«Я что, дурак — свой паспорт сканировать»: как доверить приложению персональные данные и не вляпаться в неприятности
Куча приложений знает ваш номер телефона, имя, фамилию и адрес. Самым продвинутым нужно даже больше — например, данные вашего паспорта. Если приложение выпускает вам электронную подпись, связывает вас с каким-то государственным ведомством, помогает купить машину — логично, что ему нужны эти данные. Но безопасно ли их давать?
Кратко: не важно, отсканируете ли вы свой паспорт. Ваш телефон УЖЕ знает о вас слишком много. Единственный способ защитить себя — это соблюдать правила «цифровой гигиены»: скачивать приложения только из официальных магазинов, использовать двухфакторную аутентификацию и никогда не отвечать на подозрительные входящие звонки от «банков».
А теперь подробно.
Информацию о вас: ФИО, дату рождения, телефон и email, паспортные данные в альбоме вашего телефона. Если получить эти данные, можно: оформить на вас кредит, подписать вас на рекламные рассылки, и даже оформить себе КЭП и продать вашу квартиру.
Доступ к государственным сервисам: приложение Госуслуг.
Если вы ставите простейший логин/пароль и пренебрегаете двухфакторной аутентификацией — за вас могут получить любые государственные услуги, и не будет никакой гарантии, что это сделали именно вы.
Доступ к вашим деньгам: мобильные и интернет-банки, электронные кошельки, google pay/apple pay, данные карт.
Если его перехватить, можно: украсть ваши деньги, делать покупки за ваш счет, оформить на вас кредит и сразу похитить кредитные деньги.
Доступ к контактам и перепискам: телефонные номера, переписки в Whatsapp/Телеграме и соцсетях.Если его получить, можно: шантажировать вас содержимым ваших чатов, вымогать деньги у ваших близких, просить в долг от вашего имени.
Личные фото: фото в вашей квартире и во дворе, на работе, личные скриншоты, интимные фото. Если их получить, можно: найти материал для шантажа, опубликовать личные снимки в сети, использовать ваши фотографии для оформления аккаунтов мошенников.
Технологии помогли мошенникам создать несколько новых схем, но самые популярные из них по-прежнему основаны на обычном обмане, манипуляции и страхе.
Разберем все способы, которыми у вас могут украсть данные и как-то вам навредить, используя ваш смартфон.
Позвонить вам от имени банка. Даже в банках бывают утечки, и тогда вам начинают звонить якобы «сотрудники службы безопасности», которые знают ваше ФИО и где вы держите деньги.
Разговор пойдет о том, что на вас берут кредит, вы только что совершили подозрительную операцию и пытаетесь перевести кому-то 15 тысяч рублей, вам меняют телефонный номер, привязанный к мобильному банку. Или другой предлог, из-за которого вы должны назвать код из смс-сообщения, кодовое слово, паспортные данные или что-нибудь еще.
Всё, что нужно знать об этом способе обмана — банки не решают такие вопросы по телефону. Если они заметят что-то подозрительное — они заблокируют счет и подождут, пока вы сами к ним придете.
Написать вам в мессенджерах/соцсетях и выманить деньги. Частый сценарий такой атаки — кто-то взламывает аккаунт вашего друга, пишет вам от его имени и просит срочно занять ему в долг.
Мошенники изучают переписку и используют личные факты, чтобы их обман выглядел убедительно — если друг жаловался вам на задержку зарплаты или неадекватного хозяина квартиры, мошенник использует эти темы как предлог для займа.
Мошенники заражают файл или приложение, и распространяют его под видом чего-то полезного. Ваш телефон может заразиться, когда вы:
- Устанавливаете приложение из неофициальных магазинов.
- Реже, но возможно — устанавливаете зараженное приложение из официальных магазинов. Как только служба безопасности магазина это выявит, вам предложат обновиться на безопасную версию.
- Переходите по ссылкам из подозрительных смс и писем.
- Скачиваете и просматриваете вложения из электронной почты.
Большинство исследовательских компаний выделяют следующие виды угроз:
Adware и кликеры. В основном они просто показывают вам неинтересную рекламу и генерируют искусственные переходы на сайты рекламодателей. Особой опасности они не представляют, просто бесят.
Spyware. ПО крадёт персональные данные и следит за своим носителем. Может перехватывать смс или push-коды подтверждения операций.
