Утечка паспортных данных что делать
Утечки персональных данных из банка: насколько это опасно и как защитить себя
6 Время прочтения: 5 минут
Данные из банков утекают редко, но метко: опасность стать жертвой мошенников, получивших доступ к персональной информации, велика. Разбираем правила защиты со специалистом в области расследований Никитой Артемовым.
Персональные данные — спорный термин. Под ним могут подразумеваться базы данных социальных сетей, списки сотрудников организаций, информация о клиентах интернет-магазинов и многое другое. И эти базы данных из разных компаний периодически «утекают».
В связи с этим у обычного человека возникают вопросы:
Разберемся по порядку.
Почему наши данные «утекают»
Утечки персональных данных из банков случаются намного реже, чем из небанковских организаций. Банки могут позволить себе ставить дорогостоящее программное обеспечение, которое сильно снижает риски утечек.
Многие считают, что банки подвергаются только атакам извне и всему виной хакеры. На самом деле обойти защищенный информационный периметр банка сложно и потому безумно дорого. Особенно когда конечной целью является получение базы данных клиентов. Результаты расследований самых крупных инцидентов утечек говорят о том, что данные «утекают» именно по вине рядового персонала, который допускает ошибку либо осознанно продает информацию. Поэтому демонизировать «страшных хакеров» не стоит.
Какая информация может быть в утечках
Ценность любой «уплывшей» базы зависит от конкретных данных, которые в ней содержатся. Сведения о номерах карт или счетов клиентов в связке с Ф. И. О. по понятным причинам считаются очень ценными. Также в базе могут содержаться данные об остатках средств на счетах клиентов, что тоже полезно для реализации многих мошеннических действий в дальнейшем. А вот ценность базы, которая содержит, например, только контактные данные (почта и номер телефона), название банка и Ф. И. О. клиентов, будет на порядок ниже.
Самую большую опасность несут «обогащенные» базы данных. Предположим, «утекли» данные из какого-нибудь банка и крупного интернет-магазина. Злоумышленник может дополнить общий «цифровой профиль» конкретного человека, используя данные двух баз, так как объект может одновременно находиться в обеих. В этом случае из одной базы можно получить контактную информацию, а из другой — платежную.
В чем опасность
Векторов атак, доступных злоумышленникам после получения на руки базы персональных данных, не так много, как может казаться. Ключевой тип атаки — социальная инженерия. Рассмотрим два самых частых сценария.
1. Массовая фишинговая рассылка. Составляется письмо, внутри которого будет ссылка, ведущая на вредоносный ресурс (например, сайт, который просит ввести данные банковской карты или нечто подобное). Эффективность этого метода до сих пор составляет порядка 10—12%. Это довольно большая цифра при условии того, что все слышали про такой тип мошенничества. «Второе дыхание» у фишинга открылось в последний год благодаря пандемии.
2. Вишинг. Это «легендированный прозвон», задача которого — сделать так, чтобы жертва сама сообщила нужную злоумышленнику информацию. Для увеличения доверия к мошеннику используются персональные данные, полученные из той самой утечки. Соответственно, чем больше информации есть у злоумышленника, тем больше вероятность, что жертва поверит в «развод».
Полученные в результате фишинга и вишинга сведения могут быть использованы как для похищения денег со счетов, так и для оформления кредитов на жертву.
Пример из практики. В 2019 году один из моих клиентов случайно обнаружил у себя задолженность по платежам в нескольких кредитных организациях. Общая сумма долга составила более 350 тыс. рублей. Мошенники получили доступ к его персональным сведениям после утечки данных 900 тыс. человек клиентов Альфа-Банка, ОТП Банка и Хоум Кредит Банка в мае 2019 года. Все кредиты на клиента были оформлены в нескольких микрофинансовых организациях ровно через сутки после той самой утечки, причем он одновременно являлся клиентом ОТП Банка и Альфа-Банка. Примечательно, что кусок базы, относящийся к Альфа-Банку, был составлен по жителям Северо-Западного федерального округа, в котором как раз и проживал мой клиент. В той утечке были паспортные данные, сведения о месте работы и номера телефонов. Для многих кредитных организаций этих данных вполне достаточно, чтобы оформить кредит дистанционно. В тех организациях, где необходимо прислать фото паспорта, злоумышленники пользуются сервисами, которые генерируют сканы паспортов. Туда достаточно ввести данные паспорта жертвы.
