В апреле 2011 года в Москве был похищен Иван Касперский, сын известного предпринимателя Евгения Касперского. Похитители воспользовались информацией со страницы Ивана во ВКонтакте. Там нашлись фотографии, телефон, домашний адрес, место работы. Молодой человек был освобожден лишь через несколько дней, в результате операции спецслужб. С тех пор разработано множество инструментов сбора и поиска информации по открытым источникам, прежде всего по соцсетям. Появились и новые риски, но главная уязвимость осталась прежней: люди сами выкладывают о себе избыточные данные в Интернете.
Жизнь — открытая книга
Артем по образованию юрист (здесь и далее мы описываем реальный профиль пользователя соцсети, доступный публично, меняем лишь детали). Он живет в Пскове, закончил юридический факультет местного университета. В детстве учился в двух псковских школах (номера указаны). Специализируется на гражданском праве. Работал в четырех юридических фирмах (перечислены), сейчас помогает межрегиональной правозащитной организации (название). Благодаря вкладке «События жизни» мы обладаем информацией, в какие годы Артем менял места учебы и работы. Нам известно, что Артем любит плавание и даже посещал спортивную школу (название). Перечислены и другие хобби Артема: шахматы, футбол и театр.
Есть email и телефон. День рождения — 12 мая 1979 года. У Артема есть дочь Маша, она носит его фамилию. Есть также сестра Елизавета, и у нее фамилия уже другая. Мы бы ее, вероятно, не нашли, но Артем любезно поделился ссылкой на аккаунт Елизаветы. Еще у Артема есть девушка Настя. Мы знаем не только ее фамилию, но и точную дату их знакомства, а также ссылку на страницу Насти в той же соцсети.
Еще Артему нравится делать красивые селфи. Поэтому в его аккаунте множество четких и актуальных фотографий анфас и в профиль. Особенно много снимков с Настей. Фото позволяют составить хронологию, в каких городах и странах Артем и Настя побывали в разные годы. Мы можем узнать, как звали родителей Артема, а также даты их жизни. Эти данные выгравированы на кладбищенском памятнике с одной из фотографий. Есть снимки Артема с коллегами, включая пару «иностранных агентов». На одном из фото видна посылка с его почтовым адресом. Мы также знаем, что Артем курит и носит очки (правда, они ему нужны только для чтения).
Если что-то не получается найти среди снимков, на помощь приходит вкладка «Посещения». Здесь Артем чекинился, то есть отмечал свое местонахождение. Нам известно, какую музыку предпочитает Артем, какие фильмы ему по душе. Вкладка «Нравится» позволяет судить о вкусах и мечтах Артема. Отсюда мы узнаем, например, что Артем неравнодушен к Скандинавии. Об этом свидетельствуют лайки, которые Артем в разное время поставил всевозможным группам и страницам в соцсети. Они посвящены северным пейзажам, викингам и датско-шведскому сериалу «Мост».
Нужно ли специальное расследование, чтобы получить такие данные? Нет. Нам даже не пришлось ничего искать. Артем сам выложил всю информацию о себе в Интернет. В удобном систематизированном виде. А чтобы мы не чувствовали себя обделенными данными, Артем поделился ссылками на пару других своих аккаунтов. И еще никнеймом, который он любит использовать при регистрации.
Информация как ценность
Когда мы говорим о безопасности, информация выступает как ценность. Мы спрашиваем себя: какие данные слишком важны, чтобы их обнародовать? какая публикация может навредить нам? а близким, друзьям, коллегам? нужно ли, допустим, объявлять во всеуслышание о планах отпуска, когда квартира останется без хозяев? выкладывать фото ребенка на фоне детсада с номером дома на заднем плане и рассказывать всем, какие лакомства нравятся малышу?
Публикуя подробности своей личной жизни, вы можете подвергнуть риску не только себя, но и близких. Даже если вы чувствуете себя уверенно в теме безопасности, этого наверняка нельзя сказать о всех ваших близких. В этом смысле ценность представляет не постинг или фотка, а жизнь, здоровье и благополучие дорогих вам людей.
Соцсети были придуманы для того, чтобы люди находили друг друга и общались онлайн. Но соцсети появились во времена, когда о безопасности задумывались мало. Поэтому в соцсетях так много опций, чтобы пользователи рассказывали о себе, и почти ничего не говорится о рисках публикации избыточных данных.
Социальная инженерия
Социальная инженерия строится на использовании человеческого фактора. Взламывать аккаунт техническими средствами может оказаться долго и дорого. Хитрый злодей находит слабые места владельца аккаунта или того человека, от которого зависит доступ. Задача злодея — добиться доверия, хотя бы минимального, чтобы жертва выполнила какие-то действия в его интересах. Например, перечислила деньги по указанным реквизитам, или отключила сигнализацию в здании, или предоставила логин и пароль мнимому сотруднику службы техподдержки. Мошенничество с использованием Интернета с каждым годом становится все более популярным. Чем лучше преступник знает жертву, тем успешнее его затея.
