Завладев чужими паспортными данными, можно совершить множество действий, не получая согласия их владельца.
Например, взять микрокредит онлайн или купить что-то в интернет-магазине в рассрочку. Для этого достаточно указать паспортные данные и любой номер телефона – оформлен ли он на владельца паспортных данных, не проверяется. Таким образом укравший данные получает товар или деньги, а расплачиваться/закрывать заем должен будет владелец паспорта, на которого выйдут кредиторы.
5 апреля 2024 года с банковского счета директора благотворительного фонда «Евита» Ольги Шелест внезапно списались все средства.
Ольга зашла в приложение банка и увидела там судебный приказ от 22 декабря 2023 года. По нему 2 февраля 2022 года Ольга взяла заем, а после этот долг выкупило коллекторское агентство из Новосибирска ООО «Право онлайн». И теперь в его пользу директор «Евиты» должна 58 000 рублей.
Что такое паспортные данные и как они защищены
К паспортным данным можно отнести всю информацию о человеке в этом документе: ФИО, дату и место рождения, адрес регистрации, кем и когда выдан паспорт.
Все эти данные – персональные, то есть относятся к определенному физическому лицу и защищаются федеральным законом «О персональных данных».
Главное, что нужно знать из этого закона:
• все персональные данные обрабатываются только с письменного согласия их владельца,
• все лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять персональные данные без согласия владельца.
Взять микрокредит на ваше имя
– Никакой заем я не брала, – рассказывает Ольга Шелест. – Получается, мои данные каким-то образом попали к мошенникам, и они это сделали. Подтверждали этот микрозаем с помощью чужого номера и банковской карты, как мне сообщили в коллекторском агентстве. При этом по нашему законодательству такие дела судья имеет права рассматривать без присутствия «должника» и даже не уведомлять его об этом. Так и было в моем случае: судебный приказ составили, не прислали мне его ни по почте, ни на «Госуслугах», зато деньги списали моментально.
Как себя обезопасить. Чтобы узнать, не оформлен ли на вас кредит, можно обратиться в Национальное бюро кредитных историй, а проверить, не числятся ли за вами долги – на сайте Федеральной службы судебных приставов. Если оказалось, что на ваше имя оформлен кредит, надо незамедлительно обратиться в финансовую организацию с заявлением: укажите, что вы не брали кредит, он оформлен мошенническим путем и вы требуете блокировать операции по нему.
Ольга Шелест оформила жалобу и написала заявление о мошенничестве в отделении полиции. Вскоре мировой судья отменил судебный приказ о ее «долге» и отозвал его из банка. «Я отнесла определение об отмене судебного приказа в отделение банка, где оперативно разблокировали мои карты, – говорит Ольга. – Коллекторское агентство вначале продолжало говорить, что это долг мой, но вскоре вернуло мне незаконно списанные с моих карт деньги. Если бы они этого не сделали, я подала бы на них в суд».
Риск потерять квартиру
Обладая данными чужого паспорта, мошенники могут сделать поддельный договор купли-продажи и поддельную генеральную доверенность и попробовать, например, продать квартиру без ведома ее владельца.
Жительница Москвы Виктория Кузнецова сдала свою квартиру гражданину Александрову (фамилия изменена). Вскоре арендатор перестал выходить на связь. Когда Виктория приехала в свою квартиру, оказалось, что в ней живет уже другой человек. Используя данные собственницы из договора об аренде и подделав ее подпись, Александров изготовил договор купли-продажи квартиры, переоформил на себя право собственности и продал квартиру.
Как себя обезопасить. Такие махинации маловероятны, так как сейчас любые доверенности и договоры можно проверить на подлинность на сайте нотариуса с помощью QR-кодов, которые ставятся на документ, говорит Матвей Гончаров, директор Фонда поддержки пострадавших от преступлений: «Но чтобы минимизировать риски, стоит оформить запрет на оформление сделок с недвижимостью без вашего личного участия. Это можно сделать в личном кабинете через Госуслуги либо лично при посещении МФЦ. Там же можно проверять информацию по своей недвижимости».
Атака на «Госуслуги»
Утечка данных также может облегчить атаку на «Госуслуги», чтобы получить доступ к учетной записи пользователя и его электронной подписи.
Недавно житель Москвы Владислав забыл пароль от своего аккаунта на «Госуслугах», и ему не удавалось пройти двухфакторную аутентификацию. Мужчина обратился за подтверждением личности в МВД и банк, и последнее помогло – Владислав наконец зашел на сайт. Там он обнаружил, что часть его паспортных данных была сфальсифицирована (отличались дата и адрес регистрации, подпись Владислава и сотрудника МВД, выдававшего паспорт), и увидел заявление на регистрацию по его адресу гражданина Киргизии. Мужчине пришлось снова идти в полицию, где ему сообщили, что по его адресу уже прописано восемь иностранных граждан. Полиция начала проверку.
