Досконала підробка. Як технології допомагають наживатися на персональних даних людей

Як п'ятидоларові фото і смартфон допомогли вкрасти $76 млн

Кілька фотографій високої якості, куплених в мережі за $5, смартфон і додаток для створення deepfake-відео дозволили групі зловмисників з Китаю обманним способом отримати понад $76 млн. Члени цієї злочинної групи купували в мережі фотографії високої якості і ID-карти і використовували їх для створення неіснуючих особистостей. На основі цих фото за допомогою додатків для створення deepfake зловмисники створили досконалу підробку і змогли пройти біометричну ідентифікацію на офіційних китайських сайтах, що використовуються для реєстрації бізнесу. Для підтвердження особи потрібно було записати відео через фронтальну камеру. Зловмисники реєструвалися на офіційних сайтах за допомогою спеціальних смартфонів, у яких після включення фронтальної камери починав відтворюватися фейковий відеоролик, який зміг обдурити систему розпізнавання.

Після цього злочинці масово реєстрували компанії, імітували їх діяльність, виставляли рахунки і клієнти оплачували їхні послуги. Таким способом їм вдалося заробити понад $76 млн. А підробку виявили співробітники податкового відомства, підозру яких викликали надто великі рахунки раніше невідомих компаній.

Занадто доступні дані

Цей обман став можливий завдяки існуванню розвиненого ринку продажу персональних даних в китайському сегменті мережі, на якому можна купити не тільки фотографії, але й документи і просто дані користувачів.

Історія зі зловмисниками з Китаю ризикує стати реальністю і в інших країнах. Цьому сприяє велика кількість даних про кожну людину, доступна онлайн. Додатковим "фактором успіху" таких історій є часті випадки витоку персональної інформації.

Активне онлайн-життя, використання соціальних сервісів і публікація інформації про себе, поряд з OSINT-інструментами (OSINT — open source intelligence, розвідка на основі відкритих джерел), дозволяють зібрати дуже багато відомостей практично про будь-яку людину. Сьогодні існують сервіси, що дозволяють проаналізувати активність користувача в соцмережах або вивчити використання його логіна чи e-mail на різних платформах (наприклад, пошук всоцмережах Social Searcher, пошук за електронною поштою і номером телефону Epieos Toolsh, пошуки за логінами). На основі цих даних можна зібрати досить повне онлайн-досьє про людину і використовувати його в тому числі з незаконними цілями. А велика кількість фотографій користувачів, доступна онлайн, може стати базою даних, необхідною для створення deepfake-підробок.

Окремою проблемою для користувачів можуть стати витоки даних, що почастішали останнім часом. У звіті Thales Data Threat Report згадується про те, що 49% американських компаній зіткнулися з витоком даних в 2020 р. Автори звіту не приховують, що це число може бути і більше, адже не секрет, що багато фірм вважають за краще приховувати такі історії. Чотири витоки 2020 р. торкнулися понад мільярд записів.

У 2019 р. було опубліковано в результаті витоків понад 160 млн записів з персональними даними американців і число даних, що потрапили в публічний інтернет, збільшувалося за останні 10 років.

Крім витоків в результаті злому, не меншою проблемою є веб-скрапінг — автоматична агрегація даних онлай-сервісів. На початку квітня протягом одного тижня в результаті скрапінга були отримані дані понад 500 млн користувачів Facebook, більш ніж 500 млн користувачів LinkedIn і понад мільйона користувачів Clubhouse. Всі вони були виставлені для продажу на одному з хакерських форумів. В опублікованому наборі немає паролів або фінансових даних, однак там є відомості, які користувач не може змінити, наприклад, місце і дата народження, компанія-роботодавець, місто проживання, номер телефону та електронну адресу, а також інші privacy-чутливі дані. Ці дані про користувачів — це не прихована інформація, а представлена вільно в їх профайлах. Просто в цьому разі зломщики зібрали її і представили в зручному для перегляду, аналізу та використання вигляді. А значить, для подальшого їх застосування, наприклад, з метою побудови цифрового портрета користувача.

Зворотний бік доступності даних

Великі обсяги даних про користувачів зловмисники можуть використовувати з різною метою. Наприклад, ці дані можна використовувати для організації персоналізованих атак за допомогою електронної пошти або SMS. Знання про користувача допомагають зловмисникам створити персоналізовані листи або повідомлення-підробки, в яких може згадуватися ім'я, місце роботи жертви або дані про її близьких. На них людина відреагує з більшою ймовірністю, ніж на знеособлений лист з вимогою заплатити вимагачу за нібито існуюче порновідео з жертвою. Такі листи і повідомлення можуть стати більш персоналізованою версією всім добре відомих дзвінків "Мама, я в поліції".

