Онлайн-сервисы прочно вошли в нашу жизнь. И часа не проходит без того, чтобы нам по какой-либо причине не понадобился интернет: лайкнуть пост в социальной сети, купить что-то, заказать такси, посмотреть сериал, зайти в Tinder, перевести кому-то деньги или подключиться к удалённому рабочему столу. У всех разные предпочтения и потребности: кто-то скорее зайдёт на криптобиржу, чем на Aliexpress, и скоротает вечер за игрой в мультиплеер, чем за просмотром YouTube. Однако факт остаётся фактом: у нас у всех есть цифровые личности, которые могут быть похожи на нас в реальной жизни или нет.

Мы доверяем свои личные данные государству и частным компаниям. Мы осознанно, а часто и не отдавая себе в этом отчёт, передаём сведения о себе технологическим гигантам, которые создают наш цифровой отпечаток и следят за нашими перемещениями в сети с помощью всё более хитроумных инструментов. Вся эта информация также является частью нашей цифровой личности.

Об информации принято говорить как о «новой нефти», ещё её называют «новой ядерной силой» по её разрушительному потенциалу. В мире, где всё продаётся и покупается, цифровая личность — полная летопись цифровой жизни человека — ходовой товар. Её могут купить, воспользоваться ей и разрушить жизнь того человека, которому она принадлежит.

Полный набор информации об одном пользователе можно приобрести в даркнете за менее чем 1 200 долларов. Согласно исследованию Dark Web Price Index, взломанный профиль Facebook обойдётся в среднем в 45 долларов, годовая подписка на Netflix в 25, селфи с поддельным американским ID в 120 долларов, за столько же можно купить реальные данные кредитной карты с балансом до 5 000 долларов. Вопреки распространённому мнению, криптовалютные аккаунты также продаются и покупаются: стоимость одного такого аккаунта варьируется от 90 до 250 долларов.

Мошенники предпочитают закупаться оптом. 50 учётных записей PayPal можно купить за 150 долларов, а 10 миллионов американских электронных почтовых адресов — за 120. Нелегальные маркетплейсы функционируют по практически тем же правилам, что и вполне легальные: продавцы предлагают скидки и купоны, а покупатели оставляют отзывы на продукты.

Но горькая правда в том, что часто преступникам не обязательно тратиться на покупку цифровой личности — если только в целях экономии времени: пользователи по большей части делятся личной информацией сами и делают это бесплатно и добровольно.

Зачем кому-то может понадобится моя цифровая личность?

После того, как цифровая личность или её часть попадает в руки к преступникам, она может быть перепродана или использована для совершения различных противоправных действий. Вас могут начать шантажировать или использовать ваш профиль, чтобы кидать других людей на деньги. Ваша цифровая личность может участвовать в финансовых махинациях, она может провернуть аферу с медицинскими документами или даже довести кого-то до самоубийства.

По оценке американских властей более 100 миллионов долларов, выделенных на поддержку малого бизнеса во время пандемии, были отмыты через онлайн-платформы для инвестиций при помощи украденных идентификационных данных. В одном случае преступники воспользовались идентификационными данными мужчины, чтобы получить 28 000 долларов от государства на поддержку бизнеса, которого не существовало. Затем они открыли аккаунт на его имя на инвестиционной платформе и завели банковский счёт, куда можно бы было вывести средства.

Кража медицинских данных, возможно, не первое, что приходит на ум, когда речь заходит о краже цифровой личности. Тем не менее, на краденые медицинские страховки большой спрос. Стоимость номера медицинской страховки для пенсионеров Medicare может доходить до 1 000 долларов. Для сравнения: номер социального страхования (Social Security Number) можно купить за один доллар. Так, один пожилой американец, ставший жертвой мошенников, получил по почте внушительный счёт за различные медицинские исследования, вызов скорой и приёмы у врача. Обо всём об этом он не имел ни малейшего представления.

Кто хотя бы раз не принимал фейковый профиль знаменитости за настоящий? Но что, если у вас самих появится подражатель, который создаст профиль, идентичный вашему, и убедит других пользователей, что это и есть вы, а затем выманит у них деньги? Это явление известено как «клонирование» (cloning). Мошенник создаёт фейковый аккаунт при помощи информации, которой жертва щедро делиться в социальных сетях, а затем пишет её контактам с просьбой о помощи. Не стоит удивляться, что некоторые покупаются на эту уловку: фейсбучные «друзья» — это особая категория «друзей», и они могут быть не в курсе вашей жизни. Подобную схему провернули в отношении одного индийца: мошенник рассылал сообщения его друзьям с просьбой перевести 136 долларов на неотложные нужды. Мужчина вынужден был обратиться в полицию.