К сожалению, для моего клиента эта история закончилась печально: доказать, что кредиты были оформлены без его ведома, не удалось, и ему пришлось самостоятельно погашать задолженность.
Как с этим бороться?
Повлиять на уменьшение числа утечек мы с вами не можем никак. Со стороны государства недавно начались подвижки в эту сторону за счет ужесточения ответственности и увеличения штрафов. Также в Госдуме недавно предложили законопроект, который позволит гражданам заранее отказываться от любых кредитов и не платить по ним, если их все-таки оформят. Правда, об эффективности этого проекта говорить пока сложно. Например, не ясно, на какие именно финансовые организации будет распространяться запрет. Также всегда остается риск недобросовестных действий со стороны сотрудников этих финансовых организаций. И наконец, мошенники могут посредством того же вишинга получить доступ к учетным записям граждан на «Госуслугах» и снять запрет. В общем, такая мера может снизить число пострадавших, но полностью проблему не решит.
Что можете сделать лично вы?
Главный способ минимизировать возможный ущерб — быть внимательным. Нужно сразу же вешать трубку в случае звонка из любого банка. Лучше перезвонить самому на официальный номер и спросить, звонили ли вам из банка. В 99% случаев вам скажут, что никто не звонил. То же касается и писем. Всегда проверяйте ссылки специальными сервисами, хотя бы банальным VirusTotal, а лучше вовсе не переходите ни на какие сайты с подозрительным содержанием. И в целом повышайте свой уровень знаний в области цифровой гигиены. В современных реалиях это стало одним из важнейших навыков.
Никита АРТЕМОВ для Banki.ru
\n \n\t\t\t \n\t\t\t \n\t\t \n\t»,»content»:»\t\t
6 способов заполучить ваши паспортные данные
В интернете и по телефону
Узнайте, как преступники получают чужие паспортные данные, и не дайте себя обмануть.
Маскируются под государственный сайт
Жертве на электронную почту приходит письмо от имени государственной организации — например, пенсионного фонда или службы судебных приставов. В нем мошенники ошарашивают задолженностью или радуют неожиданной выплатой. Чтобы разобраться с платежами, нужно перейти по указанной ссылке и ввести в специальной форме свой СНИЛС и паспортные данные.
Сайт очень похож на страницу настоящей организации, но на самом деле не имеет к ней отношения, а просто помогает аферистам заполучить чужие данные.
Как не попасться. Не переходить по ссылкам из письма. Чтобы безопасно проверить свои задолженности и узнать об официальных зачислениях — самостоятельно зайдите на сайт госуслуг или того ведомства, от имени которого пришло письмо.
Выдают себя за работодателя
Мошенники размещают вакансию с привлекательными условиями: удаленная работа, частичная занятость, высокая зарплата, можно без опыта. Откликнувшийся соискатель сразу получает предложение о работе. Правда, сначала нужно выслать компании сканы своих документов — якобы для проверки службой безопасности.
Как не попасться. Не высылать никому паспортные данные. Предложите потенциальному начальнику встретиться лично, чтобы обсудить условия и подписать необходимые бумаги: мошенник, которому нужно заполучить чужие данные, скорее всего, откажется тратить на это время.
Поищите информацию о компании в интернете: если нет официального сайта, отсутствуют отзывы и сведения о владельцах — скорее всего, перед вами мошенники.
Поздравляют с победой в конкурсе
В социальной сети жертве приходит сообщение: якобы в одном из сообществ, на которые подписан пользователь, был розыгрыш — и удача улыбнулась именно ему. Чтобы получить подарок, нужно подтвердить личность, сфотографировавшись вместе с открытым паспортом.