Такое случается, если у пользователя отключена двухфакторная аутентификация или у него простой пароль, который легко подбирается. Есть еще третий вариант – пользователь утерял доступ к номеру телефона, который был привязан к аккаунту на «Госуслугах». Теоретически, если мошеннику попал номер телефона и некоторые дополнительные данные (а они могут быть в слитых базах), то можно «восстановить» доступ к «Госуслугам» и захватить аккаунт.
Но при восстановлении доступа на портале надо указывать не только паспортные данные, но и СНИЛС, ИНН, а также ввести код из СМС или письма на электронной почте. Получается, злоумышленнику недостаточно одних ваших паспортных данных для захвата аккаунта.
Как себя обезопасить. Чтобы защитить свой аккаунт от взломов, используйте двухфакторную аутентификацию: 1) логин и пароль (обязательно сложный, комплексный с использованием букв, цифр и специальных символов одновременно), 2) электронный ключ или приложение, генерирующее временные коды (например, ТОТР). Отказывайтесь от звонков и СМС-подтверждений: если мошеннику известен ваш номер телефона, есть риск получения доступа к коду, переданному в SMS-сообщении.
1,12 млрд случаев утечки данных онлайн в 2023 году
Наибольший риск пострадать из-за мошенников – в интернете.
Чтобы понять масштабы проблемы, достаточно обратиться к статистике: согласно исследованию «Россия: утечки информации ограниченного доступа, 2022–2023 годы», в позапрошлом году в сети было скомпрометировано 702 млн записей, а в прошлом – уже 1,12 млрд записей.
Причем истинный масштаб ущерба может быть сильно недооценен, далеко не все случаи выявлены.
Зарегистрировать фирму-однодневку на ваше имя
Одна из обратившихся в Фонд поддержки пострадавших от преступлений устраивалась на работу. Потенциальный «работодатель» попросил для оформления всех процессуальных моментов предоставить документы, в том числе паспорт. В итоге ни на какую работу она не устроилась, а эти люди оказались мошенниками, которые зарегистрировали на имя пострадавшей несколько юридических лиц.
Вскоре женщине стали приходить уведомления из налоговой о задолженности по уплате налогов. «Она пришла к нам, и мы помогли обратиться в нотариальную палату, в которой подтвердили, что никаких подобных доверенностей на регистрацию от ее имени юридических лиц она не давала, – говорит Матвей Гончаров. – Затем мы обратились в налоговую и банки, где открылись счета этих фирм, написали заявление о том, что это произошло в результате мошенничества и направили соответствующее обращение в полицию. В итоге мы разобрались со всем, фирмы были ликвидированы. Но на все это ушло немало времени».
Как себя обезопасить. Не распространяйте свои данные самостоятельно: не указывайте их там, где в этом нет необходимости, и тщательно проверяйте места, где их требуют. Впоследствии это позволит значительно упростить процесс обжалования возможных незаконных действий с вашим паспортом.
Купить на вас товар в интернет-магазине в рассрочку, оформить электронный кошелек, сим-карту
Персональные данные – очень востребованный товар в преступной среде, говорит Матвей Гончаров. Прикрываясь чужими паспортными данными, мошенники могут, например, зарегистрировать электронный кошелек по чужим паспортам и просить своих жертв выслать им деньги на этот кошелек. Вся ответственность в таком случае ложится на плечи подставного владельца, а настоящего мошенника вычислить сложно.
А если злоумышленник получил скан паспорта, то он может оформить на свою жертву сим-карту и обманывать людей по телефону.
Как себя обезопасить. Сохраняйте ссылки и тексты соглашений об обработке персональных данных, оформленных на электронных площадках. А если подписываете соглашение вживую, требуйте копию, сохраняйте контакты организаций.
«В каких-то случаях – при покупке в обычных магазинах товаров, даже дорогостоящих, при возврате товара и получении денежных средств – паспортные данные вовсе не нужны. Если вы уверены, что это такой случай, но их требуют, просто не пользуйтесь услугой, – рекомендует Матвей Гончаров. – И в любом случае всегда читайте пользовательские соглашения поставщика услуг или товаров, чтобы понять свои права и обязанности».
Важно также, что законодательно запрещено снимать копию паспорта, если это прямо не предусмотрено договором. Например, на проходных в закрытых объектах достаточно того, что вас сличат с фото на паспорте и перепишут его данные. Работодатели также не должны оставлять себе копии паспорта, поскольку этот документ не относится к трудовой деятельности.
В гостиницах имеют право запрашивать паспортные данные
Есть случаи, когда гражданин обязан предъявить паспорт. Например, при заселении в гостиницы, отели, дома отдыха.
По закону все эти учреждения – организации-посредники между постояльцами и подразделениями миграционной службы. Чтобы зарегистрировать и поставить на учет постояльца, такой организации необходим паспорт. Это также необходимая мера безопасности для гостиницы: постоялец может испортить интерьер или совершить правонарушение. Чтобы подать на него заявление в полицию или взыскать с него средства, также нужны паспортные данные этого постояльца.
