Как пятидолларовые фото и смартфон помогли украсть $76 млн

Простой доступ к deepfake-инструментам и бесконтрольный доступ к персональным данным пользователей увеличивают риски кражи идентичности. Как технологии помогают наживаться на персональных данных людей

Несколько фотографий высокого качества, купленных в Сети за $5, смартфон и приложение для создания deepfake-видео позволили группе злоумышленников из Китая обманным способом заполучить больше $76 млн. Члены этой преступной группы покупали в Сети фотографии высокого качества и ID-карты и использовали их для создания несуществующих личностей. На основе этих фото с помощью приложений для создания deepfake злоумышленники создали совершенную подделку и смогли пройти биометрическую идентификацию на официальных китайских сайтах, использующихся для регистрации бизнеса.

Для подтверждения личности нужно было записать видео через фронтальную камеру. Злоумышленники регистрировались на официальных сайтах с помощью специальных смартфонов, в которых после включения фронтальной камеры начинал воспроизводиться фейковый видеоролик, который смог обмануть систему распознавания.

После этого преступники массово регистрировали компании, имитировали их деятельность, выставляли счета и клиенты оплачивали их услуги. Таким способом им удалось заработать больше $76 млн. А подделку обнаружили сотрудники налогового ведомства, подозрение которых вызвали слишком большие счета ранее неизвестных компаний.

• Что такое deepfake и как с ним бороться? Технические ухищрения не помогут людям, если они верят в фейки, отвечающие их настроениям

Слишком доступные данные

Этот обман стал возможен благодаря существованию развитого рынка продажи персональных данных в китайском сегменте Сети, на котором можно купить и не только фотографии, но и документы, и просто данные пользователей.

История со злоумышленниками из Китая рискует стать реальностью и в других странах. Этому способствует большое количество данных о каждом человеке, доступное онлайн. Дополнительным «фактором успеха» таких историй являются частые случаи утечки персональной информации.

Активная онлайн-жизнь, использование социальных сервисов и публикация информации о себе, наряду с OSINT-инструментами (OSINT – open source intelligence, разведка на основе открытых источников) позволяют собрать очень много сведений практически о любом человеке. Сегодня существуют сервисы, позволяющие проанализировать активность пользователя в соцсетях или изучить использование его логина или e-mail на разных платформах (например, поиск по соцсетям Social Searcher, поиск по электронной почте и номеру телефона Epieos Toolsh, поиски по логинам). На основе этих данных можно собрать весьма полное онлайн-досье о человеке и использовать его, в том числе, с незаконными целями. А большое количество фотографий пользователей, доступное онлайн, может стать базой данных, необходимой для создания deepfake-подделок.

Отдельной проблемой для пользователей могут стать утечки данных, участившиеся в последнее время. В отчете Thales Data Threat Report упоминается о том, что 49% американских компаний столкнулись с утечкой данных в 2020 году. Авторы отчета не скрывают, что это число может быть и больше, ведь не секрет, что многие фирмы предпочитают скрывать такие истории. Четыре утечки 2020 года затронули более миллиарда записей.

В 2019 году было опубликовано в результате утечек более 160 млн записей с персональными данными американцев и число попавших в публичный интернет данных увеличивалось последние 10 лет.

Кроме утечек в результате взлома, не меньшей проблемой является веб-скрапинг – автоматическая агрегация данных онлай-сервисов. В начале апреля на протяжении одной недели в результате скрапинга были получены данные более 500 млн пользователей Facebook, более 500 млн пользователей LinkedIn и более миллиона юзеров Clubhouse. Все они были выставлены для продажи на одном из хакерских форумов.

В опубликованном наборе нет паролей или финансовых данных, однако там есть сведения, которые пользователь не может изменить, например, место и дата рождения, компания-работодатель, город проживания, номер телефона и электронный адрес, а также другие privacy-чувствительные данные. Эти данные о пользователях – это не скрытая информация, а представленная свободно в их профайлах. Просто в этом случае взломщики собрали ее и представили в удобном для просмотра, анализа и использования виде. А значит – для дальнейшего их применения, например, с целью построения цифрового портрета пользователя.

• Технологія глибинних фейків: як глибоко брехня може інкорпоруватися в наше життя?

Обратная сторона доступности данных

Большие объемы данных о пользователях злоумышленники могут использовать с разными целями. Например, эти данные можно использовать для организации персонализированных атак посредством электронной почты или SMS. Знания о пользователе помогают злоумышленникам создать персонализированные письма или сообщения-подделки, в которых может упоминаться имя, место работы жертвы или данные о ее близких. На них человек отреагирует с большей вероятностью, чем на обезличенное письмо с требованием заплатить вымогателю за якобы существующее порновидео с жертвой. Такие письма и сообщения могут стать более персонализированной версией всем хорошо известных звонков «Мама, я в полиции».