Но приз получат только мошенники: эта фотография дает возможность подтверждать личность на многих сайтах — например, взломать аккаунт жертвы в той же социальной сети.
Как не попасться. Не отправлять фотографии паспорта частным лицам: обычно они нужны крупным сервисам для регистрации или в случае утери пароля.
Помогают получить кредит
Сайты, которые обещают выдать кредит только по паспорту, часто оказываются ловушками: с их помощью мошенники собирают чужие данные, чтобы потом самостоятельно получить деньги, оставив должником постороннего человека.
Часто аферисты представляются кредитными брокерами, которые обещают решить вопрос с отказами банков. Они тоже просят сообщить паспортные данные, а потом исчезают, оформив в микрофинансовой организации заем на имя жертвы.
Как не попасться. Обращаться за кредитами не в неизвестные микрофинансовые организации, а в банк. Если банк отказывает, стоит проверить свою кредитную историю — возможно, с ней что-то не так и ее получится исправить.
Представляются сотрудниками банка
Мошенники звонят жертве, представляясь сотрудниками службы безопасности банка, и предупреждают о блокировке карты: якобы у них появились подозрения, что деньгами распоряжается мошенник.
Если владелец карты уверен, что никто не мог получить доступ к финансам, преступники предлагают остановить процесс блокировки — но для этого нужно продиктовать паспортные данные.
Как не попасться. В такой обман легко поверить: сотрудники банка на самом деле могут спросить паспортные данные по телефону, чтобы убедиться в личности звонящего. Чтобы не попасть в руки мошенников, лучше перезвоните в банк самостоятельно по номеру горячей линии — он есть на вашей карте или на сайте банка.
Делают копии
Мошенники могут подстерегать нас везде: в салоне связи, турагентстве или копировальном центре. Ушлые сотрудники могут незаметно сделать дополнительную копию ваших документов, чтобы использовать ее в своих целях.
Как себя обезопасить. Насторожитесь, когда копию паспорта делают без вашего согласия. Следите за тем, сколько копий делает сотрудник — лишних быть не должно. Если вы оставляете копию документа в компании, постарайтесь написать на ней, для какой компании она сделана.
Сообщая паспортные данные компании или позволяя сотруднику сделать копию вашего паспорта, попросите согласие на обработку персональных данных. Если такого документа нет, откажитесь от сделки: ваши данные могут попасть не в те руки.
Просят копию паспорта: 6 способов защититься
По копии чужого паспорта мошенник может взять кредит, оформить банковскую карту, арендовать квартиру и вывезти из нее мебель и технику. А получить копию просто — в интернете их продают по сто рублей за штуку.
Вот что сделать, чтобы защитить копию паспорта или хотя бы помешать мошенникам ей воспользоваться.
Как победить выгорание
Оценить контрагента
Одно дело, когда фото паспорта просит прислать солидное госучреждение, совсем другое — если это небольшой таксопарк. Компания может выглядеть благополучно, но при этом находиться на грани закрытия или существовать только в виде странички в «Инстаграме» или воображении мошенника.
Закажите выписку из реестра ФНС и посмотрите, чем на самом деле занимается компания, сколько в ней сотрудников, какой уставный капитал, нет ли информации о недостоверных сведениях.
Если вам предложили удаленную работу в ИТ-агентстве и попросили прислать фото паспорта, а по выписке компания занимается продажами, да еще и зарегистрирована по недостоверному адресу, это повод задуматься. Возможно, с таким контрагентом лучше вообще не иметь никаких дел — и тем более не отправлять ему копию паспорта.
Предложить обойтись без фото паспорта
Во многих ситуациях достаточно паспортных данных, без графического изображения страниц: например, при составлении договора купли-продажи или доверенности. Предложите другой стороне такой вариант: вместо фото паспорта вы присылаете распечатку данных в виде текста, а при подписании договора показываете документ, чтобы контрагент мог их проверить.
