Совершенная подделка. Как технологии помогают наживаться на персональных данных людей
Простой доступ к deepfake-инструментам и бесконтрольный доступ к персональным данным пользователей увеличивают риски кражи идентичности
Как пятидолларовые фото и смартфон помогли украсть $76 млн
Несколько фотографий высокого качества, купленных в Сети за $5, смартфон и приложение для создания deepfake-видео позволили группе злоумышленников из Китая обманным способом заполучить больше $76 млн. Члены этой преступной группы покупали в Сети фотографии высокого качества и ID-карты и использовали их для создания несуществующих личностей. На основе этих фото с помощью приложений для создания deepfake злоумышленники создали совершенную подделку и смогли пройти биометрическую идентификацию на официальных китайских сайтах, использующихся для регистрации бизнеса. Для подтверждения личности нужно было записать видео через фронтальную камеру. Злоумышленники регистрировались на официальных сайтах с помощью специальных смартфонов, в которых после включения фронтальной камеры начинал воспроизводиться фейковый видеоролик, который смог обмануть систему распознавания.
После этого преступники массово регистрировали компании, имитировали их деятельность, выставляли счета и клиенты оплачивали их услуги. Таким способом им удалось заработать больше $76 млн. А подделку обнаружили сотрудники налогового ведомства, подозрение которых вызвали слишком большие счета ранее неизвестных компаний.
Слишком доступные данные
Этот обман стал возможен благодаря существованию развитого рынка продажи персональных данных в китайском сегменте Сети, на котором можно купить и не только фотографии, но и документы, и просто данные пользователей.
История со злоумышленниками из Китая рискует стать реальностью и в других странах. Этому способствует большое количество данных о каждом человеке, доступное онлайн. Дополнительным "фактором успеха" таких историй являются частые случаи утечки персональной информации.
Активная онлайн-жизнь, использование социальных сервисов и публикация информации о себе, наряду с OSINT-инструментами (OSINT – open source intelligence, разведка на основе открытых источников) позволяют собрать очень много сведений практически о любом человеке. Сегодня существуют сервисы, позволяющие проанализировать активность пользователя в соцсетях или изучить использование его логина или e-mail на разных платформах (например, поиск по соцсетям Social Searcher, поиск по электронной почте и номеру телефона Epieos Toolsh, поиски по логинам). На основе этих данных можно собрать весьма полное онлайн-досье о человеке и использовать его, в том числе, с незаконными целями. А большое количество фотографий пользователей, доступное онлайн, может стать базой данных, необходимой для создания deepfake-подделок.
Отдельной проблемой для пользователей могут стать утечки данных, участившиеся в последнее время. В отчете Thales Data Threat Report упоминается о том, что 49% американских компаний столкнулись с утечкой данных в 2020 году. Авторы отчета не скрывают, что это число может быть и больше, ведь не секрет, что многие фирмы предпочитают скрывать такие истории. Четыре утечки 2020 года затронули более миллиарда записей.
В 2019 году было опубликовано в результате утечек более 160 млн записей с персональными данными американцев и число попавших в публичный интернет данных увеличивалось последние 10 лет.
Кроме утечек в результате взлома, не меньшей проблемой является веб-скрапинг – автоматическая агрегация данных онлай-сервисов. В начале апреля на протяжении одной недели в результате скрапинга были получены данные более 500 млн пользователей Facebook, более 500 млн пользователей LinkedIn и более миллиона юзеров Clubhouse. Все они были выставлены для продажи на одном из хакерских форумов. В опубликованном наборе нет паролей или финансовых данных, однако там есть сведения, которые пользователь не может изменить, например, место и дата рождения, компания-работодатель, город проживания, номер телефона и электронный адрес, а также другие privacy-чувствительные данные. Эти данные о пользователях – это не скрытая информация, а представленная свободно в их профайлах. Просто в этом случае взломщики собрали ее и представили в удобном для просмотра, анализа и использования виде. А значит – для дальнейшего их применения, например, с целью построения цифрового портрета пользователя.
Обратная сторона доступности данных
Большие объемы данных о пользователях злоумышленники могут использовать с разными целями. Например, эти данные можно использовать для организации персонализированных атак посредством электронной почты или SMS. Знания о пользователе помогают злоумышленникам создать персонализированные письма или сообщения-подделки, в которых может упоминаться имя, место работы жертвы или данные о ее близких. На них человек отреагирует с большей вероятностью, чем на обезличенное письмо с требованием заплатить вымогателю за якобы существующее порновидео с жертвой. Такие письма и сообщения могут стать более персонализированной версией всем хорошо известных звонков "Мама, я в полиции".
