Крадіжка особистих даних
Крадіжка особистих даних, крадіжка особистості, або крадіжка ідентичності — викрадення особистих даних іншої особи, як-от ім'я, ідентифікаційний номер або номер кредитної картки, без дозволу, для вчинення шахрайства чи інших злочинів. Термін крадіжка особистих даних був введений у 1964 році[1]. З того часу визначення крадіжки особистих даних було юридично визначено як у Великій Британії, так і в США як крадіжка інформації, що ідентифікує особу. При вчиненні крадіжки особистих даних навмисно використовується чужа особа як спосіб отримати фінансову вигоду, кредит чи інші вигоди[2]. Особа, чиї дані було вкрадено, може зазнати несприятливих наслідків[3], особливо якщо її неправдиво притягнуть до відповідальності за дії злочинця. Особиста інформація, як правило, включає ім'я людини, дату народження, номер соціального страхування, номер водійського посвідчення, номер банківського рахунку або кредитної картки, PIN-коди, електронні підписи, відбитки пальців, паролі або будь-яку іншу інформацію, яка може бути використана для доступу до фінансових ресурсів особи[4].
Такі джерела, як неприбуткова організація Identity Theft Resource Center[5] поділяють крадіжки особистих даних на п'ять категорій:
- Злочинна крадіжка особи (злочинець видає себе за іншу особу під час затримання за злочин)
- Крадіжка фінансових даних (використання особистих даних іншої особи для отримання кредиту, товарів і послуг)
- Клонування ідентичності (використання інформації про іншу людину для підтвердження її особи в повсякденному житті)
- Крадіжка медичних даних (використання особистих даних іншої особи для отримання медичної допомоги або ліків)
- Крадіжка особистості дитини (особа неповнолітнього використовується іншою особою для особистої вигоди самозванця).
Крадіжка особистих даних може бути використана для сприяння або фінансування інших злочинів, зокрема нелегальної імміграції, тероризму, фішингу та шпигунства. Бувають випадки клонування особистих даних для атаки на платіжні системи, включаючи онлайн-банкінги та медичне страхування[6].
Найпоширеніший вид крадіжки особистих даних пов'язаний з фінансами. Крадіжка фінансових даних включає отримання кредитів, позик, товарів і послуг, видаючи себе за когось іншого[7].
У цій ситуації зловмисник видає себе за когось іншого, щоб приховати свою справжню особу. Прикладами є нелегальні іммігранти, які приховують свій нелегальний статус, люди, які ховаються від кредиторів чи інших осіб, а також ті, хто просто хоче стати «анонімним» з особистих причин. Іншим прикладом є «позери», або самозванці, — люди, які використовують чужі фотографії та інформацію на сайтах соціальних мереж. Позери здебільшого створюють правдоподібні сторінки за участю друзів реальної людини, яку вони копіюють. На відміну від викрадення особистих даних з метою отримання кредиту, яке зазвичай виявляється, коли борги зростають, клонування та приховування може тривати нескінченно довго без виявлення, особливо якщо злодій може отримати фальшиві облікові дані, щоб викликати довіру до сторінки в соціальній мережі.
Зловмисники зазвичай отримують і використовують особисту інформацію про людей або різні облікові дані, які вони використовують для автентифікації, щоб видати себе за них. Наприклад:
- Пошук особистої інформації в смітті
- Отримання особистих даних з ІТ-обладнання та носіїв інформації, включаючи ПК, сервери, КПК, мобільні телефони, USB-накопичувачі та жорсткі диски, які були необережно утилізовані у громадських смітниках, віддані або продані без належної обробки.
- Використання державних реєстрів про окремих громадян, таких як списки виборців[8]
- Крадіжка банківських або кредитних карток, ідентифікаційних карток, паспортів, токенів автентифікації, зазвичай шляхом кишенькової крадіжки, злому або крадіжки пошти
- Загальновідомі схеми опитування, які пропонують перевірку облікового запису, наприклад «Яке дівоче прізвище вашої матері?», «Яка була ваша перша модель автомобіля?» або «Як звали вашу першу домашню тварину?».
- Збирання інформації з банківських або кредитних карток (кардинг) за допомогою портативних пристроїв для зчитування карток і створення карток-клонів
- Використання «безконтактних» зчитувачів кредитних карток для бездротового отримання даних із паспортів із підтримкою RFID
- Підглядання та підслуховування (Shoulder-Surfing) передбачає участь особи, яка непомітно спостерігає або чує, як інші надають цінну особисту інформацію. Особливо це робиться в місцях скупчення людей, оскільки відносно легко спостерігати за кимось, коли вони заповнюють форми, вводять PIN-коди в банкоматах або навіть вводять паролі на смартфонах.
- Викрадення особистої інформації з комп'ютерів за допомогою недоліків у безпеці вебпереглядача або зловмисного програмного забезпечення, наприклад троянських програм для реєстрації натискань клавіш або інших форм шпигунського програмного забезпечення.
- Злом комп'ютерних мереж, систем і баз даних для отримання персональних даних, часто у великих кількостях
- Використання витоків даних, які призводять до публікації або більш обмеженого розкриття особистої інформації, такої як імена, адреси, номер соціального страхування або номери кредитних карток
- Реклама фіктивних пропозицій про роботу для накопичення резюме та заявок, які зазвичай розкривають імена кандидатів, домашні та електронні адреси, номери телефонів, а іноді і їхні банківські реквізити.