Такой вариант безопаснее: кредит или банковскую карту на текстовые данные оформить не получится.
Закрыть часть данных на фото
Банки принимают только копии паспортов без изменений, правок или пометок. А вот для небольших компаний можно эту копию немного изменить: если закрыть часть фото листом бумаги, для мошенника она станет менее полезной.
Хорошая идея — закрыть свою подпись, чтобы ее не скопировали. Даже если мошенник все-таки использует фото вашего паспорта, потом будет намного проще доказать подлог. Перед дальней поездкой распечатайте несколько таких копий, чтобы не искать принтер в дороге.
Написать на копии паспорта, когда и для кого ее сделали
Для банков копия паспорта с такой надписью не годится — у службы безопасности сразу возникнут вопросы к сотруднику, оформившему кредит. Но вариант сработает, если копию паспорта требуют в гостинице или при приеме на работу. Напишите, например, «Копия сделана для гостиницы „Ромашка“» или «Копия сделана для Иванова Петра, отдел кадров фирмы „Рога и копыта“» — и поставьте дату. А еще попросите сотрудника, которому отдаете копию, поставить на ней свою подпись.
Для копии в электронном виде отсканируйте версию с надписью или напечатайте текст поверх документа в графическом редакторе. Хорошо, если надпись перекроет часть вашего фото: так ее сложнее будет удалить.
Сделать копию низкого качества
Чем выше качество копии паспорта, тем проще с нее снять еще одну копию, поэтому цветная фотография в высоком разрешении на черном рынке ценится выше размытой черно-белой. Но отделу кадров или службе безопасности качество не важно — им нужно только проверить вашу личность. Поэтому идеальная копия — это черно-белое изображение, на котором с трудом можно разобрать текст, а фото владельца документа похоже на черный квадрат с разводами.
Нужные фильтры есть в большинстве графических редакторов. Можно даже инвертировать цвета — получится что-то вроде негатива.
Помнить о своем праве защищать персональные данные
Контрагент может отказаться принимать копию паспорта с пометками, и в случае с банками такой отказ обоснован. Но если отказ пришел из другой организации, скорее всего, это произвол. «Всегда так делаем» и «начальник распорядился» не считается законным основанием для отказа принять копию документа.
Постарайтесь объяснить, что закон разрешает вам защищать свои персональные данные так, как вы считаете нужным, и все действия с вашими персональными данными возможны только с вашего согласия. А проверить точность данных в копии паспорта никто не мешает — вот оригинал.
ст. 9 ФЗ «О персональных данных»: согласие на обработку персональных данных
И если все-таки отправили копию своего паспорта контрагенту, а потом передумали, у вас есть право отозвать согласие на обработку персональных данных. Компания будет обязана уничтожить все копии ваших документов.
Кредит взять можно а пиво по фотке паспорта не продают. Что за страна.
What, слышала, что только сейчас разрабатывают закон, позволяющий зафиксировать «отказ» в МоихДокументах на выдачу вам кредита. Как отказ на продажу квартиры без вашего ведома.
What, мошенники же, а кибе все честно
What, по фотке заграна иногда проканывает
Ната, мы с женой уже лет десять, когда пытаются сделать копию паспорта, просим дать нам эту копию сразу после копирования и пишем на ней ручкой, кому и когда дана копия. Очень редко, когда кто-то выступает против такого, но, как правило, в итоге всё решается в нашу пользу.
Заем не брал, а долг имеется: как бороться с кредитами на чужое имя
В конце января комментатор «Матч-ТВ» Роман Нагучев получил неожиданное письмо из суда. Там оказался судебный приказ о взыскании долга по займу, который Нагучев якобы взял в Новосибирске 5 марта 2019 года. Выдала этот кредит микрофинансовая организация (МФО) «Займер». Только вот, как утверждает сам Нагучев, никаких денег он не брал. Более того, он никогда не был в Новосибирске, а 5 марта 2020-го находился за границей, рассказал он в своем Twitter.
