О новых способах совершения преступлений с использованием персональных данных

Российская криминологическая ассоциация имени Азалии Ивановны Долговой, Москва, Россия, ,

Russian Criminological Association named after Azalia Ivanovna Dolgova, Moscow, Russia, ,

По данным Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в 2023 г. зафиксировано 168 случаев массовой утечки персональных данных (57 % успешных кибератак). В результате этих инцидентов, как отмечают в ведомстве, скомпрометированными оказались более 300 млн записей с попавшей в открытый доступ личной информацией о россиянах [1]. В действительности же в Глобальную сеть утекло много больше личных данных россиян, чем установлено федеральной службой. Одна из причин тому – действующий в России мораторий на внеплановые проверки ИТ-компаний (его продлили до 2030 г. постановлением Правительства РФ от 10 марта 2023 г. № 372), что не позволяет Роскомнадзору оперативно реагировать на угрозы массовой утраты охраняемой информации. Учитывая масштабы инцидентов с компрометацией персональных данных и идентификацией человека, в декабре 2023 г. в Госдуму внесен законопроект № 518022-81. Его разработчики предлагают при утечке персональных данных наделить Роскомнадзор правом на внеплановую проверку компаний, нарушивших положения федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»2. Решение о ее проведении при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных должно быть согласовано с прокуратурой для исключения риска излишнего административного давления на бизнес. К тому же косвенно судить о росте количества незарегистрированных утечек позволяют показатели наказаний, применяемых за нарушения в сфере охраны персональных данных. Как отметили представители Роскомнадзора, сумма штрафов за нарушения, допущенные операторами персональных данных, с 2021 г. выросла в 23 раза. По мнению специалистов по информационной безопасности, увеличение количества штрафных санкций объясняется ростом числа не только выявленных утечек и объема деанонимизированных персональных данных. Незарегистрированные утечки в статистику не попадают. К примеру, очередной масштабный «слив» личных данных произошел в конце 2023 г. В чат-ботах «Телеграм» (один из них «Глаз Бога»), где можно было получить досье на любого человека с цифровым следом в Глобальной сети, злоумышленники разместили личные сведения (включая результаты медицинских исследований) судей, депутатов и руководителей госкорпораций [2]. Меры по блокировке чат-ботов, выполняющих роль деанонимизаторов, ведомством не приняты (заказы на «пробив», как проверил автор, принимаются и сейчас).

Как полагают эксперты, главная опасность украденных личных данных – это фальсификация личности для доступа к банковским счетам и кредитным картам. Только в 2023 г. ущерб от такого вида мошенничества составил более 19 млрд руб. Преступнику, владеющему персональными данными клиента (фамилия, имя, отчество, данные паспорта, номер телефона и банковской карты), легче выдать себя за работников финансово-кредитной организации, сотрудников полиции и др. В 2023 г. в 90 % успешных мошеннических кибератак применялась социальная инженерия с манипулированием данными частных лиц. То, что утрата персональных данных представляет огромные риски для личных прав и свобод их носителя (и (или) его близких и даже случайных людей), подтверждают несколько примеров. Так, в январе 2024 г. в средствах массовой информации была опубликована статья о гибели кота Твикса, которого по ошибке или халатности проводница вагона поезда, в котором хозяин перевозил домашнего питомца, выбросила как бродячего на перрон вокзала. Общественный резонанс достиг такого уровня, что в отношении сотрудницы Российских железных дорог (РЖД) возбудили уголовное дело (первоначально было вынесено постановление об отказе в его возбуждении), а в публичное пространство попали якобы ее персональные данные (телефон, страницы в соцсетях и аккаунты ее близких). Женщина подверглась жестокому буллингу в интернет-пространстве со стороны разъяренных защитников животных, ее оскорбляли и проклинали. Позднее, однако, выяснилось, что в Глобальную сеть были «слиты» данные другой женщины, бывшей сотрудницы РЖД, которая в компании давно не работает. И другой пример. В 2016 г. после того, как водитель маршрутки в Благовещенске в грубой форме высадил подростков, отказавшихся платить за проезд, его персональные данные появились в открытом доступе [3]. После травли в интернете водитель покончил с собой в своем автобусном парке. Невиновные люди, чьи персональные данные расшифрованы, становятся жертвами травли разъяренной толпы не только у нас. Мировую огласку получила история У. Смита, который на церемонии вручения премии «Оскар» ударил ведущего К. Рока за его неудачную шутку про внешность жены актера. После нее в социальной сети «Твиттер» пользователи приняли за актера другого У. Смита, подкастера и разработчика видеоигр, и обрушили на него свой «праведный» гнев за недостойное поведение однофамильца.