Ще одним наслідком появи таких даних в руках зловмисників може стати доксинг — так називається публікація конфіденційної інформації про особу в публічному доступі без її згоди і подальше її використання для шантажу і цькування.

Жертвою доксингу недавно стала українська журналістка Олена Дуб, колишня співробітниця "Радіо Свобода", яка після публікації у відкритому доступі її номера телефону пережила масовану SMS-атаку і вал повідомлень у всіх існуючих месенджерах і додатках, прив'язаних до номера телефону.

Крадіжка особистості: нова загроза цифрового століття

Китайські зловмисники використовували чужі дані для створення підроблених особистостей. Однак безконтрольне поширення і вільний доступ до даних користувачів можуть призвести і до іншого, більш небезпечного для звичайної людини злочину — крадіжки особистих даних або навіть крадіжки особистості.

Суть крадіжки особистих даних (Identity theft) полягає в тому, що зловмисник використовує особисту інформацію іншої людини без її дозволу для здійснення шахрайства. Такими даними можуть бути не тільки персональна інформація — ім'я, паспортні дані, податковий код, але й інші відомості, наприклад банківські реквізити. Але іноді зловмисники не тільки використовують дані жертви, а й видають себе за неї. У цьому разі людина стає жертвою ще одного, більш небезпечного злочину — підробки особистих даних (Identity fraud) або, кажучи простіше, крадіжки особистих даних.

Такі загрози, як Identity theft і Identity fraud, добре відомі жителям тих країн, де давно і активно використовуються онлайн-ідентифікація і онлайн-послуги. Наприклад, в США крадіжка номера соцстрахування дозволяє зловмисникам скористатися медичною допомогою за рахунок жертви або отримати банківський кредит замість неї.

Випадки крадіжки особистості не є рідкістю. Експерти підрахували, що кожен третій американець хоча б раз стикався з крадіжкою особистості, а 20% з них зустрічалися з цією проблемою неодноразово.

Тільки в період пандемії американці втратили понад $200 млн в результаті крадіжки даних і шахрайств, пов'язаних з виплатами по безробіттю. А загалом такі шахрайства становлять понад 70% усіх кіберзлочинів, пов'язаних з Covid-19.

Жертвою однією з найбільш показових історій крадіжки особистості став редактор Bloomberg Дрю Армстронг. Ще в 2013 р. зловмисники отримали доступ до його персональних даних — дізналися номер його соцстрахування і підробили водійські права, основний ID-документ в США. На його ім'я відкривалися рахунки в різних банках, реєструвалися бізнеси. Хоча зловмисника, який скоїв цей злочин, через чотири роки заарештували, ще два роки у жертви цього Identity fraud-шахрайства пішло на відновлення свого кредитного рейтингу. Дрю ще довго доводилося бути жертвою надто ретельного огляду в аеропортах — більше години на паспортному контролі під час кожного в'їзду в США. Всього ж чоловікові знадобилося для повернення до звичайного життя шість років. Складнощі були пов'язані з необхідністю заповнення великої кількості документів в банках і інших організаціях, в яких більшість фахівців ще не вміють вирішувати подібних проблем. Не меншою проблемою стало те, що з ім'ям Дрю Армстронга було пов'язано шахрайство, за яке передбачено кримінальне покарання, хоча насправді воно було скоєне проти нього самого.

Цифрове майбутнє і зростаючі ризики Identity-загроз

Крадіжки особистості і доксинг-атаки — загрози дня сьогоднішнього — перетворюються якщо не в нову норму, то в дуже звичайні події. Ще в 2018 р. були зафіксовані випадки оформлення кредитів, узятих без відома одержувачів, на копії документів, отриманих із системи ProZorro. Та й контроль над персональними даними для українців є давньою проблемою завдяки існуванню Telegram-каналів, що займаються продажем даних. Історія з витоком даних бажаючих вакцинуватися як лідери думок — це зовсім нова, але не остання історія про те, як в Україні прийнято поводитися з даними користувача.

Тому такі злочини, як крадіжка особистих даних і крадіжка особистості, як і створення deepfake-відео з жертвами, нічого не підозрюючими, загрожують і українцям. Повністю захиститися від таких загроз в нинішніх умовах "світлого цифрового майбутнього" неможливо. А ось знизити ризики таких історій допоможуть кілька простих кроків. Серед них — періодична перевірка інформації про себе у вільному доступі, помірна публікація персональних даних, у тому числі в соцмережах, і знання правил цифрової безпеки.