В похожей ситуации двумя годами ранее оказался политик Леонид Волков. В феврале 2019-го он проверял свою кредитную историю и обнаружил, что должен около 70 000 руб. некоему ООО «Деньги Взаймы». Оказывается, в августе 2017-го кто-то взял на его имя 6000 руб. под 730% годовых. А вот предпринимателю Алексею из Петербурга (его фамилию The Village не называет) отказали в кредите потому, что бизнесмен задолжал неизвестной ему МФО 3500 руб. О долге мужчина узнал из письма приставов за полгода до этого, но ничего не предпринял.
В большинстве своем проверка минимальна, а риски закладываются в высокий процент. Предложений на рынке достаточно: «на карту мгновенно», «под 0% через 15 минут» и так далее.
Срочно получить деньги с минимальными проверками – это не проблема.
«Лояльностью» МФО пользуются мошенники. Их схемы бывают очень разнообразны, рассказывает адвокат МКА «Вердиктъ» Дмитрий Джулай. Чтобы взять кредит офлайн по оригиналу паспорта (например, если он был утерян), они могут подделать фотографию или подобрать «заемщика», похожего на настоящего владельца документа. С онлайн-займами все еще проще: преступникам достаточно просто вбить персональные данные гражданина либо с их помощью подделать сканы документов.
По словам Бычкова, займы, которые выдают в результате таких схем, чаще всего небольшие. Ведь сами МФО могут идентифицировать клиента только если сумма кредита не превышает 15 000 руб. Если она больше, то проводить проверку должна уже кредитная организация, с которой у МФО заключен договор или соглашение о сотрудничестве. Но это ограничение не всегда может защитить от крупных долгов, потому что преступники могут взять на имя гражданина сразу несколько небольших кредитов (до 15 000 руб.). В таком случае все они, как правило, оформляются в один день, чтобы данные о выдаче не успевали дойти до бюро кредитных историй (БКИ), замечает Бычков.
Чаще всего данные попадают к мошенникам не из-за взлома системы, а из-за недобросовестных сотрудников.
Чаще всего паспортные данные оказываются у злоумышленников в результате различных утечек из банков, салонов связи, МФО, билетных агентств и других организаций, которые массово работают с такими сведениями. Причем, как правило, не из-за взлома системы, а из-за недобросовестных сотрудников, которые крадут и продают эту информацию, обращает внимание Ашот Оганесян, основатель и технический директор SmartLine Inc – разработчика программных средств защиты от утечек. Полностью защитить свои данные от этого вряд ли возможно.
Жертвой такого рода мошенничества может стать каждый.
Но особенно стоит опасаться активным интернет-пользователям, чьи данные могли уйти с различных онлайн-площадок, а также тем, кто недавно остался без паспорта (документ украли или он потерялся), предупреждает Дмитрий Жданухин, председатель комитета МТПП по вопросам разрешения долговых споров.
Другие факторы повышенного риска – хорошая кредитная история и высокий уровень дохода, замечает Бычков. С таким «набором» гражданину, а точнее, мошеннику под его именем, могут без проблем одобрить заем.
Как себя обезопасить?
О кредите важно вовремя узнать. Чем раньше, тем больше способов защиты.
Чтобы выяснить, не брали ли преступники кредит на ваше имя, нужно проверить:
Проверить кредитную историю можно через «Госуслуги», направив запрос в Центральный каталог кредитных историй (ЦККИ). Из ЦККИ заявителю пришлют список бюро кредитных историй (БКИ), которые содержат сведения о нем, а также ссылки на сайты этих бюро. Нужно перейти по ним, зарегистрироваться и получить информацию обо всех займах, выданных на ваше имя (дважды в год услуга предоставляется бесплатно). Получить сведения из ЦККИ можно также в любом банке, МФО и любом бюро кредитных историй.
Что делать, если на ваше имя взяли кредит?
Что делать, если вы обнаружили за собой кредит, который не брали? Ответ во многом зависит от стадии взыскания.