Анализ приговоров судов, материалов уголовных дел и сообщений средств массовой информации позволяет говорить о новом этапе модернизации этого сегмента преступности [4, с. 90]. Давая криминологическую характеристику преступлениям с персональными данными граждан, следует отметить изменение преступных сценариев мошенничества. Опишем новые зарегистрированные следственной практикой способы получения и использования личной информации о человеке для совершения корыстных преступлений.

За последние несколько месяцев широкое распространение получила схема обмана, при которой мошенники выдают себя за руководителей министерств и ведомств, ректоров и других высокопоставленных чиновников. От их лица с фейковых адресов в социальных сетях и каналах (прежде всего в «Телеграм») научным работникам направляется личное сообщение в чат (аккаунт максимально похож на настоящий). В спам-рассылке говорится о том, что с сотрудником свяжутся представители Федеральной службы безопасности Российской Федерации (ФСБ России), правоохранительных органов, Центрального банка РФ и т. д. Затем мошенники по телефону сообщают о том, что украинские хакеры взломали сайт Министерства образования и науки РФ с персональными данными ученых. Используя их, они якобы оформляют в банках кредиты на ученых, а деньги переводят Вооруженным силам Украины. О подобных случаях использования личных данных докторов и кандидатов наук уже сообщали российские СМИ. Так, по этой схеме действовали злоумышленники в отношении профессора Российской академии наук, доктора юридических наук, которому пришло голосовое сообщение от бывшего коллеги, что его якобы разыскивает замминистра образования и науки РФ. Далее преступники, представляясь заместителем министра, а затем сотрудниками ФСБ и Росфинмониторинга, убедили потерпевшего в компрометации его личных данных в связи с хакерской атакой на сайт Минобрнауки и необходимости перевода денег на «безопасный» счет. Сумма ущерба составила более 6 млн руб. [5].

При аналогичных обстоятельствах жертвой мошенничества стал депутат Государственной думы РФ П. Качкаев. В мессенджере «Телеграм» ему написал якобы заместитель председателя Госдумы П. Толстой. Он предупредил депутата о звонке сотрудников ФСБ России. «Силовики», а затем «работники банка» по телефону сообщили депутату, что в отношении его банковских счетов предпринимаются попытки несанкционированного списания денежных средств. И тогда, поддавшись на уловки мошенников, П. Качкаев, раскрыв конфиденциальную платежную информацию, перевел 500 тыс. руб. со своего счета на чужой, «безопасный».

Жертвой мошенников стала и актриса Московского Художественного театра имени А. П. Чехова М. Зорина, которой в сети «Телеграм» позвонил «первый заместитель руководителя Департамента культуры Сергей Перов». Он предупредил актрису о хакерской атаке на ее банковский счет и утечке личных данных. Затем с потерпевшей связался «представитель ЦБ РФ» и предложил перевести денежные средства на резервный спецсчет. Женщина обналичила деньги в размере 1 млн 800 тыс. руб. с банковской карты, а также взяла кредит на сумму более 4 млн руб. и внесла их через банкомат на чужой счет. М. Зорину убедили также в том, что ее квартира и машина BMW X1 проданы незаконным путем, после чего потерпевшая продала свое имущество, а вырученные деньги перевела злоумышленникам. Общий ущерб составил 19 млн 800 тыс. руб. [6].

Похожий криминальный сценарий используется злоумышленниками и для выманивания личных данных у экс-руководителей и работников сферы образования, как правило, хорошо известных в научных кругах. К примеру, одному из бывших ректоров сибирского вуза позвонил «следователь» из Главного управления Министерства внутренних дел РФ. Он сообщил о возбуждении уголовного дела по факту утечки базы персональных данных руководителей вузов из Министерства образования РФ. Далее лжеследователь начал «допрос» ученого, уточняющий его персональные данные. После того, как допрашиваемый отказался предоставить точную информацию о себе и прекратил разговор, с фейкового аккаунта «министра науки и высшего образования Валерия Фалькова» в «Телеграм» поступило предупреждение: «Я знаю, что Вас уже поставили в известность о том, что у Министерства произошла масштабная утечка персональных данных ученых! Ваше ФИО также в списке! Мы поручили этим делом заняться соответствующие органы ГУ МВД. Я также знаю, что с Вами уже связались, но от общения Вы отказались. Жду объяснений, почему так произошло?» [7].