Увы, граждане нередко сами приходят на помощь злоумышленникам, желающим обогатиться за их счет. Люди публикуют информацию о себе в открытом доступе. Даже поверхностный анализ публичной информации способен помочь провести успешную атаку. Опасен ли звонок мошенника, если он знает ваше имя и номер телефона? Потенциально — да. Жизнь от таких звонков точно не становится комфортнее. Но что, если кроме имени и телефона злодей имеет информацию о вашей личной жизни, планах, предпочтениях, родных и близких? Это позволит ему определить уязвимые места и персонифицировать атаку, сделать ее более эффективной.
Наверное, вы слышали многочисленные истории о звонках «мама, я попал в аварию, срочно нужны деньги». Срывающийся голос объясняет в трубку, что пострадали люди, но уголовное дело еще можно замять, если заплатить. Злодей добавит своему звонку правдоподобия, если вы недавно публиковали свою фотографию на фоне любимой машины. Город, имя, возраст и место вашей работы («Мама, я возвращался из суда») злодей найдет на ваших страницах в социальной сети.
Сталкинг
Навязчивое внимание, перетекающее в онлайновое преследование. Сталкер виртуально ходит за своей жертвой по пятам. Пишет личные сообщения, комментарии, присылает картинки. Если жертва пытается уйти от контакта, сталкер может усилить давление. Начинаются угрозы, требования, шантаж. Нередко онлайн-сталкинг переходит в офлайн: злодей караулит жертву в подъезде, следует за ней по улице, подглядывает в окна. Обычно сталкер зациклен на объекте и собирает массу данных, изучает личную жизнь жертвы. Чем больше информации человек выкладывает о себе в интернете, тем проще сталкеру.
«Он узнал название моего любимого бара и скидывал фото оттуда. Я вполне допускала, что он может находиться в моем городе», — рассказывает Мария, одна из героинь публикации в онлайн-журнале «Такие дела». И не зря первое решительное действие, которое совершают преследуемые, — удалить чувствительную информацию из соцсетей.
Преследование по бытовым и идеологическим мотивам
Раздосадованный жестким спором в дворовом чате, житель соседнего дома отправился на вашу страницу в соцсети, отыскал фото вашей машины и ночью вспорол ножом покрышку. Эту бытовую историю несложно представить. (Если вы человек исключительно сдержанный и у вас нет автомобиля, поставьте на свое место кого-нибудь из знакомых.)
Другое дело — представители госструктур. Их технические возможности многие считают неисчерпаемыми. Один из устойчивых стереотипов: «Если они захотят, то смогут получить любую информацию». Поэтому информацию нет смысла защищать. Но это ложный вывод.
Во-первых, возможности «силовиков» ограничены. Если вы используете надежные пароли, современные средства шифрования и облачные хранилища, вы оставляете преследователям мало шансов. Но если человек сам выкладывает информацию о себе в Интернете, он облегчает злодеям работу.
Во-вторых, против вас может действовать не представитель государства, а экстремист. Яркий пример — гомофобный проект «Пила». Его создатели предлагали любым желающим вознаграждение за нанесение побоев и другой физический ущерб ЛГБТ-активистам. Объявление было оформлено под садистскую «игру». Преступники публиковали данные жертв: имена, фамилии, фото, адреса и подробности частной жизни. Подобная практика называется доксинг.
Другие виды проблем
Вот еще примеры, когда неосторожно выложенная в сеть информация о человеке может быть использована ему или ей во вред:
- вор выяснил, где живет жертва, а хозяин квартиры вдобавок сообщил, что ближайшие две недели проведет в отпуске. Это облегчит преступнику работу;
- злодей собирает данные о жертве, чтобы выдавать себя за нее. Как правило, о краже личности говорят в связи с мошенничеством при оформлением кредитов. Однако кража личности может быть использована и для несанкционированного доступа к конфиденциальной информации, и с целью навредить репутации;
- профилем сотрудника интересуется работодатель (как нынешний, так и будущий). HR-службу волнует влияние публичных действий сотрудника на имидж компании. Потенциального нанимателя интересует, так ли человек безупречен, как пишет в резюме.
Я тебя найду
Угроза такого рода может оказаться серьезной, даже если вы не публиковали свой физический адрес. Вот некоторые способы узнать местоположение человека по фото:
- ориентиры, попавшие в кадр. Например, вывеска магазина. Как правило, злодей использует для поиска жертвы не одну фотографию, а все доступные сведения. Если он сузил поиски до района или небольшого городка, отыскать там характерное расположение дома, перекрестка улиц и автобусной остановки будет не такой уж сложной задачей. Очень информативна в этом смысле визуализация на картах Google и Яндекс;
- если снимали из окна дома, можно прикинуть угол и попробовать определить не только дом, но даже этаж по снимку;
- в фотографии содержится информация EXIF. Это метаданные, в том числе географические координаты места, где был сделан снимок;
- по теням, дате и времени снимка можно рассчитать примерные координаты. В этом способен помочь, например, сервис SunCalc.
