Сергей Апресов

Текст

Наши персональные данные — ​дорогой товар, который продается и покупается. Только мы сами выкладываем их в сеть бесплатно. «Цифровой океан» предлагает несколько правил, которые позволят сохранить хотя бы часть личных сведений при себе

Если у вас есть интернет, значит, вас атаковали мошенники. Возможно, вы еще об этом не знаете, так как последствия были невелики. Но сам факт атаки — ​это неизбежное следствие трех трендов последнего времени. Во-первых, продавцы товаров и услуг хотят знать о клиентах все. Мода на большие данные побуждает их собирать и хранить даже ту информацию, которая не нужна в данный момент: ведь в будущем дата-саентисты, вероятно, смогут вычленить из этой информации что-то полезное. Во-вторых, собранная информация стала товаром. Клиентские базы продают, покупают, воруют и даже выкладывают в открытый доступ. В-третьих, современные аналитические инструменты позволяют злоумышленникам обрабатывать и сопоставлять огромные объемы данных. Это значит, что, дотянувшись до нескольких источников, содержащих о вас неполную информацию, мошенники смогут собрать комплект данных, необходимых для взятия микрокредита или списания средств с банковской карты. Единственный способ защитить себя и свои средства — ​научиться скрывать свою личность.

ЕmАiL

Адрес электронной почты — ​самый популярный идентификатор клиента цифрового сервиса. Вы сообщаете его не только в явной форме, но и когда пользуетесь «быстрым входом» с привязкой к профилю Google или «Яндекс». Нередко видимый половине интернета email содержит имя, фамилию и год рождения пользователя, то есть другие персональные данные. Почтовый адрес очень легко найти или даже подобрать. При этом часто он служит логином — ​то есть половиной информации из пары «логин/пароль», которая дает доступ к сервису. Выход один: не пользоваться «быстрым входом» и использовать разные адреса для регистрации на разных сервисах. Как сделать это удобно?

Суффиксы позволяют добавить к адресу электронной почты любые дополнительные символы через знак плюс. К примеру, указав адрес name+shopping@gmail.com, вы будете получать письма на name@gmail.com. Однако для мошеннических ботов, которые будут сканировать слитые базы данных, это совершенно разные сочетания символов.

Одноразовые почтовые ящики живут 10–15 минут. Они нужны для того, чтобы зарегистрироваться на нужном сайте и получить от него письмо-подтверждение. Решение хорошо подходит для интернет-магазинов или криптообменников.

Адреса-маски — ​это почтовые ящики, которые принимают письма от сторонних сервисов и пересылают на вашу личную почту. Отвечать на сообщения можно как обычно, кнопкой «ответить»: сервис перехватит письмо и отправит адресату от имени маски.

СЕРВИС MAILDROP

Временный почтовый ящик позволяет принять до 10 сообщений. Если в течение 24 часов ни одного письма не пришло, ящик автоматически удаляется. Пользователь может самостоятельно выбрать адрес, например имя и фамилию.

Аналоги: Tempmail, EmailOnDeck, DisposableMail, YOPmail

НомЕР ТелЕфОнА

Авторизация через СМС — ​быстрый и надежный способ идентификации клиента. Отчасти поэтому ваш телефонный номер хотят знать все, от государственных сервисов до агрегаторов скидок. При этом в России номер можно получить только при предъявлении паспорта. В базе данных сотового оператора, к которой могут получить доступ злоумышленники, телефон привязан к Ф. И. О. и паспортным данным. Есть несколько способов снизить риски.

Завести отдельный номер для аутентификации в особенно чувствительных сервисах — ​онлайн-банке, «Госуслугах». Так пробив общедоступного телефона хотя бы не даст мошенникам доступ к вашим счетам.

Использовать иностранный номер, который можно получить в зарубежной поездке. Получить доступ к базе заграничного оператора злоумышленникам будет сложнее.

Воспользоваться сервисом приема СМС — ​это сайт, на котором указан телефонный номер и «бегущей строкой» идут все СМС-сообщения, которые на него приходят. Способ подходит для регистрации на сервисах, которыми нужно воспользоваться всего один раз.

Купить постоянный виртуальный ­номер. Услуга похожа на предыдущую, но действует продолжительное время; при этом сообщения не высвечиваются на сайте, а переправляются на вашу электронную почту.

Замаскировать адрес электронной почты помогают суффиксы — любые символы, добавленные через знак плюс

ДОмАШний АдРЕс

Адрес прописки и адрес фактического проживания в равной степени относятся к чувствительной информации. Первый, к примеру, входит в число обязательных сведений при оформлении кредита. Стоит учитывать, что некоторые финансовые учреждения выдают кредиты онлайн, без «живой» подписи заявителя. По второму адресу могут прийти как посылки и пицца, так и незваные гости. Чтобы избежать этого, делайте следующее.

Не указывайте полный адрес, когда заказываете еду или товары с доставкой. Напишите улицу и номер дома, а когда курьер приедет, встретьте его у подъезда. Еще лучше забирать заказы из пункта выдачи или постамата — ​тогда адрес можно совсем не указывать.

Сгенерируйте случайный адрес. Этот вариант подходит для оплаты онлайн-сервисов, особенно зарубежных, которые помимо данных кредитной карты требуют указать «адрес выставления счета» (billing address). Правдоподобные адреса с корректными почтовыми индексами генерируются на специальных сайтах.

Заведите абонентский ящик. Это буквально ящик в почтовом отделении, в который будут приходить бумажные письма. В этом случае ваш юридически значимый адрес будет выглядеть просто как два числа: почтовый индекс и номер а/я.