Как отмечается в СМИ, после разоблачения схемы с «министром» в мессенджерах появился и поддельный аккаунт президента РАН Г. Красникова (ник krasnikov_g.), от имени которого преступники продолжают применять схему завладения конфиденциальной информацией. Рассылка сообщений осуществляется не только с фейковых адресов, но и каналов научного сообщества с большой аудиторией. В целевых группах преподаватели и сотрудники вузов информировали коллег о поступлении в мессенджерах звонков от «министра» и «начальника департамента Минобра», выясняющих данные о банках, в которых преподаватели получают заработную плату. После массовых случаев мошенничества в отношении профессорско-преподавательского состава в официальном телеграм-канале ведомства было размещено предупреждение о правилах информационной безопасности «в связи с участившимися действиями мошенников и поступающими сообщениями от граждан».

Новая схема мошеннических действий киберпреступников включает использование биометрических персональных данных (голоса, изображения, радужки глаза и др.). Более 80 % мошеннического воздействия приходится на обман с видеоизображением [8]. По данным технологической компании Onfido, разрабатывающей с помощью искусственного интеллекта программы по проверке личности человека, в 2023 г. количество мошеннических действий с использованием дипфейков увеличилось в 31 раз по сравнению с 2022 г. Дипфей-ки, созданные приложениями для замены лиц, позволяют обойти систему верификации, проводить мошеннические операции и получать доступ к иным конфиденциальным данным. Уже зарегистрированы случаи монтажа дипфейка для увольнения с работы конкурента, вымогательства денег у бывшей жены, лицо которой экс-муж подставил в порноролик. Как утверждают специалисты по информационной безопасности, с новой волной развития искусственного интеллекта появятся более инновационные способы, когда человек не сможет отличить «оригинал» человека от дипфейка.

Новейшие технологии (специальные программы и нейросети) позволяют подделать и голос любого человека при наличии его образца, а затем посредством чужой фейковой биометрии одобрить сделку с недвижимостью онлайн, совершить активацию кредитных карт, оформленных на имя жертвы, торговать компроматом и вымогать денежные средства у родственников и др. Преступники могут получить цифровой слепок голоса посредством его фиксации на аудионоситель в разговоре со «следователем», сотрудником банка, роботизированным помощником, через автоинформатор, в ходе «соцопроса» или рекламы, автопрозвона и др. Специалисты по кибертехнологиям отмечают, что подделки аудиосообщений стали высокоубедительными – с воспроизведением в них точной интонации, акцента, ритма и других особенностей речи конкретного человека. Как показывает исследование, для создания фейкового голоса или изображения мошенники используют размещенные в сети Интернет видеозаписи с речью, голосом и внешностью потенциальной жертвы. Мониторинг любой социальной сети, СМИ показывает, что в открытом доступе находятся биометрические данные (голос и изображение) политических деятелей, известных блогеров, артистов, певцов и спортсменов, что многократно увеличивает риск подделки их биометрии для преступных целей. В этих случаях угроза обмана при помощи дипфейка велика в отношении пожилых граждан и родственников публичных людей. То, что преступники могут использовать внешность и голос популярного человека, подтверждает недавний пример покушения на мошеннические действия в отношении директора российского артиста А. Буйнова. Злоумышленники взломали аккаунт певца в телеграм-канале и от его имени попросили директора перевести 10 тыс. долл. на криптокошелек. Чтобы убедить в том, что это действительно Буйнов, они отправили дипфейк певца с видеоизображением из аэропорта и голосом, смонтированным из «живых» видеороликов в социальных сетях. При этом, как рассказал директор, аккаунт, с которого писали мошенники, был визуально похож на настоящий, что говорит о качестве его подделки [9]. Примечательно, что и аккаунт президента РАН Г. Красникова, от имени кото- рого поступали сообщения работникам сферы образования, был отмечен галочкой на синем фоне (идентификация публичной личности). Оказалось, такой значок может получить любой пользователь с тарифом Telegram Premium и, судя по всему, без проверки действительной принадлежности учетной записи известному лицу.