Деньги не самая высокая цена, которую жертвы онлайн-мошенников вынуждены платить: некоторые расплачиваются своей жизнью. Одной из наиболее изощрённых форм «клонинга» является «кэтфишинг». Самозванец ворует цифровую личность другого человека и заводит романтические отношения с жертвой. Феномен настолько широко распространён, что ему посвящено отдельное шоу на MTV. В 2018 году австралийская стюардесса свела счёты с жизнью после того, как в течение многих лет её шантажировала женщина, которая представилась известным актёром-мужчиной в социальной сети и выманила у неё интимные фотографии и видео. Процесс над самозванкой продолжался несколько лет.

И это далеко не полный список. Мошенники могут использовать размещённые кем-то в сети фотографии больного ребёнка для сбора пожертвований. Они могут зарегистрироваться в онлайн-казино, криптобиржах и маркетплейсах при помощи скана чужого паспорта. Для подтверждения регистрации используется схема с подменой SIM-карты (SIM swap): преступники звонят в службу поддержки оператора телефонной связи и убеждают сотрудника присвоить номер жертвы другому телефону. Последняя схема не из области фантастики — пару лет назад её жертвой SIM swap стал не кто иной, как основатель Twitter Джек Дорси.

Ваш аккаунт могут взломать в том числе при помощи социальной инженерии — когда вы сами выдаёте нужную информацию хакерам. Взломанный аккаунт могут затем использовать для рассылки спама, навязчивой рекламы или для того, чтобы усыпить бдительность потенциальных жертв.

Даже после вашей смерти ваша цифровая личность может не найти покоя. Её могут украсть и когда вас уже не будет в живых: этот феномен называется ghosting от слова «ghost» — привидение. Гостинг используется, в основном, для получения налогового вычета от имени недавно умерших людей. Согласно данным правительства США, в год мошенники крадут идентификационные данные более чем 2,5 миллиона мёртвых американцев.

Можно с уверенностью сказать, что заполучить сведения о нашей онлайн-активности довольно легко. И если вам посчастливилось ещё не стать жертвой мошенников, то это скорее исключение, подтверждающее правило.

Как цифровая личность попадает в руки мошенников

Цифровая личность попадает к мошенникам двумя основными способами: данные жертв оказываются раскрытыми в результате действий со стороны злоумышленников или жертвы раскрывают данные сами.

Данные, которые хранятся в государственных и частных учреждениях, могут попасть в руки к мошенникам в результате классической атаки «грубой силой» или при помощи социальной инженерии. В первом случае злоумышленники действуют методом подбора данных для входа в систему, во втором случае злоумышленник тем или иным способом контактирует с ничего не подозревающей жертвой. В прошлом году взлом популярной трейдинговой платформы в Индии привёл к утечке данных более чем 3.4 миллиона клиентов. Данные были выставлены на продажу и включали в себя идентификационный номер клиента, адрес электронной почты, номер телефона, логин и сведения о местонахождении.

Данные можно украсть и в результате атаки с применением вредоносного ПО. Злоумышленник может заразить устройство жертвы ПО, которое похищает данные из браузера, в том числе файлы cookie и пароли. ПО может записывать и отслеживать нажатие клавиш, когда жертва входит в учетные записи. Сброс паролей не поможет, пока в системе присутствует злоумышленник. Данные, полученные таким образом, могут продаваться в даркнете, например, на нелегальном маркетплейсе Genesis, куда можно попасть только по приглашению.

Список был бы неполным без фишинговых писем и сайтов. Мошенники шлют на почту жертвы поддельное письмо от реально существующей компании и просят адресата раскрыть личные данные в ответном письме. Налоговое управление США (IRS) периодически предупреждает американцев о том, что мошенники используют эмблему агентства для кражи данных кредитных карт и банковских счетов.

