Відчепіться від Цукерберга або як ми поховали власні приватні дані

Олексій Купрієнко
Олексій Купрієнко
CEO траблшутингової агенції UNDERDOG The UnLawyers

На початку 2018 року прогримів скандал, пов’язаний з найбільшим у світі витоком даних. Британську аналітичну компанію Cambridge Analytica звинуватили в тому, що вона незаконно зібрала дані 87 мільйонів користувачів фейсбуку і, ймовірно, використала їх, зокрема, для передвиборчої кампанії президента США Дональда Трампа. Марка Цукерберга викликали в Сенат, і він отримав гігантський штраф — понад п’ять мільярдів доларів. Проте суті справи це не змінює: інформацію про користувачів зловмисники використали і цього вже не змінити.

У сучасному світі постійно стаються витоки даних. Ми віддаємо особисту інформацію задля секундних розваг. Навіть так — ми вже її віддали. Відчайдушні спроби якось на це вплинути схожі на заяви індіанців про повернення  Мангеттену, купленого в них ще у XVII столітті підприємливим голландцем за 24 долари.

Нам досі здається, що ми і тільки ми контролюємо наші дані. Та це всього лиш ілюзія. Крім інформації, якою ми добровільно ділимось у постах на фейсбуку та в інстаграм-трансляціях, ми щодня відкриваємо свої дані онлайн-сервісам, які полегшують життя кожного жителя мегаполісу (програми банків, служби таксі, доставки їжі та ін.), а їхні бази запросто можуть викрасти або викупити зловмисники.

Як зловмисники отримують персональні дані?

Найчастіше інформацію про користувача отримують через його номер телефону. Він прив’язаний до фейсбук-профілю, електронної пошти і банківських карток. За допомогою нехитрих маніпуляцій дізнатися номер може навіть дитина. Він доступний у сервісах відкритих даних, його легко перевірити за допомогою фб-месенджера або GetContact. Коли відомий номер телефону, можна визначити наше місцезнаходження та список осіб, з якими ми спілкуємося. Погодьтеся, дуже не хочеться, щоб ця інформація стала доступна для зловмисників.

Приєднуйтеся до закритої facebook-групи управлінців

Крім того, сьогодні як ніколи легко дізнатися подробиці нашого життя, які колись були відомі лише вузькому колу довірених осіб: номери автомобілів, домашні адреси, імена  членів сім’ї та маршрути перельотів. Найбільший телеграм-канал чорних даних «Теми України» дозволяє за 200-300 доларів зібрати інформацію практично про будь-якого користувача. Державні бази даних за копійки продають хакерам — або «доброзичливці» зливають їх у мережу.

Отож ми набагато публічніші і вразливіші, ніж собі думаємо. Може здаватися, що така відкритість викликає лише внутрішній дискомфорт, проте вона набагато небезпечніша, ніж може видатись на перший погляд.

Чим загрожує відкритість?

Фішинг

Фішинг (від англ. phishing) — один з найпоширеніших видів шахрайства. Зловмисники зламують персональні акаунти користувачів мережі, маючи про них трохи особистої інформації.

Колись ця загроза була лише розвагою анонімів, яких називали phreak (неологізм, утворений з англійських слів «freak» — дивак та «phone» — телефон). Пізніше соціальні інженери почали полювати на легковажних працівників корпорацій, використовуючи шкідливі посилання, особисті дані та знання психології. І англійське слово «fishing» перетворилось на «phishing», як даність дивакуватому періоду анонімних phreak-ів.

Як працює фішинг? Скажімо, ви отримуєте лист від товариша або від компанії-партнера з проханням терміново переглянути документ за посиланням. У тілі листа є певні «гачки», аби приспати вашу пильність: запитують, як поживає син, адже нещодавно у нього був день народження; уточнюють, що питання закрити треба швидко, адже ви зібралися у відпустку, а «хто хоче працювати у відпустці». Звичайно, про таке знають тільки знайомі. Тому ви переходите за посиланням без найменших сумнівів. При переході відбувається збій системи, і в новому вікні ваш поштовий сервіс повторно запитує пароль. З цієї миті доступ до вашої пошти вже у хакерів.

Викрадання даних методом фішингу становить 80% бізнес-загроз у світі. Від нього не захищають системи безпеки та всілякі технологічні рішення. Вас захистять від фішингу лише уважність та критичне мислення. 

Пранк

Ще один дієвий метод, за допомогою якого можна скомпрометувати людину, використовуючи її особисті дані, — це пранк (від англ. prank — розіграш). Не так давно йшлося тільки про невинний тролінг телезірок. Але пранкери виросли і з веселих жартівників перетворилися на високопрофесійних шантажистів. Їх ремесло — збирати компромат на бізнесменів і високопосадовців. Механізм базується на знанні поведінкових інстинктів. Наприклад, відомий пранкер Джокер, володіючи даними про своїх героїв, імітує їхню поведінку, тисне на больові точки і отримує конфіденційну інформацію.

Читайте Нотатки СЕО в Telegram

Збір відкритої інформації у мережі

Часом те, що знаходять про нас у мережі, може стати причиною не тільки тролінгу, а й прямих погроз. Публікуючи фото з геотегами, за якими можна довідатися нашу домашню адресу або адресу садка чи школи наших дітей, ми повинні розуміти, що ризики зустріти під дверима зловмисника значно зростають.

Нещодавно ми провели експеримент: поділили підлітків на пари і попросили знайти одне про одного якнайбільше інформації. Діти використовували тільки соціальні мережі і сервіси open data. Результат шокував і підлітків, і їхніх батьків. Семирічна дівчинка завдяки інстаграму знайшла інформацію про те, коли день народження в мами її напарника, скільки у нього сестер, як звати його бабусю, і навіть довідалася, як часто мама буває в одній європейській країні: 16 фактів про всю сім’ю за 50 хвилин! А тепер уявімо, що може знайти доросла людина, якщо захоче нашкодити…

Цей експеримент засвідчує: для того, щоб усвідомити, як багато даних про себе і свою сім’ю ми оприлюднюємо, досить на годину стати «хакером».  

У цьому, власне, і криється секрет. Адже основа кібербезпеки в епоху тотальної відкритості — це не технічні рішення, а осмислений підхід до того, що ми публікуємо в мережі. Детальніше про те, як захиститись від описаних тут загроз — у наступному матеріалі.

Стати автором блогу Executives

CEO Club Ukraine

закритий бізнес-клуб
для ceo та власників