В цифровом мире даже «человек-невидимка» с VPN и шифрованной почтой оставляет за собой «хлебные крошки», которые могут к реальной персоне. А уж за обычными пользователями, которые не обременяют себя особой цифровой осторожностью и гигиеной, тянется яркий след, который сигналит и привлекает киберпреступников всех мастей. Борис Мартынюк, аналитик департамента Threat Intelligence компании F.A.C.C.T., на простом примере с регистрацией расскажет, как формируется цифровой след, почему этого не избежать, и как потом используют персональные данные различные онлайн-сервисы, исследователи безопасности и, конечно же, злоумышленники.
В зоне риска: как собирают данные
Каждого, кто сомневается в вероятности попасть в чужое поле зрения, придется огорчить — вы уже в нем. Как так вышло? Критерии выбора объектов для сбора данных зачастую обезличены (если это не целевая атака, конечно) и предельно просты: достаточно быть связанным с тем, кто/что представляет интерес в финансовом или информационном плане.
В общем, даже не представляя прямой выгоды для атакующих, пользователи все равно могут находиться в зоне риска. Секретарь, бухгалтер, системный администратор, даже сосед по квартире могут быть лишь звеном в цепи, по которой пройдет атака на компанию и конкретную персону.
Регистрируясь на форуме о подледной рыбалке, создавая аккаунт в World of Tanks или на онлайн-кинотеатре, заказывая сковородку-гриль на маркетплейсе, пользователи оставляют довольно подробные сведения о себе:
- ФИО
- Телефон
- Электронная почта
- Никнейм
- Данные банковской карты
- Адрес регистрации/проживания
- Логин/пароль (очень часто они совпадают для различных аккаунтов!)
Зачастую человек даже не придает значения полям при регистрации профиля, ведь их заполнение давно вошло в привычку и уже доведено до автоматизма.
Интернет-площадкам эта информация позволяет персонализировать рекомендации, адаптируя их под интересы конкретного пользователя, показывать ему рекламу подходящих товаров, находить одноклассников-одногруппников, игроков и поддерживать с ними связь в сети.
Разумеется, и правоохранительные органы, и исследователи, занимающиеся разведкой по открытым источникам, и злоумышленники ведут свои собственные базы данных. Зачастую они формируются посредством сбора данных из:
- Открытых источников, например, соцсетей или публикаций в СМИ, постов в блогах и на форумах.
- Утечек баз данных компаний.
Невидимые миру связи
Что связывает Telegram, Gmail и, например, Instagram? Пользователи. Каждый человек использует несколько сервисов, и именно он объединяет цифровые профили разных площадок. Вот несколько пунктов, которые зачастую присутствуют в каждом сервисе:
- Никнейм
- Имя пользователя
- Номер телефона
- Электронная почта
- Аватар
Пересечение по любому из этих пунктов позволяет ассоциировать аккаунты между собой, пополнив цифровой профиль объекта. Иногда в утечках данных компаний могут также храниться сведения о паролях пользователей, повезет если они будут хэшированы. Но даже по таким данным иногда можно установить связь между разными аккаунтами, если пользователь использует одинаковые пароли.
Хэш (от англ. hash) – идентификатор информации, полученный в результате преобразования исходных данных. Используется для проверки аутентификационных данных и позволяет избежать компрометации пароля.
На скриншоте ниже показан пример графа сетевой инфраструктуры, демонстрирующий взаимосвязи между различными почтовыми ящиками, телефонными номерами, аккаунтами в мессенджерах и соцсетеях, причем даже теми, что ведут от лица выдуманного персонажа.
Анализ активности на теневых хакерских форумах позволяет создать аналогичный цифровой профиль для псевдонимов злоумышленника, а в случае нарушении им правил цифровой гигиены и выйти на его реальную личность. Исследователи собирают данные для своевременного реагирования на инциденты, атрибуции атак и оценки ландшафта киберугроз. Этот инструмент исследователи используют исключительно для борьбы с киберпреступностью, но и сами злоумышленники активно применяют методы разведки по открытым источникам (OSINT), покупают слитые базы.
Какой итог? Даже минимизация присутствия в сети не спасает от риска компрометации. Утечки информации могут раскрыть персональные данные даже самого аккуратного пользователя. Поэтому стоит внимательнее относиться к тому, какие данные вы оставляете в сети.
В следующих постах мы подробно расскажем о правилах цифровой гигиены, а пока несколько простых рекомендаций:
- Используйте разные электронные адреса для разных групп сервисов.
- Не допускайте повторения паролей и регулярно их обновляйте.
- Разделяйте рабочее и личное пространство: избегайте пересечений инфраструктуры аккаунтов, чтобы не привлекать дополнительный интерес со стороны злоумышленников и не поставить под удар компанию и коллег.