Надо максимально подробно все выяснить: кто кредитор, реквизиты договора, сумма долга, стадия взыскания (досудебная, судебное или исполнительное производство). При возможности следует получить информацию в письменном виде – хотя бы в каком-нибудь мессенджере.
Дмитрий Жданухин, председатель комитета МТПП по вопросам разрешения долговых споров
Если все это не помогло, придется обращаться в суд. Практики много, недействительными признают сделки, которые заключены как в офисе МФО, так и через онлайн-сервисы, делится Васанов. Он рассказывает, что нужно потребовать в иске к МФО:
В суде: как доказать, что ты не заемщик
Например, Марине Федотовой* удалось добиться признания незаключенным договора займа, который она якобы подписала в офисе МФО «Особый случай» в Москве. Заявительница настаивала, что в день, когда ей якобы выдали 3000 руб., она находилась на работе в Санкт-Петербурге. Красногвардейский райсуд Санкт-Петербурга этот довод Федотовой признал обоснованным (дело № 2-4571/2017).
Если подобных обстоятельств нет, то на помощь может прийти почерковедческая экспертиза, которая докажет, что подпись в договоре принадлежит не истцу. Конечно, все эти аргументы (за исключением утраты паспорта) не сработают, если заем взяли дистанционно. Но на такой случай есть другие доводы.
Например, можно сослаться, что номер, на который при регистрации заявки приходило сообщение с кодом подтверждения, равно как и банковский счет, на который перечисляли сумму займа, принадлежат не истцу, дает совет Бычков. Эти доказательства можно истребовать в судебном порядке с помощью соответствующих запросов. Также можно установить местонахождение электронного устройства (например, IP-адрес), с которого входили на сайт МФО, и доказать, что истца в тот момент в этом месте не было, объясняет Васанов.
Все эти аргументы, например, помогли Софье Кузьминой* в споре с МФК «Кредитех Рус» и коллекторской фирмой ООО «Кредитэкспресс Финанс». Советский райсуд Брянска признал, что заем в 9000 руб. МФК непосредственно Кузьминой не предоставлялся. Суд пришел к такому выводу, установив, что номер, который в «Кредитех Рус» указан как принадлежащий Кузьминой, на самом деле оформлен на другого человека. Кроме того, деньги МФК перечислила на карту «Альфа-банка», а у Кузьминой карт этого банка никогда не было. И, наконец, IP адрес устройства, с которого взяли заем, находится в Новосибирске, где у истицы нет ни временной, ни постоянной регистрации, установил суд и признал договор займа незаключенным (дело № 2-3848/2017).
Все упомянутые доводы могут помочь и в случае, если спор инициирует МФО, потребовав вернуть долг. В таком случае гражданину как минимум придется возражать против ее аргументов, а как максимум доказывать обоснованность встречного иска о признании договора незаключенным (если он его заявит).
Независимо от того, когда человек обнаружил «чужой» долг, ему стоит подать заявление о возбуждении уголовного дела, считает Васанов. Поскольку есть вероятность привлечь злоумышленников к ответственности. А еще на подачу такого заявления не помешает сослаться при оспаривании договора.
Но чаще всего о наличии кредита человек узнает, когда приставы уже списывают у него деньги, говорит Васанов.
На этот случай у нас тоже есть советы.
Как видно, с «чужими» долгами можно и нужно бороться. Есть хорошие шансы добиться своего. В этом на своем опыте убедился Роман Нагучев, чьей историей начинается статья. Комментатор отправил заявление об отмене судебного приказа, написал в Бюро кредитных историй и позвонил в «Займер». После этого ему прислали письмо из МФО. Организация признала, что Нагучев не получал заем, и попросила БКИ удалить эту информацию из его кредитной истории. Хэппи-энд был и у истории Леонида Волкова. Запись о «его» долге исчезла после писем в БКИ и ООО «Деньги Взаймы». А вот предпринимателю Алексею для этого пришлось дойти до суда, но итог был тот же – «очищенная» кредитная история.