Еще одним следствием появления таких данных в руках злоумышленников может стать доксинг – так называется публикация конфиденциальной информации о человеке в публичном доступе без его согласия и последующее ее использование для шантажа и травли.
Жертвой доксинга недавно стала украинская журналистка Елена Дуб, бывшая сотрудника "Радио Свободы", которая, после публикации в открытом доступе ее номера телефона, пережила массированную SMS-атаку и вал сообщений во всех существующих месенджерах и приложениях, привязанных к номеру телефона.
Кража личности: новая угроза цифрового века
Китайские злоумышленники использовали чужие данные для создания поддельных личностей. Однако бесконтрольное распространение и свободный доступ к данным пользователей может привести и к другому, более опасному для обычного человека преступлению – краже личных данных или даже краже личности.
Суть кражи личных данных (Identity theft) состоит в том, что злоумышленник использует личную информацию другого человека без его разрешения для совершения мошенничества. Такими данными могут быть не только персональная информация – имя, паспортные данные, налоговый код, но и другие сведения, например, банковские реквизиты. Но иногда злоумышленники не только используют данные жертвы, но и выдают себя за нее. В этом случае человек становится жертвой еще одного, более опасного преступления — подделки личных данных (Identity fraud) или, говоря проще, кражи личности.
Такие угрозы как Identity theft и Identity fraud хорошо знакомы жителям тех стран, в которых давно и активно используются онлайн-идентификация и онлайн-услуги. Например, в США кража номера соцстрахования позволяет злоумышленникам воспользоваться медицинской помощью за счет жертвы или получить банковский кредит вместо нее.
Случаи кражи личности не являются редкостью. Эксперты подсчитали, что каждый третий американец хотя бы раз сталкивался с кражей личности, а 20% из них встречались с этой проблемой неоднократно.
Только в период пандемии американцы потеряли более $200 млн в результате кражи данных и мошенничеств, связанных с выплатами по безработице. А в целом такие мошенничества составляют более 70% всех киберпреступлений, связанных с Covid-19.
Жертва одной из наиболее показательных историй кражи личности стал редактор Bloomberg Дрю Армстронг. Еще в 2013 году злоумышленники получили доступ к его персональным данным – узнали номер его соцстрахования и подделали водительские права, основной ID-документ в США. На его имя открывались счета в разных банках, регистрировались бизнесы. Хотя злоумышленника, совершившего это преступление, через четыре года арестовали, еще два года у жертвы этого Identity fraud-мошенничества ушло на восстановление своего кредитного рейтинга. Дрю еще долго приходилось быть жертвой слишком тщательного досмотра в аэропортах – более часа на паспортном контроле при каждом въезде в США. Всего же мужчине понадобилось для возвращения к обычной жизни шесть лет. Сложности были связаны с необходимостью заполнения большого количества документов в банках и других организациях, в которых большинство специалистов еще не умеют решать подобного рода проблемы. Не меньшей проблемой стало то, что с именем Дрю Армстронга было связано мошенничество, за которое предусмотрено уголовное наказание, хотя на самом деле оно было совершено против него самого.
Цифровое будущее и растущие риски Identity-угроз
Кражи личности и доксинг-атаки – угрозы дня сегодняшнего – превращаются если не в новую норму, то в весьма обыденные события. Еще в 2018 году были зафиксированы случаи оформления кредитов, взятых без ведома получателей, на копии документов, полученные из системы Prozorro. Да и контроль над персональными данными для украинцев является давней проблемой благодаря существованию Telegram-каналов, занимающихся продажей данных. История с утечкой данных желающих вакцинироваться как лидеры мнений — это совсем новая, но не последняя история о том, как в Украине принято обращаться с пользовательскими данными.
Поэтому такие преступления как кража личных данных и кража личности, равно как и создание deepfake-видео с ничего не подозревающими жертвами угрожают и украинцам. Полностью защититься от таких угроз в нынешних условиях "светлого цифрового будущего" невозможно. А вот снизить риски таких историй помогут несколько простых шагов. Среди них – периодическая проверка информации о себе в свободном доступе, умеренная публикация персональных данных, в том числе в соцсетях и знания правил цифровой безопасности.