«Я что, дурак — свой паспорт сканировать»: как доверить приложению персональные данные и не вляпаться в неприятности
Куча приложений знает ваш номер телефона, имя, фамилию и адрес. Самым продвинутым нужно даже больше — например, данные вашего паспорта. Если приложение выпускает вам электронную подпись, связывает вас с каким-то государственным ведомством, помогает купить машину — логично, что ему нужны эти данные. Но безопасно ли их давать?
Кратко: не важно, отсканируете ли вы свой паспорт. Ваш телефон УЖЕ знает о вас слишком много. Единственный способ защитить себя — это соблюдать правила «цифровой гигиены»: скачивать приложения только из официальных магазинов, использовать двухфакторную аутентификацию и никогда не отвечать на подозрительные входящие звонки от «банков».
А теперь подробно.
Что хранит ваш смартфон и чем это опасно
Информацию о вас: ФИО, дату рождения, телефон и email, паспортные данные в альбоме вашего телефона. Если получить эти данные, можно: оформить на вас кредит, подписать вас на рекламные рассылки, и даже оформить себе КЭП и продать вашу квартиру.
Доступ к государственным сервисам: приложение Госуслуг.
Если вы ставите простейший логин/пароль и пренебрегаете двухфакторной аутентификацией — за вас могут получить любые государственные услуги, и не будет никакой гарантии, что это сделали именно вы.
Доступ к вашим деньгам: мобильные и интернет-банки, электронные кошельки, google pay/apple pay, данные карт.
Если его перехватить, можно: украсть ваши деньги, делать покупки за ваш счет, оформить на вас кредит и сразу похитить кредитные деньги.
Доступ к контактам и перепискам: телефонные номера, переписки в Whatsapp/Телеграме и соцсетях.Если его получить, можно: шантажировать вас содержимым ваших чатов, вымогать деньги у ваших близких, просить в долг от вашего имени.
Личные фото: фото в вашей квартире и во дворе, на работе, личные скриншоты, интимные фото. Если их получить, можно: найти материал для шантажа, опубликовать личные снимки в сети, использовать ваши фотографии для оформления аккаунтов мошенников.
Как мошенники могут получить эти данные
Технологии помогли мошенникам создать несколько новых схем, но самые популярные из них по-прежнему основаны на обычном обмане, манипуляции и страхе.
Разберем все способы, которыми у вас могут украсть данные и как-то вам навредить, используя ваш смартфон.
Социальные способы: обмануть вас, чтобы вы сами предоставили нужные доступы или отдали деньги
Позвонить вам от имени банка. Даже в банках бывают утечки, и тогда вам начинают звонить якобы «сотрудники службы безопасности», которые знают ваше ФИО и где вы держите деньги.
Разговор пойдет о том, что на вас берут кредит, вы только что совершили подозрительную операцию и пытаетесь перевести кому-то 15 тысяч рублей, вам меняют телефонный номер, привязанный к мобильному банку. Или другой предлог, из-за которого вы должны назвать код из смс-сообщения, кодовое слово, паспортные данные или что-нибудь еще.
Всё, что нужно знать об этом способе обмана — банки не решают такие вопросы по телефону. Если они заметят что-то подозрительное — они заблокируют счет и подождут, пока вы сами к ним придете.
Написать вам в мессенджерах/соцсетях и выманить деньги. Частый сценарий такой атаки — кто-то взламывает аккаунт вашего друга, пишет вам от его имени и просит срочно занять ему в долг.
Мошенники изучают переписку и используют личные факты, чтобы их обман выглядел убедительно — если друг жаловался вам на задержку зарплаты или неадекватного хозяина квартиры, мошенник использует эти темы как предлог для займа.
Технические способы: взломать ваш телефон и завладеть доступами
Мошенники заражают файл или приложение, и распространяют его под видом чего-то полезного. Ваш телефон может заразиться, когда вы:
- Устанавливаете приложение из неофициальных магазинов.
- Реже, но возможно — устанавливаете зараженное приложение из официальных магазинов. Как только служба безопасности магазина это выявит, вам предложат обновиться на безопасную версию.
- Переходите по ссылкам из подозрительных смс и писем.
- Скачиваете и просматриваете вложения из электронной почты.
Большинство исследовательских компаний выделяют следующие виды угроз:
Adware и кликеры. В основном они просто показывают вам неинтересную рекламу и генерируют искусственные переходы на сайты рекламодателей. Особой опасности они не представляют, просто бесят.
Spyware. ПО крадёт персональные данные и следит за своим носителем. Может перехватывать смс или push-коды подтверждения операций.
Дроппер. Загрузчик других вредоносных приложений. Может завезти к вам на устройство любой вирус, троянец и прочую гадость.
Вирус. Выводит из строя конкретное приложение или одну из функций устройства, шифрует девайс или вешает на главный экран порнобаннер и просит выкуп в биткоинах.
Что вы можете сделать, чтобы защитить себя
Используйте VPN при подключении к общедоступным сетям Wi-FI.
Скачивайте приложения только из официальных магазинов.