ФОтоГРАфия

На самых важных документах в жизни человека присутствует его фотография. Она с давних пор служит основным средством биометрической идентификации человека, так как позволяет узнать его в лицо. Обычные поисковики позволяют с легкостью опознать обладателя фото, найти его профили в соцсетях и прочую информацию. Однако поиски можно несколько усложнить.

Публикуйте в сети скриншоты, а не фотографии с камеры. Так вы скроете зашитые в графический файл метаданные — ​информацию о времени съемки и геолокации. В противном случае по нескольким фото можно будет восстановить ваше место жительства и маршруты передвижения.

Попробуйте зашифровать изображение с помощью инструмента Fawkes. Это перспективная разработка лаборатории SAND Lab Чикагского университета под руководством Бена Чжао. Разработчики SAND Lab используют технологии «отравления данных» (Data Poisoning) для создания инструментов, помогающих обычным людям противостоять ИИ (подробнее об этом читайте на с. 48). Фотография, обработанная Fawkes, собьет с толку поисковики и системы распо­знавания лиц, при этом на вид будет неотличима от оригинала.

2FA С ПОДВОХОМ. Двухфакторная идентификация (2FA) по номеру телефона, при которой для входа на сайт необходимо ввести код из СМС, — ​надежный и популярный способ защитить свой аккаунт. Однако у него есть недостаток. Запрашивая код из СМС, сайт часто открыто демонстрирует часть номера клиента в виде маски: например, «Мы выслали код на номер +7 926 ***-**-35». Разные сайты могут использовать разные маски. Побродив по ним, мошенники могут узнать значительную часть номера телефона пользователя. Поэтому, выбирая способ подтверждения для двухфакторной идентификации, лучше отдать предпочтение сервису Google Authenticator.

Ф. И. О. и дАТА РоЖдЕНиЯ

Имя, отчество, фамилия, день, месяц и год рождения — ​это три слова и три числа, целых шесть значений, полное совпадение которых у разных людей практически невозможно. При этом исследования в США показали, что 72 % граждан доверяют персонализированной рекламе и предпочитают ее. Люди любят, когда к ним обращаются по имени и поздравляют с днем рождения, поэтому охотно сообщают сервисам свои данные. Скрыть свои Ф. И. О. очень сложно, и все же лучше соблюдать ряд правил.

Не нарушайте закон и поменьше судитесь. Судебные решения, а также списки должников публикуются на сайтах судов и службы судебных приставов. Также в интернете легко найти информацию об индивидуальных предпринимателях, руководителях юридических лиц, владельцах недвижимости и залогодателях.

Не указывайте настоящий день рождения. Большинство сервисов использует эту информацию, чтобы определить ваш возраст (как правило, клиенту должно быть больше 18 лет), а также для персонального маркетинга, то есть чтобы поздравить вас с днем рождения. Впрочем, вряд ли они подарят вам что-то стоящее.

Сгенерируйте временные Ф. И. О. Для создания фальшивой личности не нужно даже напрягать фантазию: есть специальные сайты, которые создают правдоподобные сочетания имен и фамилий.

фотографии, которые люди выкладывают в интернет, содержат информацию о месте и времени съемки

ПАРОлЬ

Использовать один пароль на все случаи жизни — ​пожалуй, самый страшный и один из самых распространенных грехов против собственной безопасности. Ваши пароли хранятся в базах данных сервисов, на которых вы их применяете, и рано или поздно эти базы могут утечь. Если скомпрометирован тот же пароль, который используется для входа в онлайн-банк, последствия предсказуемы. Чтобы их избежать, соблюдайте ­гигиену паролей.

Установите менеджер паролей и научитесь им пользоваться. Эта программа будет за вас генерировать, помнить и вводить пароли для разных сервисов. Вам достаточно будет запомнить только один «мастер-пароль» — ​пароль от менеджера паролей. Да, он будет давать ключ ко всем вашим делам, но не будет светиться в базах данных по всему интернету.

Придумайте безопасный «мастер-пароль». Можно использовать технику нескольких случайных слов, например «журнал цифровой океан». Добавьте транслитерацию: jurnalcifrovoyokean. Используйте стиль Leet — ​замените часть букв на похожие цифры и символы: jurna|c1fr0v0y0kean. Добавьте прописных букв: Jurna|C1fr0v0y0kean.

СЕРВИС KEEPASS

Менеджер паролей с открытым исходным кодом. Хранит в зашифрованном виде не только пароли, но и всю базу данных, включая названия сервисов, в которых зарегистрированы пользователи. Работает как онлайн, так и офлайн — ​в виде приложения на флешке.

Аналоги: LastPass, Bitwarden, SafeInCloud, «Пассворк»

Читайте также, кто и зачем устраивает хакерские атаки на государственные структуры

Читать на ЦО.РФ

Вирусный джиар Кто и зачем устраивает хакерские атаки на государственные структуры

В конце 2020 года на США была совершена крупная хакерская атака. Злоумышленники внедрили вредоносный код в пакет обновлений программного обеспечения для управления предприятиями SolarWinds. Зараженное ПО разослали всем клиентам компании. Жертвами хакеров стали Госдепартамент США, Министерство внутренней безопасности США и другие структуры. Вирус получил название Sunburst

Использованные источники: Материал опубликован в журнале «Цифровой океан» № 21 (январь-февраль), 2024, Aaron Amat / Dreamstime.com / Legion-media, Tero Vesalainen / Dreamstime.com / Legion-media, OxAvdeenko / iStock.com, a-photos / iStock.com, Westend61 / Getty Images, RayaHristova / iStock.com