Дроппер. Загрузчик других вредоносных приложений. Может завезти к вам на устройство любой вирус, троянец и прочую гадость.
Вирус. Выводит из строя конкретное приложение или одну из функций устройства, шифрует девайс или вешает на главный экран порнобаннер и просит выкуп в биткоинах.
Используйте VPN при подключении к общедоступным сетям Wi-FI.
Скачивайте приложения только из официальных магазинов.
Используйте двухфакторную аутентификацию. Это защита, в которой вы для входа в систему сначала вводите логин и пароль, а потом еще подтверждаете кодом из смс или push-уведомления, что это правда вы. Приложения сами предложат вам ее подключить.
Не давайте телефон в руки незнакомым людям и неофициальным экспертам, не предоставляйте удаленный доступ к телефону недоверенному источнику, например, сотруднику банка по телефону.
И, конечно, всегда оставайтесь осмотрительным. Мошенники создают иллюзию срочности и не дают подумать — сделайте паузу, минута на размышления может вас уберечь.
Когда вам звонят из банка или пишут от чьего-то имени — просто перестаньте с ними разговаривать. Позвоните в банк сами по номеру на сайте, и если подозреваете, что угроза реальна — сходите в ближайшее отделение. Также и с другом — если кто-то просит у вас в долг, позвоните ему или напишите в другой чат.
Что касается данных внутри приложения — чтобы понять, стоит ли доверять сервису какую-то информацию, вам нужно понимать, зачем он ее запрашивает.
Если вы хотите поиграть в Angry Birds, а у вас просят телефон, адрес и номер банковской карточки — это странно. Вы не приглашаете их к вам прийти, вы не просите их вам звонить, и игра бесплатная. А вот если вы делаете заказ в приложении H&M — то это нормально. Все это нужно, чтобы доставить заказ и прислать вам чеки.
Если вы пытаетесь создать электронную подпись, работать с документами, заключить договор или связаться с каким-то государственным ведомством — логично, что вам потребуется паспорт.
Например, в Nopaper. Если бы мы предлагали вам выпустить усиленную электронную подпись и обещали, что вы сможете подписывать документы, что все это будет юридически значимо и безопасно, и при этом не попросили ваш паспорт — мы были бы очень странными ребятами. Тогда вам бы стоило держаться от нас подальше.
Мы обязаны идентифицировать человека, которому выдаем электронную подпись.
Для этого мы проверяем паспорт — мы же не просто просим скан и кладем его в архив. Мы проверяем его по базе МВД — что такой человек правда существует, это настоящий действующий паспорт, он не украден и не утерян. Еще мы проверяем самого человека — просим пройти Liveness-тест. Он позволяет определить, что перед камерой находится живой человек, а не видео, манекен или маска. И что это тот самый человек, что и в паспорте.
Это требование и закона, и здравого смысла. Иначе электронные подписи ничего бы не значили.
Мы шифруем все ваши данные и передаем их на сервер по защищенному каналу. Сам процесс подписания документов построен на базе мобильной электронной подписи, без использования уязвимых каналов вроде СМС или push-уведомлений. Это безопаснее, потому что никто не может обмануть вас и выманить какой-нибудь код, чтобы использовать вашу подпись.
Само фото вашего паспорта Nopaper нигде не хранит — ни в памяти телефона, ни внутри приложения. Мы используем его только для подтверждения вашей личности, когда идентификация пройдена — фото удаляется.
Безопасность начинается с проектирования всех процессов в nopaper, продолжается в практиках безопасной разработки и внутреннего тестирования и подтверждается периодическим внешним аудитом, включая тесты на проникновение, в том числе методом «белого ящика», проверку соответствия требованиям регуляторов и применением тех же технологий в сертифицированных решениях
Этой статьей мы пытались объяснить, что если бы мы хотели вас обмануть — мы нашли бы путь куда проще.
Мы разработали криптографическую технологию мобильной подписи, создали сервис обмена документами, продумали сотни сценариев, чтобы Nopaper работал и у корпораций, и у предпринимателей, и у обычных людей. Изучили всю законодательную базу, собрали команду. Слишком много усилий, чтобы получить скан паспорта.
Ведь если посмотреть правде в глаза, данные наших с вами паспортов есть у кого угодно: у операторов, провайдеров, стоматологий, риелторов, вокзалов, отелей и магазинов.
