интернете

Кража личной информации

Личными данными человека являются:

  • его имя, фамилия и отчество;
  • дата и место рождения;
  • адрес регистрации;
  • доходы и имущественное положение;
  • семейное положение и социальный статус;
  • номер телефона и адрес электронной почты;
  • конфиденциальная информация о здоровье.

Федеральный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ (далее — Закон № 152-ФЗ) обязывает всех, кто работает с чужими данными, спрашивать разрешение на это. Так, например, гражданину предлагают подписать согласие:

  • при трудоустройстве;
  • при взятии в банке кредита;
  • при прохождении медицинского осмотра;
  • при открытой регистрации на сайте в сети интернет и т.д.

Согласие на обработку личных сведений можно отозвать в любое время.

Ситуации, когда информацией о гражданине используются без его согласия, за редкими исключениями неправомерны и дают основание подозревать, что была совершена их кража. Закон нарушен, если:

  • обслуживающая жилищная компания размещает в открытом доступе список лиц, имеющих задолженности по квартплате, раскрывая в нем не только сумму долга по каждой квартире, но и фамилии, имена, отчества собственников жилья;
  • сведения о детях, доходах, наличии недвижимости и т.д. распространяются в интернете;
  • на личный номер сотового телефона звонят представители неизвестных фирм с рекламными предложениями, при этом называя имя и отчество абонента.

Как только выяснилось, что была совершена кража персональных данных, необходимо заявить об этом в официальные структуры, требовать поиска виновного и восстановления собственных прав.

Классификация и способы кражи данных

Все хищения данных осуществляются либо перехватом сообщений на линиях связи, либо через воровство носителя информации. Основные сценарии описаны далее.

Кража физического носителя

Самый прямой и грубый способ. Большинство современных устройств — ноутбуки, смартфоны, планшеты, подключаемые внешние диски и флешки — достаточно малы, чтобы можно было украсть их мимоходом, пройдя рядом со столом, где они лежат (например, если владелец отлучился на минуту от рабочего места).

У крупных компьютеров можно похитить жесткие диски, причем не обязательно безвозвратно. Весьма легко вообразить злоумышленника, который извлечет диск после окончания рабочего дня, скопирует всю интересующую его информацию и вернет накопитель на место ранним утром следующего дня. В таком сценарии владелец устройства даже не догадается о несанкционированном доступе к его данным.

Кража при доступе к носителю

При наличии физического доступа к носителю можно просто поработать на компьютере в отсутствие хозяина. Обеденный перерыв, длительные совещания, время после ухода по окончании рабочего дня — у коллеги-злоумышленника есть немало способов посидеть за чужой клавиатурой.

Если пароль учетной записи слаб или вообще отсутствует, то украсть данные сумеет любой, кто работает рядом. Впрочем, даже очень хороший пароль не всегда спасает: в конце концов, сотрудник может открыто попросить разрешения воспользоваться устройством, сославшись на неисправность собственного компьютера и необходимость срочно отправить письмо или файл.

Далее, например, к машине подключается флешка с вредоносной программой, скачивающей данные.

К этой же категории относится возможность подсмотреть информацию. Распространены случаи, когда множество сотрудников работает в одном большом помещении без перегородок, и соседям хорошо видно, кто что делает. Соответственно, преступник может как наблюдать лично, так и установить небольшую камеру, которая запишет все, что выводилось на экран чужого монитора.

Удаленная кража по сети

Если машина подключена к проводной или беспроводной сети, то прямой физический доступ к ней необязателен. В интернете доступно множество вирусов, троянских программ, бекдоров и прочих вредоносных агентов, которые злоумышленник может внедрить разными способами (скажем, путем эксплуатации уязвимостей). Также данные могут быть перехвачены при помощи снифферов, если каналы связи плохо защищены.

Кража данных с внешних серверов

Наконец, если данные хранятся в интернете (в облачном хранилище, на почтовом сервере и т.п.), то преступники могут осуществить несанкционированный доступ к этим ресурсам.

Для пользователей такой сценарий опасен тем, что помимо установки хорошего пароля у них нет никакой другой возможности повлиять на сохранность информации — всё программное обеспечение и все настройки доступа осуществляет владелец сервиса.

Куда обращаться?

