Как пятидолларовые фото и смартфон помогли украсть $76 млн

Как пятидолларовые фото и смартфон помогли украсть $76 млн
Как пятидолларовые фото и смартфон помогли украсть $76 млн
Простой доступ к deepfake-инструментам и бесконтрольный доступ к персональным данным пользователей увеличивают риски кражи идентичности. Как технологии помогают наживаться на персональных данных людей

Несколько фотографий высокого качества, купленных в Сети за $5, смартфон и приложение для создания deepfake-видео позволили группе злоумышленников из Китая обманным способом заполучить больше $76 млн. Члены этой преступной группы покупали в Сети фотографии высокого качества и ID-карты и использовали их для создания несуществующих личностей. На основе этих фото с помощью приложений для создания deepfake злоумышленники создали совершенную подделку и смогли пройти биометрическую идентификацию на официальных китайских сайтах, использующихся для регистрации бизнеса.

Для подтверждения личности нужно было записать видео через фронтальную камеру. Злоумышленники регистрировались на официальных сайтах с помощью специальных смартфонов, в которых после включения фронтальной камеры начинал воспроизводиться фейковый видеоролик, который смог обмануть систему распознавания.

После этого преступники массово регистрировали компании, имитировали их деятельность, выставляли счета и клиенты оплачивали их услуги. Таким способом им удалось заработать больше $76 млн. А подделку обнаружили сотрудники налогового ведомства, подозрение которых вызвали слишком большие счета ранее неизвестных компаний.

Слишком доступные данные

Этот обман стал возможен благодаря существованию развитого рынка продажи персональных данных в китайском сегменте Сети, на котором можно купить и не только фотографии, но и документы, и просто данные пользователей.

История со злоумышленниками из Китая рискует стать реальностью и в других странах. Этому способствует большое количество данных о каждом человеке, доступное онлайн. Дополнительным «фактором успеха» таких историй являются частые случаи утечки персональной информации.

Активная онлайн-жизнь, использование социальных сервисов и публикация информации о себе, наряду с OSINT-инструментами (OSINT – open source intelligence, разведка на основе открытых источников) позволяют собрать очень много сведений практически о любом человеке. Сегодня существуют сервисы, позволяющие проанализировать активность пользователя в соцсетях или изучить использование его логина или e-mail на разных платформах (например, поиск по соцсетям Social Searcher, поиск по электронной почте и номеру телефона Epieos Toolsh, поиски по логинам). На основе этих данных можно собрать весьма полное онлайн-досье о человеке и использовать его, в том числе, с незаконными целями. А большое количество фотографий пользователей, доступное онлайн, может стать базой данных, необходимой для создания deepfake-подделок.

Отдельной проблемой для пользователей могут стать утечки данных, участившиеся в последнее время. В отчете Thales Data Threat Report упоминается о том, что 49% американских компаний столкнулись с утечкой данных в 2020 году. Авторы отчета не скрывают, что это число может быть и больше, ведь не секрет, что многие фирмы предпочитают скрывать такие истории. Четыре утечки 2020 года затронули более миллиарда записей.

В 2019 году было опубликовано в результате утечек более 160 млн записей с персональными данными американцев и число попавших в публичный интернет данных увеличивалось последние 10 лет.

Кроме утечек в результате взлома, не меньшей проблемой является веб-скрапинг – автоматическая агрегация данных онлай-сервисов. В начале апреля на протяжении одной недели в результате скрапинга были получены данные более 500 млн пользователей Facebook, более 500 млн пользователей LinkedIn и более миллиона юзеров Clubhouse. Все они были выставлены для продажи на одном из хакерских форумов.

В опубликованном наборе нет паролей или финансовых данных, однако там есть сведения, которые пользователь не может изменить, например, место и дата рождения, компания-работодатель, город проживания, номер телефона и электронный адрес, а также другие privacy-чувствительные данные. Эти данные о пользователях – это не скрытая информация, а представленная свободно в их профайлах. Просто в этом случае взломщики собрали ее и представили в удобном для просмотра, анализа и использования виде. А значит – для дальнейшего их применения, например, с целью построения цифрового портрета пользователя.

Обратная сторона доступности данных

Большие объемы данных о пользователях злоумышленники могут использовать с разными целями. Например, эти данные можно использовать для организации персонализированных атак посредством электронной почты или SMS. Знания о пользователе помогают злоумышленникам создать персонализированные письма или сообщения-подделки, в которых может упоминаться имя, место работы жертвы или данные о ее близких. На них человек отреагирует с большей вероятностью, чем на обезличенное письмо с требованием заплатить вымогателю за якобы существующее порновидео с жертвой. Такие письма и сообщения могут стать более персонализированной версией всем хорошо известных звонков «Мама, я в полиции».

Еще одним следствием появления таких данных в руках злоумышленников может стать доксинг – так называется публикация конфиденциальной информации о человеке в публичном доступе без его согласия и последующее ее использование для шантажа и травли.

Новости по теме: Ливинский Павел Анатольевич: Десятки квартир и украденные миллионы

Жертвой доксинга недавно стала украинская журналистка Елена Дуб, бывшая сотрудника «Радио Свободы», которая, после публикации в открытом доступе ее номера телефона, пережила массированную SMS-атаку и вал сообщений во всех существующих месенджерах и приложениях, привязанных к номеру телефона.

Кража личности: новая угроза цифрового века

 qddiqtrirhiqzxvls 

Китайские злоумышленники использовали чужие данные для создания поддельных личностей. Однако бесконтрольное распространение и свободный доступ к данным пользователей может привести и к другому, более опасному для обычного человека преступлению – краже личных данных или даже краже личности.