В исследовании, проведенном Институтом статистических исследований и экономики знаний НИУ ВШЭ, ученые пришли к выводу, что рынок индустрии виртуальных мероприятий к 2031 г. составит 1 трлн долл., а его среднегодовой прирост за 10 лет – 13 %. Глобальная виртуализация общества, как отмечают авторы исследования, будет увеличивать угрозу кибербезопасности персональных и других чувствительных данных [10]. Высока вероятность создания дипфейков, хакерских атак для деанонимизации персональных данных и компрометации личной информации. При таком стремительном переходе в том числе и научных мероприятий на виртуальные площадки вполне обоснованно можно прогнозировать риски использования биометрических данных ученых, выступающих на международных и всероссийских конференциях, например по видеосвязи. Как отмечают ИТ-специалисты, сгенерировать реплику голоса можно даже по нескольким словам, а научные доклады, записанные на видео и транслируемые в открытом доступе, не иначе как кладезь, средоточие сразу двух биометрических параметров – голоса и изображения. К тому же провести идентификацию в поисковых системах по номинативным данным ученого, как правило, имеющего ученую степень, а тем более известного своими научными работами, по его фотографии и биометрии (внешность и голос) особого труда не составит.

Иностранными разведслужбами с началом специальной военной операции предпринимаются попытки рассекретить персональные данные российских военнослужащих, судей, сотрудников правоохранительных органов и служащих Министерства обороны России. В СМИ проходила информация о двух случаях так называемого «пробива» данных специального контингента лиц, когда ФСБ России совместно с Управлением собственной безопасности МВД РФ разоблачили группы оперативных уполномоченных органов внутренних дел и налоговиков, собирающих (копирующих из ведомственных баз) и продающих персональные данные этой категории граждан [11]. Учитывая, что проблема массовой деанонимизации личных данных военнослужащих, сотрудников специальных служб и правоохранительных органов приобрела глобальный характер, Правительство РФ разработало проект закона № 416441-8. Как отметил глава комитета Госдумы по информационной политике А. Хинштейн, закон призван защитить персональные данные указанных категорий граждан «от любого дополнительного интереса»1. Согласно инициативе, представители МВД, ФСБ, Федеральной службы охраны, Службы внешней разведки и Министерства обороны РФ получат право изменять или удалять сведения о своих сотрудниках в базах данных. Предлагается разрешить правоохранителям направлять оператору требование о предоставлении доступа к информационным системам персональных данных для обезличивания, блокирования или удаления сведений (их можно будет восстановить по новому запросу). После первого чтения в Государственной думе РФ предлагается дополнить законопроект и распространить специальную защиту персональных данных и на сотрудников Росгвардии, прокуратуры, МВД и Следственного комитета РФ.

Новой мошеннической схемой, целью которой является получение персональных данных для доступа к сайту «Госуслуги», стало информирование мошенниками от имени оператора связи об истечении срока договора абонентского обслуживания [12]. Во избежание блокировки номера телефона требуется обновление данных абонента через идентификацию на сайте «Госуслуги». С портала на телефон приходит сообщение с кодом и ссылкой, по которой нужно ввести персональные данные. К персональным данным относится и платежная информация, связанная с банковскими картами (ее номер, срок действия, CVC, ФИО владельца). Как верно отмечает Р. А. Дерюгин, «с развитием информационных технологий и значительными достижениями в области науки и техники определенные обезличенные данные, например данные, изображенные на обороте пластиковой карты в виде CVV-кода, номера карты, даты действия карты, также могут считаться персональными, так как современные способы и алгоритмы обработки информации позволяют по ним идентифицировать пользователя» [13, с. 67]. Чтобы заполучить эти личные данные, злоумышленники осваивают платформы частных объявлений (больше всего зафиксировано таких фактов на «Авито»). С этой целью они осуществляют звонки пользователям внутри сайтов и приложений и под предлогом покупки товара сообщают о желании перевести задаток за него. Для подтверждения получения части денег продавец должен назвать платежную информацию (номер карты и код из СМС) [14]. Эти личные данные (ФИО, номер карты владельца, код подтверждения операции и др.) используются для входа в личный кабинет клиента банка и перевода денег на «безопасный счет». Еще одним способом получить личную информацию стала рассылка электронных писем от имени Федеральной налоговой службы РФ. В них злоумышленники сообщали об установлении подозрительных транзакций и активности налогоплательщика в личном кабинете. Для дополнительной проверки с идентификацией плательщика предлагалось пройти по ссылке из письма и предоставить личные сведения под угрозой блокировки счетов и возбуждения уголовных дел о неуплате налогов.

Подводя итог исследованию, необходимо отметить, что описанные выше способы не охватывают все формы криминальной активности мошенников с персональными данными для получения чужой собственности и совершения других посягательств против личности. Следует констатировать их стремительное совершенствование путем использования искусственного интеллекта (нейросетей при сканировании фотографии человека), новейшего программного обеспечения для подделки биометрических данных, онлайн-инструментов (мессенджеров, чат-ботов), что говорит о высоком уровне адаптированности современных преступников в цифровом мире.