С помощью поддельных сайтов можно украсть данные для входа в аккаунт и другие сведения. Так в ноябре 2020 злоумышленники создали более 200 фишинговых сайтов и провели там «беспроигрышный» розыгрыш призов для фанатов популярного шутера PUBG Mobile. Игроки остались как без призов, так и без своих аккаунтов.

Мы можем установить ПО для обнаружения вредоносных программ, блокировать фишинговые сайты, обезопасить себя при помощи современных методов защиты данных — в какой-то степени всё это поможет. Но даже если мы лишим злоумышленников привычных инструментов, они всё равно будут иметь доступ к никогда не пересыхающему источнику данных. В чём же дело?

Дело в тенденции современного человека делиться подробностями своей личной жизни онлайн, даже не замечая этого. Мы постим фотографии на фоне только что купленной машины, собственного дома — с указанием местоположения. При этом мы не задумываемся о том, что и номер машины, и номер дома могут быть видны на фотографии.

Мы сообщаем дату своего рождения, делимся проблемами со здоровьем, интересами и планами, пока трекеры молча слушают и настраивают под нас рекламу.

Более того, некоторые из нас выкладывают в социальные сети документы, удостоверяющие личность. В результате беглого поиска в одной популярной социальной сети мы нашли десятки скан-копий действующих паспортов.

Такое неуёмное желание делиться информацией с миром может дорого стоить пользователю. Одним из наиболее ярких примеров является случай мошенника, известного в Instagram под ником Hushpuppi. Инстаграм-блогер с 2 миллионами подписчиков демонстрировал свой роскошный образ жизни в социальной сети, выкладывая фото в дизайнерской одежде на фоне машин премиум-класса и частных самолётов. Происхождением денег нигерийца заинтересовалось ФБР, а в ходе расследования выяснилось, что блогер является частью группировки, которая выманивала деньги у своих жертв, используя подставные адреса деловой электронной почты. Установить местонахождение Hushpuppi по его инстаграму не составило труда.

СМИ периодически сообщают о увольнениях сотрудников из-за постов в соцсетях. Так в 2015 году медсестру из Кирова уволили после того, как она опубликовала селфи с пациентом, находящимся без сознания в карете скорой помощи.

По оценке одного британского банка, родители, которые раскрывают информацию о своих несовершеннолетних детях, такую как имя, возраст, место рождения, клички питомцев, спортивные команды, за которые они болеют и т.д., будут виноваты в двух из трёх случаев мошенничества с их личными данными к 2030 году. Последствия т.н. «sharenting» (от «share» — «делиться» и «parenting» — «воспитание детей») будут стоить их отпрыскам 670 млн фунтов в год.

Возможно, вы следите за тем, чтобы не сболтнуть лишнего. Но всё же особенности цифровой эпохи требуют от нас передавать свои данные третьим лицам. Мы размещаем подробные резюме на сайтах для поиска работы, создаём профили на сайтах для знакомств и участвуем в онлайн-опросах.

Последствия

Как мы успели убедиться, последствия кражи цифровой личности для её обладателя могут быть поистине катастрофическими. Вы можете, сами того не зная, профинансировать терроризм, задавить кого-то, обмануть государство или выманить тысячи долларов у обычных людей. Ваша репутация будет запятнана, если ваши фотографии используют для мошенничества или чтобы заманить кого-то в романтические отношения.

Злоумышленники могут воспользоваться информацией в сети, чтобы угадать ваш пароль (особенно, если это день рождения бабушки или кличка питомца), проникнуть в ваш аккаунт и украсть ваши деньги или услуги.

Кроме того, под угрозой может оказаться ваше здоровье или жизнь. Представьте себе, вы приходите в больницу, чтобы сдать анализы, но врач говорит вам, что вы уже сдавали эти анализы две недели назад. Или ваши реальные показатели здоровья смешаются с показателями того человека, который неправомерно воспользовался вашей медицинской страховкой.

Может пострадать не только ваша репутация и финансы, но и репутация вашей компании. Тодд Дэвис, генеральный директор американской компании LifeLock, занимающейся защитой личных данных, известен тем, что он однажды разместил свой номер социального страхования на рекламных щитах по всей стране. Дэвис утверждал, что услуга кредитного мониторинга, которую предоставляет его компания, сведёт выгоду для преступника от кражи личных данных на нет. Дэвис жестоко ошибся, так как в итоге его личными данными воспользовались как минимум 13 раз. Мошенники оформили кредит на его имя, а также открыли многочисленные счета, на которых накопились долги.