Искать и находить можно не только дома. В истории с похищением Ивана Касперского преступники точно знали место работы жертвы и атаковали на безлюдном участке маршрута по дороге к офису. Другой пример, когда информация о месте работы может сыграть против вас, — если хейтеру вздумается разослать коллегам компрометирующую вас информацию. Далеко не каждый руководитель отнесется с пониманием к таким помехам в работе.
И еще о фотографиях
Выкладываете снимок с друзьями в открытый доступ? Подумайте, так ли это необходимо. Стоит ли отмечать на снимке себя и друзей? Делая это, вы учите систему распознавания лиц и в конечном итоге помогаете собирать информацию о себе и о друзьях. Возможно, они не рассчитывали на то, что их изображения появятся в сети.
Дипфейк — замена изображения одного человека другим человеком. Эта технология уже давно вышла за рамки дорогой и недоступной компьютерной графики. Доступ к ней стал и проще, и дешевле. Качество подделки зависит исключительно от объема данных, предоставленных нейросети. Значит, чем больше видео- и фотоконтента вы загрузите в Интернет, тем правдоподобнее будет результат работы создателя фейка.
Поиск по открытым источникам
Все, что вы пишете, отправляете, публикуете в Интернете, сохраняется, даже если вы удалили аккаунт и все данные о нем. На какой срок — чаще всего трудно сказать наверняка. Закон обязывает хранить эти данные полгода. Но куда ваши данные могли попасть, пока были онлайн, где они хранятся теперь? Поэтому вариант «я опубликую, а потом удалю, и оно исчезнет навсегда» не работает. Сказанное относится не только к соцсетям, но и к комментариям на сайтах, почте и мессенджерам.
OSINT (open source intelligence) — разведка по открытым источникам. Говоря простым языком, «пробив». Сегодня такая проверка обычно осуществляется не вручную, а с помощью веб-сервисов и чат-ботов. Некоторые услуги OSINT доступны за деньги, а часть данных можно получить бесплатно. Мы не станем давать ссылок на ресурсы OSINT, потому что использовать их следует после тщательной подготовки. Если вам вздумается отыскать такие ресурсы самостоятельно, не забудьте: пока вы собираете информацию о ком-то, боты и сервисы собирают информацию о вас!
Мессенджеры, сервисы и приложения
Чрезмерная откровенность в мессенджерах тоже может навредить. Чаты, каналы, боты — все это потенциальные точки сбора информации. Возможно, вы уверены в безопасности своего собственного устройства и сервиса, но что вы знаете об устройстве собеседника? Можно ли гарантировать, что намерения малознакомого человека чисты, или он поведет себя как разъяренный сосед из чата и отправится ночью резать колеса? Бывают и совершенно комичные случаи: под следствием оказалась пара — оба поделились интимными снимками с друзьями и потом написали заявление в полицию друг на друга.
Бывает, мы сами без умысла отдаем вселенной доступ к сокровенному — к смартфону. Человек устанавливает десятки приложений, которые запрашивают доступ к геолокации, файлам, интернету, камере, списку контактов и звонков. Так ли нужен фонарику доступ к Wi-Fi? Яркий пример инвазивного приложения — печально известный GetСontact. Это сервис, с помощью которого можно было узнать, под какими именами ваши знакомые добавили вас в свои списки контактов. К сожалению, пользуясь GetContact, человек сам сливал свой список контактов.
Что же делать?
Возможно, самый лучший совет — воздерживаться от публикации избыточных данных о себе. Даже если обнародование информации кажется безобидным сегодня, ситуация может измениться завтра.
Важно уделять внимание безопасному хранению данных, использовать шифрование. Не забывайте о правильном, надежном уничтожении данных перед тем, как продать устройство или отдать его в ремонт.
Как быть с тем, что уже опубликовано? Прежде всего, не опускать руки. Даже если вы выложили информацию, достаточную для создания криминально-эротического романа. Найдите время проверить историю публикаций. Удалите то, что потеряло актуальность или что теперь компрометирует вас. Чем вы готовы делиться со всеми, а какие публикации лучше оставить только для друзей? Facebook позволяет закрыть аккаунт от посторонних — и, если вы в группе риска (например, гражданский активист), возможно, это ваша опция.
Решили вообще удалить аккаунт? Лучше сначала удалить весь контент, переименовать аккаунт и запланировать окончательное удаление на ближайшие полгода. Найдите неиспользуемые чаты и не просто выйдите из них, но удалите все сообщения, которые могут быть для вас угрозой. Удалите ненужные вам больше аккаунты. Деинсталлируйте приложения со своих устройств, если они вам не требуются постоянно или есть сомнения в их безопасности.
Бывает полезно применить селф-доксинг: постараться залезть в шкуру злодея и отыскать в интернете информацию о вас. Это можно сделать поиском Google (в том числе с различными параметрами и по фото), а также менее распространенными инструментами вроде TinEye, среди старых версий сайтов с использованием Internet Wayback Machine и так далее.