- Регулярно устанавливайте обновления ОС.
Используйте двухфакторную аутентификацию. Это защита, в которой вы для входа в систему сначала вводите логин и пароль, а потом еще подтверждаете кодом из смс или push-уведомления, что это правда вы. Приложения сами предложат вам ее подключить.
- Не давайте избыточные разрешения приложениям: приложению «Фонарик» не нужен доступ к фотографиям и геолокации.
Не давайте телефон в руки незнакомым людям и неофициальным экспертам, не предоставляйте удаленный доступ к телефону недоверенному источнику, например, сотруднику банка по телефону.
- Не получайте права суперпользователя на своём устройстве: это root для Android и Jailbreak для iPhone. Обычно такие права нужны для установки альтернативной прошивки, которая заблокирует официальные обновления ОС.
И, конечно, всегда оставайтесь осмотрительным. Мошенники создают иллюзию срочности и не дают подумать — сделайте паузу, минута на размышления может вас уберечь.
Когда вам звонят из банка или пишут от чьего-то имени — просто перестаньте с ними разговаривать. Позвоните в банк сами по номеру на сайте, и если подозреваете, что угроза реальна — сходите в ближайшее отделение. Также и с другом — если кто-то просит у вас в долг, позвоните ему или напишите в другой чат.
Каким приложениям можно доверять
Что касается данных внутри приложения — чтобы понять, стоит ли доверять сервису какую-то информацию, вам нужно понимать, зачем он ее запрашивает.
Если вы хотите поиграть в Angry Birds, а у вас просят телефон, адрес и номер банковской карточки — это странно. Вы не приглашаете их к вам прийти, вы не просите их вам звонить, и игра бесплатная. А вот если вы делаете заказ в приложении H&M — то это нормально. Все это нужно, чтобы доставить заказ и прислать вам чеки.
Если вы пытаетесь создать электронную подпись, работать с документами, заключить договор или связаться с каким-то государственным ведомством — логично, что вам потребуется паспорт.
Например, в Nopaper. Если бы мы предлагали вам выпустить усиленную электронную подпись и обещали, что вы сможете подписывать документы, что все это будет юридически значимо и безопасно, и при этом не попросили ваш паспорт — мы были бы очень странными ребятами. Тогда вам бы стоило держаться от нас подальше.
Мы обязаны идентифицировать человека, которому выдаем электронную подпись.
Для этого мы проверяем паспорт — мы же не просто просим скан и кладем его в архив. Мы проверяем его по базе МВД — что такой человек правда существует, это настоящий действующий паспорт, он не украден и не утерян. Еще мы проверяем самого человека — просим пройти Liveness-тест. Он позволяет определить, что перед камерой находится живой человек, а не видео, манекен или маска. И что это тот самый человек, что и в паспорте.
Это требование и закона, и здравого смысла. Иначе электронные подписи ничего бы не значили.
Как Nopaper защищает ваши данные от других приложений, вирусов и утечек
Мы шифруем все ваши данные и передаем их на сервер по защищенному каналу. Сам процесс подписания документов построен на базе мобильной электронной подписи, без использования уязвимых каналов вроде СМС или push-уведомлений. Это безопаснее, потому что никто не может обмануть вас и выманить какой-нибудь код, чтобы использовать вашу подпись.
Само фото вашего паспорта Nopaper нигде не хранит — ни в памяти телефона, ни внутри приложения. Мы используем его только для подтверждения вашей личности, когда идентификация пройдена — фото удаляется.
Как верить этой статье, ведь Nopaper — тоже приложение. Вдруг именно мы и хотим вас обмануть?
Этой статьей мы пытались объяснить, что если бы мы хотели вас обмануть — мы нашли бы путь куда проще.
Мы разработали криптографическую технологию мобильной подписи, создали сервис обмена документами, продумали сотни сценариев, чтобы Nopaper работал и у корпораций, и у предпринимателей, и у обычных людей. Изучили всю законодательную базу, собрали команду. Слишком много усилий, чтобы получить скан паспорта.
Ведь если посмотреть правде в глаза, данные наших с вами паспортов есть у кого угодно: у операторов, провайдеров, стоматологий, риелторов, вокзалов, отелей и магазинов.
Их нет в интернете, потому что мы все соблюдаем требования ФЗ 152 «О персональных данных». Если мы его нарушим и по нашей вине произойдет утечка — нам грозит штраф в несколько миллионов рублей, уголовные дела и сроки для отдельных сотрудников. Это совсем не смешно.
Сбербанк Онлайн, Госуслуги, Nopaper и другие сервисы делают нашу жизнь легче — больше не нужно стоять в очереди в банке, чтобы отправить перевод родителям. Не надо ехать в паспортный стол за справкой. Не надо нанимать курьера, чтобы отправить документы партнерам. Все это можно сделать с телефона, пока едешь в лифте.
Мир никогда не будет безопасен на все 100%. Но не позволяйте страху и мошенникам лишить вас удобных приложений. Соблюдайте правила цифровой гигиены, будьте внимательны и все у вас будет хорошо.