Самая простая схема кражи персональных данных (рассказ)

На лекциях по безопасности личных данных я много времени уделяю вопросам неподготовленности некоторых граждан для противодействия самым простым мошенническим схемам.

Отдельно на семинарских занятиях обсуждаются вопросы чистоты информационной работы с источниками и исследования цифровых следов в информационных системах.

После утверждения о том, что самым активным нарушителем личной безопасности является сам владелец личных данных, один из слушателей задал вопрос: "Я почти нигде не сообщаю информации о себе и зарегистрирован в сетях под псевдонимом, как с помощью социальной инженерии можно похитить мои персональные данные, если я игнорирую происки жуликов?"

Я предположил, что молодой человек ошибается говоря о том, что его данные не указаны в Интернете. Молодой человек настаивал и я предложил ему предоставить какие-нибудь сведения для того, чтобы я их проверил по своим каналам в сети прямо сейчас через свой ноутбук.

Молодой человек согласился. По моему распоряжению он отключил свой мобильный телефон, написал на листе бумаги ФИО, номер телефона, почту, адрес, образование, сложил лист вдвое текстом внутрь и передал его мне, чтобы я провел поиск дополнительных к этому списку данных.

Я развернул лист и положил его на стол рядом с ноутбуком. Всем своим видом демонстрируя сосредоточенность, я стал энергично стучать по клавиатуре, имитируя процесс взлома разных реестров. В аудитории наступила полная тишина. Всем было интересно узнать результаты преподавательского взлома. Через некоторое время я печально вздохнул и сообщил смелому экспериментатору, что данных о нём действительно нельзя найти в Интернете.

Этот молодой человек буквально засветился торжеством победы и аурой своей значительности. Все приняли расслабленные позы и выдохнули будто бы прозвучала команда "Вольно". Я понял, что нужно начать объяснения.

- Сейчас в вашем присутствии, - начал говорить я. - У смелого молодого человека злоумышленник похитил персональные данные под предлогом поиска персональных цифровых следов в неконкретизированном источнике под названием Интернет.

Тишина в аудитории была восстановлена. Только молодой экспериментатор возмутился: "Я же вам для эксперимента эти сведения предоставил! Вы же не имеете права их использовать дальше!"

- А кто я в этой ситуации?

- спросил я.

- Преподаватель, - неуверенно ответил молодой человек.

- Вы хотите сказать, - начал разъяснения я. - Что человек проводящий семинарские занятия, который получил от вас персональные данные для того, чтобы с их помощью узнать дополнительные сведения о вас в закрытых источниках, которым вы никаких сведений не предоставляли является просто преподавателем?

Аудитория молчала.

- В вашем присутствии я совершил действия с возможными признаками информационного преступления, - я сделал небольшую паузу и продолжил. - Ваши персональные данные могли быть переданы моим подельникам, которые могли использовать их в противоправных целях, а я бы обеспечивал им ваше присутствие здесь под моим наблюдением с выключенным мобильным телефоном, который вы отключили по моей просьбе.

В аудитории стали раздаваться смешки, кто-то хлопнул в ладоши.

- Обратите внимание на характерный признак атаки методом социального шпионажа: жертва сама предоставляет необходимые данные, ведь таким же способом я мог попросить для эксперимента данные банковской карты и некоторое время атакованный может не подозревать о совершении информационной атаки, ведь я мог не рассказывать вам о своих действиях.

- А почему вы отключили сетевой кабель от ноутбука перед фальшивым взломом? - задал вопрос один слушатель.

- Вы очень внимательны, - ответил я. - Думал, что это будет незаметно. Мне нужно было обеспечить доказательствами свою невиновность, ноутбук действительно был отключён от сети и я не мог совершать с его помощью никаких сетевых запросов, законных или незаконных. Более того я попрошу сейчас нашего смельчака подойти к моему столу и забрать лист со своими персональными данными. Пусть он засвидетельствует, что лист лежит текстом вниз - я его так развернул и не видел тех данных, ввод которых в компьютер имитировал при помощи клавиатуры. Так, что молодой человек, если вы снова сложите этот лист текстом внутрь, то я так и не узнаю, что вы там написали для эксперимента.

В аудитории снова засмеялись.

- Только что я проиллюстрировал, с помощью талантливых помощников, самый простой способ преступного получения данных с использованием техник социальной инженерии. До следующего занятия нужно решить задачи из методички модуль номер ...

Вот в таком живом формате иногда происходят теоретические занятия по информационной безопасности.