При краже и использовании ваших персональных данных обращаться следует в Роскомнадзор. Это можно сделать:

  • направив заявление в электронной форме;
  • направив заявление почтой;
  • на личном приеме у руководителя (его зама) местного Управления Роскомнадзора.

Непосредственно хищениями данная структура не занимается, но проводит проверки исполнения требований Закона № 152-ФЗ, в том числе в части использования личной информации сторонними лицами.

Источник: https://tel-sprav-cheljabinsk.ru/ugolovnyj-kodeks/primer-krazhi-informacii-iz-zarubezhnogo-zakonodatelstva.html

Кража персональных данных: реальные истории

Кража личной информации

Кража персональных данных — это всегда неожиданно, причем совершают ее порой те, кого жертве и в голову не придет подозревать. Часто это кто-то, кому безгранично доверяют; иногда бывшая девушка или просто тот, кого не будет мучить совесть, когда он решится поживиться за чужой счет.

Согласно результатам исследования, проведенного компанией Javelin Strategy & Research, в 2009 году жертвами кражи данных стали 11 млн американцев. Впрочем, пострадавшие отвечают мошенникам тем, что подают заявления в полицию и помогают арестовать их.

Сайт CreditCards.com рассказывает о нескольких реальных случаях кражи данных и о том, как граждане решали возникшие проблемы, восстанавливали свои кредиты и возвращали себе доброе имя.

Жертва: Богдан Вовк.

Преступление: Вовк получил открытку от ювелирного магазина, в которой его благодарили за покупку часов Rolex и бриллиантового кольца, хотя он никогда этих покупок не совершал.

Злоумышленник потратил крупную сумму, выдавая себя за Вовка. Он даже снял квартиру и взял напрокат мебель и бытовую технику (последнюю позднее еще и похитил). В общей сложности ущерб превысил 30 тыс. долларов.

Тогда Вовк обратился в компанию, выпустившую карту, и выяснил номер телефона похитителя, затем позвонил ему и представился: «Я — настоящий Богдан Вовк», на что вор ответил ему: «Это я настоящий, а ты — нет» — и повесил трубку. Потом Вовк послал злоумышленнику текстовое сообщение, а похититель в ответ заявил, что купил персональные данные на черном рынке.

В итоге полиция арестовала мошенника, он признал себя виновным в краже персональных данных и был приговорен к пяти годам тюремного заключения.

Вовк провел в общей сложности около 160 часов, беседуя с кредиторами, собрал толстенную пачку документов и попытался восстановить свою кредитную историю до первоначального состояния. Ему это почти удалось, не получилось только ликвидировать долг в 4 тыс. долларов.

Кроме того, кредитный рейтинг пострадавшего упал до 500 из 850 возможных, хотя до того он, по словам заемщика, составлял 780 баллов.

Урок: если вам случилось стать жертвой кражи данных, не сидите сложа руки. Соберите как можно больше информации и обратитесь в правоохранительные органы. «Я не хотел, чтобы кто-то разрушил все, что мне стоило времени и сил: мою кредитную историю, мой рейтинг. Я не хотел, чтобы кто-то чужой жил моей жизнью», — заключает Вовк.

Жертва: Дон Рединиус.

Преступление: после разрыва со своей девушкой Рединиус переехал, сменил адрес и перевел на него учетную запись кредитной карты, а потом начал получать выписки по счетам за расходы, которых не делал.

Как выяснилось, бывшая девушка Рединиуса перехватывала его данные по кредитке и тратила деньги на спа-салоны, массажи и даже на путешествие на Карибы. В итоге сумма задолженности составила 68 тыс. долларов. Также дама украла у Рединиуса банковский чек, подделала его подпись, открыла кредитную линию на его имя и послала 6 тыс. долларов своей семье в Грецию.

Рединиус подал несколько заявлений в полицию, сообщил о краже в Федеральную торговую комиссию США и написал письмо генеральному адвокату штата Аризона. По словам пострадавшего, он провел в общей сложности более 300 часов телефонных переговоров с кредиторами, урегулировал два своих счета и сейчас разбирается с третьим.