Согласно исследованию 2022 Data Breach Investigation Report в 82% случаев в утечке данных компании виноват человеческих фактор. Фишинг, использование украденных учётных данных и манипулирование сотрудником с целью заставить его раскрыть конфиденциальную информацию (pretexting) входят в топ-3 технологий социальной инженерии, используемых преступниками.

Какова вероятность того, что вашу личность украдут

Чем больше приложений, электронных устройств, социальных сетей и онлайн-сервисов вы используете, тем больше вероятность того, что вашу цифровую личность украдут. Мы оставляем крупицы личных данных на каждом устройстве, передаём их каждому используемому приложением — то же самое касается и социальных сетей. Вы в группе риска, если состоите в большом количестве публичных групп и оставляете там личную информацию о себе (о своем финансовом положении, о своих детях).

Если вы принимаете участие в онлайн-викторинах, гивах и платных опросах, вы также играете с огнём. В руках злоумышленников они могут стать инструментом для сбора данных, которые затем могут быть проданы спамерам или скомпрометированы каким-либо другим способом. Когда вы размещаете резюме и заполняете анкеты в интернете, вы раскрываете свои личные данные, что также делает вас уязвимыми. В конечном счёте, вы рискуете настолько, насколько много или мало информации о вас можно найти в свободном доступе.

Если игнорировать базовые принципы кибербезопасности — не устанавливать антивирусное ПО, не включать многофакторную аутентификацию, использовать один пароль для всех учётных записей — вероятность того, что вашу цифровую личность рано или поздно украдут, сильно возрастёт.

Как снизить риски

Вы не можете просто выдернуть шнур питания и отключиться от цифрового мира, но вы можете уменьшить размер своего цифровой следа, чтобы, по крайней мере, заставить преступников потрудиться, если они захотят завладеть вашими данными.

• Выкладывайте меньше информации в социальные сети: интернет никогда ничего не забывает. Даже если вы впоследствии удалите пост, у кого-то может остаться скриншот. Некоторые удалённые посты можно также найти в веб-архивах интернета. Не поддавайтесь желанию выложить фото своих дорогостоящих покупок в интернет, это же касается информации о близких людях и о том, где вы живете. Будьте осторожны, добавляя геотеги к фотографиям и отмечая на них своих родственников и друзей.
• Не загружайте в соцсети копии документов, удостоверяющих личность, таких как паспорта или водительские права. Не отправляйте свои документы, особенно селфи с паспортом, третьим сторонам якобы «для подтверждения личности», если в этом нет крайней необходимости.
• Внимательно изучите политику конфиденциальности перед участием в онлайн-опросе и выясните, для чего могут быть использованы ваши ответы. Если такой политики нет, то лучше вообще отказаться от участия. Даже если политика конфиденциальности не вызывает подозрений, компания, проводящая опрос, все равно может слить ваши данные. Поэтому чем в меньшем количестве опросов вы участвуете, тем в большей безопасности вы находитесь.
• С настороженностью относитесь к акциям и розыгрышам, которые слишком хороши, чтобы быть правдой. Убедитесь, что вы не находитесь на фишинговом сайте, и свяжитесь с представителями компании для подтверждения маркетинговой кампании, если вы сомневаетесь.
• Принимайте только те файлы cookie, которые необходимы для функционирования сайта, если вы не хотите, чтобы рекламодатели отслеживали вас по всему интернету и бомбардировали рекламой.
• Используйте надёжные блокировщики рекламы, которых не ловили с поличным на утечке данных. Вы также можете перейти на браузер, ориентированный на конфиденциальность, использовать VPN или доверенный DNS-сервер.
• Задайте надёжные пароли, которые не будут повторяться в других учётных записях или устройствах, и используйте менеджеры паролей.
• Если такая возможность есть, включите многофакторную аутентификацию — это поможет вам защититься от неискушённых хакеров.
• Установите и своевременно обновляйте антивирусное программное обеспечение. Убедитесь, что на вашем устройстве достаточно места для обновлений.
• Предоставляйте приложениям только самые необходимые разрешения.

Что касается документов, которые приходится отправлять по электронной почте работодателям, преподавателям, страховым компаниям и другим лицам, убедитесь, что вы отправляете их через зашифрованный почтовый сервис и что ваша почта защищена паролем.