Их нет в интернете, потому что мы все соблюдаем требования ФЗ 152 «О персональных данных». Если мы его нарушим и по нашей вине произойдет утечка — нам грозит штраф в несколько миллионов рублей, уголовные дела и сроки для отдельных сотрудников. Это совсем не смешно.
Сбербанк Онлайн, Госуслуги, Nopaper и другие сервисы делают нашу жизнь легче — больше не нужно стоять в очереди в банке, чтобы отправить перевод родителям. Не надо ехать в паспортный стол за справкой. Не надо нанимать курьера, чтобы отправить документы партнерам. Все это можно сделать с телефона, пока едешь в лифте.
Мир никогда не будет безопасен на все 100%. Но не позволяйте страху и мошенникам лишить вас удобных приложений. Соблюдайте правила цифровой гигиены, будьте внимательны и все у вас будет хорошо.
Как мошенники используют ваши паспортные данные
Информация, указанная в паспорте, должна храниться в тайне от сторонних лиц. Безопасности этих данных надо уделить пристальное внимание. Есть много способов мошенничества с паспортными данными. Если третьи лица завладеют конфиденциальной информацией, они используют ее в своих целях.
Как могут использоваться чужие паспортные данные
Мошенничество с паспортными данными – распространенное явление. Третьи лица, получившие доступ к данным вашего паспорта, могут использовать их для:
- оформления кредита;
- получения микрозаймов;
- проведения махинаций с недвижимостью;
- регистрации фирмы;
- получения дубликатов документов;
- управления кредитными счетами;
- регистрации в интернете;
- осуществления других незаконных действий.
Манипуляции мошенников с паспортными данными могут привести к серьезным негативным последствиям для владельца документа. Сегодня очень популярно оформление кредитов и займов. Злоумышленники крадут данные и по договоренности с сотрудниками финансовых организаций оформляют кредитные договоры. Обладатель паспорта даже не знает, что он стал заемщиком. Все выясняется гораздо позже, когда банк или МФО требует погасить задолженность.
Не менее популярно использование чужих паспортных данных для регистрации компании. Мошенники создают фирму, осуществляют противоправную деятельность и скрываются. Вся ответственность лежит на директоре, в качестве которого зарегистрирован гражданин, паспортные данные которого были украдены. Именно он будет отвечать за деятельность фирмы.
Как мошенники получают копию паспорта?
Приемов, с помощью которых злоумышленники крадут данные чужих паспортов, достаточно много. Когда вы делаете ксерокопию документа, то даже не подозреваете, что такую же копию может получить мошенник, который договорился с человеком, работающем на ксероксе, о покупке копии. Другой способ получения копии – договориться о ее передаче с работником салона мобильной связи или служащим банка. Даже в надежном банке может работать человек, имеющий сговор с преступниками.
Персональная информация может быть украдена в любом месте, где вы оставляете паспортные данные. Например, было обнаружено, что посетители МФЦ могут воспользоваться чужими документами, получив доступ не только к паспорту человека, но и к СНИЛС, банковским реквизитам и другой важной информации. Копии и данные хранятся на общем компьютере, которым может воспользоваться каждый желающий.
Копия паспорта может попасть к злоумышленникам с места вашей работы. Например, если уволенный сотрудник прихватит документы и продаст их мошенникам. Даже работник отдела кадров может использовать хранящиеся у него сведения в личных целях.
Таким образом, человек практически не защищен от кражи персональных данных, включая паспортные. После обнаружения мошеннических действий вы можете подать в суд. Разбирательство затянется на долгое время. Вам придется доказывать правоту, тратя много времени и сил.
Нельзя полностью защитить себя от кражи данных, если вы живете в современном мире высоких технологий. Но можно минимизировать риски. Старайтесь скрывать персональные данные от посторонних лиц. Не раскрывайте паспорт, если рядом стоит незнакомый человек.
Если сотрудник банка или другой организации делает копию вашего паспорта для оформления договора или регистрации, следите за каждым действием. Не давайте человеку уходить из вашего поля зрения с документом. Все операции должны выполняться при вас.
За незаконное применение персональных данных предусмотрена уголовная ответственность. Если вы подозреваете третье лицо в краже информации, сразу