Еще одним следствием появления таких данных в руках злоумышленников может стать доксинг – так называется публикация конфиденциальной информации о человеке в публичном доступе без его согласия и последующее ее использование для шантажа и травли.

Жертвой доксинга недавно стала украинская журналистка Елена Дуб, бывшая сотрудника «Радио Свободы», которая, после публикации в открытом доступе ее номера телефона, пережила массированную SMS-атаку и вал сообщений во всех существующих месенджерах и приложениях, привязанных к номеру телефона.

Кража личности: новая угроза цифрового века

Китайские злоумышленники использовали чужие данные для создания поддельных личностей. Однако бесконтрольное распространение и свободный доступ к данным пользователей может привести и к другому, более опасному для обычного человека преступлению – краже личных данных или даже краже личности.

Суть кражи личных данных (Identity theft) состоит в том, что злоумышленник использует личную информацию другого человека без его разрешения для совершения мошенничества. Такими данными могут быть не только персональная информация – имя, паспортные данные, налоговый код, но и другие сведения, например, банковские реквизиты. Но иногда злоумышленники не только используют данные жертвы, но и выдают себя за нее. В этом случае человек становится жертвой еще одного, более опасного преступления — подделки личных данных (Identity fraud) или, говоря проще, кражи личности.

Такие угрозы как Identity theft и Identity fraud хорошо знакомы жителям тех стран, в которых давно и активно используются онлайн-идентификация и онлайн-услуги. Например, в США кража номера соцстрахования позволяет злоумышленникам воспользоваться медицинской помощью за счет жертвы или получить банковский кредит вместо нее.

Как видеофейки стали серьезной угрозой и объединили общество

Случаи кражи личности не являются редкостью. Эксперты подсчитали, что каждый третий американец хотя бы раз сталкивался с кражей личности, а 20% из них встречались с этой проблемой неоднократно.

Только в период пандемии американцы потеряли более $200 млн в результате кражи данных и мошенничеств, связанных с выплатами по безработице. А в целом такие мошенничества составляют более 70% всех киберпреступлений, связанных с Covid-19.

Жертва одной из наиболее показательных историй кражи личности стал редактор Bloomberg Дрю Армстронг. Еще в 2013 году злоумышленники получили доступ к его персональным данным – узнали номер его соцстрахования и подделали водительские права, основной ID-документ в США. На его имя открывались счета в разных банках, регистрировались бизнесы. Хотя злоумышленника, совершившего это преступление, через четыре года арестовали, еще два года у жертвы этого Identity fraud-мошенничества ушло на восстановление своего кредитного рейтинга.

Дрю еще долго приходилось быть жертвой слишком тщательного досмотра в аэропортах – более часа на паспортном контроле при каждом въезде в США. Всего же мужчине понадобилось для возвращения к обычной жизни шесть лет. Сложности были связаны с необходимостью заполнения большого количества документов в банках и других организациях, в которых большинство специалистов еще не умеют решать подобного рода проблемы. Не меньшей проблемой стало то, что с именем Дрю Армстронга было связано мошенничество, за которое предусмотрено уголовное наказание, хотя на самом деле оно было совершено против него самого.

• Почему главным распространителем фейков являемся мы сами

Цифровое будущее и растущие риски Identity-угроз

Кражи личности и доксинг-атаки – угрозы дня сегодняшнего – превращаются если не в новую норму, то в весьма обыденные события. Еще в 2018 году были зафиксированы случаи оформления кредитов, взятых без ведома получателей, на копии документов, полученные из системы Prozorro. Да и контроль над персональными данными для украинцев является давней проблемой благодаря существованию Telegram-каналов, занимающихся продажей данных. История с утечкой данных желающих вакцинироваться как лидеры мнений — это совсем новая, но не последняя история о том, как в Украине принято обращаться с пользовательскими данными.

Поэтому такие преступления как кража личных данных и кража личности, равно как и создание deepfake-видео с ничего не подозревающими жертвами угрожают и украинцам. Полностью защититься от таких угроз в нынешних условиях «светлого цифрового будущего» невозможно. А вот снизить риски таких историй помогут несколько простых шагов. Среди них – периодическая проверка информации о себе в свободном доступе, умеренная публикация персональных данных, в том числе в соцсетях и знания правил цифровой безопасности.

Автор:  Надежда Баловсяк; ИТ-журналист, аналитик; DSnews.ua