- Використання внутрішнього доступу та зловживання правами привілейованих ІТ-користувачів на доступ до персональних даних у системах їхніх роботодавців
- Проникнення в організації, які зберігають і обробляють великі обсяги або особливо цінну особисту інформацію
- Видання себе за довірену організацію в електронних листах, SMS-повідомленнях, телефонних дзвінках або інших формах зв'язку з метою змусити жертв розкрити свою особисту інформацію чи облікові дані для входу, як правило, на підробленому корпоративному вебсайті або у формі збору даних (фішинг).
- Злам слабких паролів та використання підказок для до запитань щодо скидання пароля
- Отримання зліпків пальців для фальсифікації ідентифікації за відбитками пальців.
- Перегляд вебсайтів соціальних мереж для пошуку особистих даних, опублікованих користувачами, часто використання цієї інформації, щоб виглядати більш достовірною в подальших діях соціальної інженерії
- Перехоплення електронної чи паперової пошти жертви для отримання особистої інформації та облікових даних, як-от дані кредитних карток, рахунки та виписки з банківських/кредитних карток, або для затримки виявлення нових рахунків і кредитних угод, відкритих зловмисниками на імена жертв.
- Використання фальшивих приводів для обману окремих осіб, представників служби підтримки клієнтів і працівників служби підтримки, щоб розкрити особисту інформацію та дані для входу або змінити паролі користувачів/права доступу (претекстування)
- Викрадення чеків для отримання банківської інформації, включаючи номери рахунків і коди банків[9]
- Вгадування номерів соціального страхування за допомогою інформації, знайденої в соціальних мережах, таких як Twitter і MySpace[10]
- Низький рівень безпеки та захисту конфіденційності на фотографіях, які легко завантажувати на сайтах соціальних мереж.
- Дружба з незнайомцями в соціальних мережах і використання їхньої довіри з метою отримання приватної інформації (Соціальна інженерія).
Отримання персональних даних можливе через серйозні порушення конфіденційності. Для споживачів це зазвичай є наслідком того, що вони наївно надають свою особисту інформацію або облікові дані для входу викрадачам особистих даних (наприклад, під час фішингової атаки), але ідентифікаційні документи, такі як кредитні картки, банківські виписки, рахунки за комунальні послуги, чекові книжки тощо, також можуть бути фізично викрадені з транспортних засобів, будинків, офісів і не в останню чергу з поштових скриньок або безпосередньо від жертв кишеньковими злодіями та викрадачами сумок. Охорона особистих даних споживачами є найпоширенішою стратегією захисту, рекомендованою Федеральною торговою комісією США, канадською організацією Phone Busters і більшістю сайтів, які борються з крадіжкою особистих даних. Такі організації пропонують рекомендації щодо того, як люди можуть запобігти потраплянню своєї інформації в чужі руки.
Існує ринок купівлі та продажу викраденої особистої інформації, який переважно знаходиться в даркнет-маркеті, але також і на інших чорних ринках[11]. Люди збільшують цінність викрадених даних, об'єднуючи їх із загальнодоступними даними, і знову продають їх для отримання прибутку, збільшуючи шкоду, яку можуть завдати людям, чиї дані були вкрадені[12].
- Злом системи та крадіжка персональних даних американського агентства Equifax зі звітності про споживчі кредити у 2018.
- Втрата даних про допомогу на дітей у Великобританії за 2007 рік
- Френк Ебігнейл — американський консультант з безпеки та шахрай
- Альберт Гонсалес — американський комп'ютерний хакер і злочинець
- Юрій Кондратюк — український інженер і математик (1897—1942), побоюючись репресій роздобув документи на ім'я Юрія Васильовича Кондратюка і під цим іменем прожив до кінця життя.
- Чарльз Стопфорд — Американський самозванець, який видавав себе за графа Бекінгема та жив під псевдонімом Крістофер Бекінгем понад двадцять років.
- ↑ Oxford English Dictionary online. Oxford University Press. September 2007. Процитовано 27 вересня 2010.
- ↑ Synthetic ID Theft Cyber Space Times [Архівовано 9 жовтня 2015 у Wayback Machine.]
- ↑ Drew Armstrong (13 вересня 2017). My Three Years in Identity Theft Hell. Bloomberg.com. Bloomberg. Архів оригіналу за 19 September 2017. Процитовано 20 вересня 2017.
- ↑ See, e.g., Wisconsin Statutes, Sec. 943.201. Unauthorized use of an individual's personal identifying information or documents. Wisconsin State Legislature. Процитовано 19 липня 2017.
- ↑ Identity Theft Resource Center website. idtheftcenter.org.
- ↑ Medical Identity Theft: What to Do if You are a Victim (or are concerned about it)., World Privacy Forum
- ↑ What is Financial Identity Theft. ID Theft Center. Процитовано 3 грудня 2014.
- ↑ Loviglio, Joann (March 2012). If Microsoft co-founder's ID isn't safe, is yours?. NBC News.
- ↑ Identity Theft. Архів оригіналу за 28 липня 2012. Процитовано 2 серпня 2009., Douglas County Sheriff's Office, Washington
- ↑ Olmos, David (6 липня 2009). Social Security Numbers Can Be Guessed From Data, Study Finds. Bloomberg. Архів оригіналу за 17 June 2013. Процитовано 4 січня 2011.
- ↑ Holt, Thomas J.; Smirnova, Olga; Chua, Yi-Ting (2016). Data thieves in action: examining the international market for stolen personal information. Palgrave Macmillan. ISBN 978-1-137-58904-0.
- ↑ Rossi, Ben (8 липня 2015). The ripple effect of identity theft: What happens to my data once it's stolen?. Information Age.