В онлайн-магазинах паспорт гарантирует чистоту сделки и минимизирует риски. Запрашивая данные пользователя, его идентифицируют и предоставляют возможность получить товар именно ему. При выдаче на почте или в специальном пункте уже оплаченной вещи просят показать паспорт. Таким образом служба доставки убеждается, что товар получает оплативший его или кто-то указанный им, а не третье лицо.
Не отправляйте скан паспорта незнакомцам и создайте секретный чат для передачи данных паспорта
Чтобы обезопасить свои паспортные данные, прежде всего не отправляйте скан и фото паспорта незнакомым людям и старайтесь не хранить их в электронной почте, мессенджерах, социальных сетях и облачных дисках. Ко всем этим приложениям достаточно просто получить доступ через взлом аккаунтов.
Для пересылки чувствительной информации используйте только секретный чат в Telegram или сообщения в мессенджере Signal. Таким образом информация будет защищена с помощью сквозного шифрования. Это значит, что данные шифруются на устройстве отправителя, расшифровываются только у получателя и не хранятся в открытом виде на серверах.
После пересылки паспортных и других персональных данных (даже в зашифрованном виде) удаляйте сообщения. Так вы избежите утечки информации, если ваш смартфон или компьютер попадет третьему лицу.
Если вам все же необходимо переслать данные по электронной почте, прибегайте к PGP-шифрованию. Например, с помощью Mailvelope, программного обеспечения для сквозного шифрования писем внутри браузера (но учтите, что обеспечение интегрируется не со всеми почтовыми провайдерами, а только с несколькими). Либо шифруйте сам файл и пересылайте по почте уже его. Шифровать файлы можно с помощью VeraCrypt и онлайн-сервиса Hat.sh. Шифрование там происходит в браузере на стороне клиента, без передачи файлов на сервер.
Осторожно относитесь к своим биометрическим данным, они характеризуют физиологические особенности человека и на основе них можно установить личность. Запись вашего голоса может храниться централизованно, и мошенник получит возможность ее использовать, выдав себя за вас. Старайтесь не оставлять такие данные в интернете и по возможности посещать места, где их требуют, лично, идентифицируя себя таким образом.
О каких еще мерах безопасности стоит помнить
Если после покупки товара или получения услуги вы не планируете дальнейшее сотрудничество с компанией, пишите заявление о прекращении обработки ваших персональных данных. На такое заявление вам должны ответить положительно: по закону вы можете отозвать свое согласие в любой момент.
При подаче любого заявления (в банк, в полицию) лично просите делать второй экземпляр этого заявления. А подавая заявление почтой, оформляйте заказное письмо с уведомлением о получении. Таким образом у вас будет подтверждение факта действия – передачи своих данных организации. Это позволит в случае утечки понять, законно или нет хранили ваши данные, объясняет Матвей Гончаров. В некоторых случаях это имеет первостепенное значение – например, для отстаивания своей позиции в суде.
Поменяйте свой паспорт в случае утечки данных
Если вы увидели, что на каком-то интернет-ресурсе выложены ваши паспортные данные или скан/фото вашего паспорта, сразу пишите в службу технической поддержки или автору публикации и требуйте удалить ее. Если на ваши требования не реагируют, обращайтесь в интернет-приемную Роскомнадзора (именно этот орган контролирует соблюдение законов при обработке персональных данных). Получив вашу жалобу, пользователя обяжут удалить информацию о вас.
Для подтверждения нарушения потребуется нотариально заверенный скриншот публикации/страницы, где размещен ваш паспорт. Вы также можете обратиться в суд, и он обяжет владельца интернет-ресурса удалить информацию, нарушающую ваши права. Но это долгий процесс, замечает Матвей Гончаров:
– Опубликовавший ваши данные человек нарушил закон – заявляйте ему об этом и ссылайтесь на закон «О персональных данных». Не удаляя ваши данные, он вновь нарушает закон. Согласно ему, сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников по требованию самого субъекта (в письменной форме), суда или уполномоченного органа.
Одновременно с этим пишите заявление о возбуждении уголовного дела в отделение полиции по месту вашего жительства с указанием обстоятельств произошедшего. Если у вас уже есть на руках копия постановления о возбуждении уголовного дела и о признании вас потерпевшим, копии этих постановлений вы также приложите к заявлению в финансовую организацию, оформившую на ваше имя кредит.
Постарайтесь минимизировать нанесенный вам ущерб. Вы не можете ручаться, что ваши паспортные данные не остались у кого-то после удаления публикации с ними и что злоумышленники не обнародует их снова, поэтому лучше заменить российский паспорт. Обратитесь в ОВД с заявлением о потере документа и заплатите госпошлину за новый паспорт и штраф. Если ваши данные «утекли» из банка, закройте счета и карты и откройте новые – по возможности в другом банке.
Коллажи Оксаны РОМАНОВОЙ