Мошенница так и не была арестована. «Полиции это преступление неинтересно, оно слишком «беловоротничковое». Когда происходит кража данных, нет необходимости кружить на вертолетах над домом преступников и устраивать погони. Но проблема все равно остается», — сетует Рединиус. По следам произошедшего он даже написал книгу о персональных финансах.

Урок: «Не стоит слишком доверять кому бы то ни было в финансовых вопросах. Мои персональные данные были известны людям, которым я доверял. К примеру, моя бывшая узнала номер моей кредитки потому, что я однажды, не подумав, бросил чек в ящик комода. Теперь я гораздо более осторожен», — делится своим печальным опытом Рединиус.

Жертва: Джессика Губерман.

Преступление: Джессика собиралась с мужем на природу, но в самый разгар сборов к ней пришел полицейский и начал задавать вопросы о краже персональной информации. Как выяснилось, преступники, пользуясь ее данными, накупили дорогой одежды и драгоценностей на сумму более 14 тыс. долларов.

Годом позже аккаунт Джессики взломали вновь и украли 17 тыс. долларов — она обнаружила это в собственный день рождения, когда хотела заплатить за массаж в салоне красоты, а ее дебетовую карту не приняли к оплате.

Вечером того же дня ее супруг поведал ей, что хотел купить цветы в подарок, но его карту также отклонили, поскольку на счету осталось лишь 10 центов.

Некогда превосходный кредитный рейтинг семьи Губерманов был испорчен. «У меня было 11 или 12 кредиток, и со всех них сняли все деньги. Я даже не расплачивалась ими, они просто хранились на моем счету», — жалуется Джессика. Она сделала сотни телефонных звонков, чтобы решить проблему и восстановить свою хорошую кредитную историю и закрыть доступ к ней на семилетний срок.

Полиция так и не смогла установить личности злоумышленников. Все, что удалось узнать, — это то, что в том же районе было еще несколько жертв. Губерманы не сумели вернуть свои средства.

Урок: в таких случаях американцам доступна возможность замораживания своей кредитной истории и ограничения доступа к ней через кредитные бюро без разрешения заемщика. «Создает некоторые неудобства, но оно того стоит», — подтверждает Губерман.

Четыре мифа о краже персональных данных

Миф первый

Считается, что кража персональных данных всегда имеет отношение к кредитным картам. Однако это не так, просто кредитки стоят в этом списке на первом месте.

Согласно данным Федеральной торговой комиссии США, преступники пользуются украденной информацией также для того, чтобы устроиться на работу, купить лекарства по именному рецепту, пройти медицинские процедуры и даже избежать наказания за совершенное преступление.

К примеру, Нил О`Фаррелл, исполнительный директор Совета по защите от кражи персональных данных, помогал одному из своих клиентов, обнаружившему, что от его имени в аптеке совершал покупки другой человек.

Обнаружилось это, когда настоящий покупатель пришел за лекарством от простуды, а на его счет уже были записаны несколько подобных покупок. Вероятно, преступнику нужен был этот препарат для подпольного производства метамфетаминов.

Миф второй

Казалось бы, нет смысла беспокоиться о хищении информации, если у заемщика плохая кредитная история, однако на деле все совсем по-другому.

В США преступникам иногда не нужны даже кредитные данные — достаточно номера карты социального страхования.

Впрочем, по словам специалиста по защите информации Роберта Сицилиано, и это тоже может оказаться ненужным: в его практике был случай, когда мошенники открыли банковский счет, просто выудив имена, фамилии и адрес одной супружеской пары.

Миф третий

Постоянное наблюдение за своими счетами предотвращает хищение данных? Вовсе нет, говорит Линда Фоли, жертва кражи данных и основатель центра для пострадавших от подобных мошенничеств. «Мониторинг кредитных счетов не способен показать вам, что вот прямо сейчас кто-то похитил вашу карту и пользуется ею», — подчеркивает она.

Миф четвертый

Если вы стали жертвой злоумышленников, не стоит обращаться к адвокатам? Это абсолютно неверный подход. Адвокаты, по словам Фоли, вполне осведомлены о деталях подобных происшествий и могут помочь в самом начале, а не когда дела станут совсем плохи.

Перевела Наталья ЧЕРКАШИНА, Banki.ru

Источник: https://www.banki.ru/news/bankpress/?id=2528641

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

    ×
    Рекомендуем посмотреть