Суть кражи личных данных (Identity theft) состоит в том, что злоумышленник использует личную информацию другого человека без его разрешения для совершения мошенничества. Такими данными могут быть не только персональная информация – имя, паспортные данные, налоговый код, но и другие сведения, например, банковские реквизиты. Но иногда злоумышленники не только используют данные жертвы, но и выдают себя за нее. В этом случае человек становится жертвой еще одного, более опасного преступления — подделки личных данных (Identity fraud) или, говоря проще, кражи личности.

Такие угрозы как Identity theft и Identity fraud хорошо знакомы жителям тех стран, в которых давно и активно используются онлайн-идентификация и онлайн-услуги. Например, в США кража номера соцстрахования позволяет злоумышленникам воспользоваться медицинской помощью за счет жертвы или получить банковский кредит вместо нее.

Случаи кражи личности не являются редкостью. Эксперты подсчитали, что каждый третий американец хотя бы раз сталкивался с кражей личности, а 20% из них встречались с этой проблемой неоднократно.

Только в период пандемии американцы потеряли более $200 млн в результате кражи данных и мошенничеств, связанных с выплатами по безработице. А в целом такие мошенничества составляют более 70% всех киберпреступлений, связанных с Covid-19.

Жертва одной из наиболее показательных историй кражи личности стал редактор Bloomberg Дрю Армстронг. Еще в 2013 году злоумышленники получили доступ к его персональным данным – узнали номер его соцстрахования и подделали водительские права, основной ID-документ в США. На его имя открывались счета в разных банках, регистрировались бизнесы. Хотя злоумышленника, совершившего это преступление, через четыре года арестовали, еще два года у жертвы этого Identity fraud-мошенничества ушло на восстановление своего кредитного рейтинга.

Дрю еще долго приходилось быть жертвой слишком тщательного досмотра в аэропортах – более часа на паспортном контроле при каждом въезде в США. Всего же мужчине понадобилось для возвращения к обычной жизни шесть лет. Сложности были связаны с необходимостью заполнения большого количества документов в банках и других организациях, в которых большинство специалистов еще не умеют решать подобного рода проблемы. Не меньшей проблемой стало то, что с именем Дрю Армстронга было связано мошенничество, за которое предусмотрено уголовное наказание, хотя на самом деле оно было совершено против него самого.

Цифровое будущее и растущие риски Identity-угроз

Кражи личности и доксинг-атаки – угрозы дня сегодняшнего – превращаются если не в новую норму, то в весьма обыденные события. Еще в 2018 году были зафиксированы случаи оформления кредитов, взятых без ведома получателей, на копии документов, полученные из системы Prozorro. Да и контроль над персональными данными для украинцев является давней проблемой благодаря существованию Telegram-каналов, занимающихся продажей данных. История с утечкой данных желающих вакцинироваться как лидеры мнений — это совсем новая, но не последняя история о том, как в Украине принято обращаться с пользовательскими данными.

Поэтому такие преступления как кража личных данных и кража личности, равно как и создание deepfake-видео с ничего не подозревающими жертвами угрожают и украинцам. Полностью защититься от таких угроз в нынешних условиях «светлого цифрового будущего» невозможно. А вот снизить риски таких историй помогут несколько простых шагов. Среди них – периодическая проверка информации о себе в свободном доступе, умеренная публикация персональных данных, в том числе в соцсетях и знания правил цифровой безопасности.

Автор:  Надежда Баловсяк; ИТ-журналист, аналитик; DSnews.ua


Распечатать
27 августа 2025 В Дагестане зарегистрировали землетрясение с магнитудой 6,0
27 августа 2025 Трамп угрожает «суровыми действиями» против России, если сделка по Украине сорвется
27 августа 2025 Казахстанский «Кайрат» во второй раз в истории пробился в групповой этап Лиги Чемпионов
26 августа 2025 Игорь Шувалов инвестирует 2,2 миллиарда рублей в гостиницу широко известного Александр Клячина
26 августа 2025 Shadow schemes of casino boss Sergey Tokarev, or how “front man” Mikhail Zborovsky with student debt became the owner of Cosmobet
26 августа 2025 Польша высылает украинцев после выступления Макса Коржа
26 августа 2025 В Адыгее «защитники традиций» избили женщину из-за розовых волос дочери
26 августа 2025 «Поднять знамена»: в Англии разгорается спор вокруг государственного флага и вопроса идентичности
26 августа 2025 Как белорусское оружие способствовало атакам Азербайджана на Армению
26 августа 2025 Секретарь правящей партии Грузии Каха Каладзе обвинил Запад в давлении ради открытия «второго фронта»
26 августа 2025 Зеленский предложил Турцию и государства Персидского залива в качестве площадки для переговоров с Путиным
26 августа 2025 «Вьетнамский мясник»: пользователи обнаружили убийцу из снафф-видео по облицовке и палочкам
26 августа 2025 Европейская «коалиция желающих» готова разместить войска в Украине в качестве третьей линии защиты
26 августа 2025 США собираются урегулировать конфликт в Украине до конца 2025 года, - Стивен Уиткофф
26 августа 2025 Россия повысит экспорт нефти в результате ударов по нефтеперерабатывающим заводам
26 августа 2025 Главу краснодарского ДОСААФ Бориса Левицкого привлекли к судебной ответственности за махинации с землей
26 августа 2025 Следователи провели обыски у экс-депутата Руслана Маноконова по подозрению в похищении человека и уничтожении имущества
26 августа 2025 Провели обыск у «Француза»: представители силовых структур пришли к основателю WWFC Владимиру Тесле по подозрению в мошенничестве
26 августа 2025 Organizations advocating for press freedom denounce the murder of journalists in the Gaza hospital attack
26 августа 2025 В России предложили обязать студентов-медиков отработать три года после окончания учёбы