Крадіжка особистих даних, крадіжка особистості, або крадіжка ідентичності — викрадення особистих даних іншої особи, як-от ім'я, ідентифікаційний номер або номер кредитної картки, без дозволу, для вчинення шахрайства чи інших злочинів. Термін крадіжка особистих даних був введений у 1964 році[1]. З того часу визначення крадіжки особистих даних було юридично визначено як у Великій Британії, так і в США як крадіжка інформації, що ідентифікує особу. При вчиненні крадіжки особистих даних навмисно використовується чужа особа як спосіб отримати фінансову вигоду, кредит чи інші вигоди[2]. Особа, чиї дані було вкрадено, може зазнати несприятливих наслідків[3], особливо якщо її неправдиво притягнуть до відповідальності за дії злочинця. Особиста інформація, як правило, включає ім'я людини, дату народження, номер соціального страхування, номер водійського посвідчення, номер банківського рахунку або кредитної картки, PIN-коди, електронні підписи, відбитки пальців, паролі або будь-яку іншу інформацію, яка може бути використана для доступу до фінансових ресурсів особи[4].
Типи
Такі джерела, як неприбуткова організація Identity Theft Resource Center[5] поділяють крадіжки особистих даних на п'ять категорій:
Злочинна крадіжка особи (злочинець видає себе за іншу особу під час затримання за злочин)
Крадіжка фінансових даних (використання особистих даних іншої особи для отримання кредиту, товарів і послуг)
Клонування ідентичності (використання інформації про іншу людину для підтвердження її особи в повсякденному житті)
Крадіжка медичних даних (використання особистих даних іншої особи для отримання медичної допомоги або ліків)
Крадіжка особистості дитини (особа неповнолітнього використовується іншою особою для особистої вигоди самозванця).
Найпоширеніший вид крадіжки особистих даних пов'язаний з фінансами. Крадіжка фінансових даних включає отримання кредитів, позик, товарів і послуг, видаючи себе за когось іншого[7].
Клонування та приховування особистості
У цій ситуації зловмисник видає себе за когось іншого, щоб приховати свою справжню особу. Прикладами є нелегальні іммігранти, які приховують свій нелегальний статус, люди, які ховаються від кредиторів чи інших осіб, а також ті, хто просто хоче стати «анонімним» з особистих причин. Іншим прикладом є «позери», або самозванці, — люди, які використовують чужі фотографії та інформацію на сайтах соціальних мереж. Позери здебільшого створюють правдоподібні сторінки за участю друзів реальної людини, яку вони копіюють. На відміну від викрадення особистих даних з метою отримання кредиту, яке зазвичай виявляється, коли борги зростають, клонування та приховування може тривати нескінченно довго без виявлення, особливо якщо злодій може отримати фальшиві облікові дані, щоб викликати довіру до сторінки в соціальній мережі.
Методи отримання та використання особистої інформації
Зловмисники зазвичай отримують і використовують особисту інформацію про людей або різні облікові дані, які вони використовують для автентифікації, щоб видати себе за них. Наприклад:
Пошук особистої інформації в смітті
Отримання особистих даних з ІТ-обладнання та носіїв інформації, включаючи ПК, сервери, КПК, мобільні телефони, USB-накопичувачі та жорсткі диски, які були необережно утилізовані у громадських смітниках, віддані або продані без належної обробки.
Крадіжка банківських або кредитних карток, ідентифікаційних карток, паспортів, токенів автентифікації, зазвичай шляхом кишенькової крадіжки, злому або крадіжки пошти
Загальновідомі схеми опитування, які пропонують перевірку облікового запису, наприклад «Яке дівоче прізвище вашої матері?», «Яка була ваша перша модель автомобіля?» або «Як звали вашу першу домашню тварину?».
Збирання інформації з банківських або кредитних карток (кардинг) за допомогою портативних пристроїв для зчитування карток і створення карток-клонів
Використання «безконтактних» зчитувачів кредитних карток для бездротового отримання даних із паспортів із підтримкою RFID
Підглядання та підслуховування (Shoulder-Surfing) передбачає участь особи, яка непомітно спостерігає або чує, як інші надають цінну особисту інформацію. Особливо це робиться в місцях скупчення людей, оскільки відносно легко спостерігати за кимось, коли вони заповнюють форми, вводять PIN-коди в банкоматах або навіть вводять паролі на смартфонах.
Злом комп'ютерних мереж, систем і баз даних для отримання персональних даних, часто у великих кількостях
Використання витоків даних, які призводять до публікації або більш обмеженого розкриття особистої інформації, такої як імена, адреси, номер соціального страхування або номери кредитних карток
Реклама фіктивних пропозицій про роботу для накопичення резюме та заявок, які зазвичай розкривають імена кандидатів, домашні та електронні адреси, номери телефонів, а іноді і їхні банківські реквізити.
Використання внутрішнього доступу та зловживання правами привілейованих ІТ-користувачів на доступ до персональних даних у системах їхніх роботодавців
Проникнення в організації, які зберігають і обробляють великі обсяги або особливо цінну особисту інформацію
Видання себе за довірену організацію в електронних листах, SMS-повідомленнях, телефонних дзвінках або інших формах зв'язку з метою змусити жертв розкрити свою особисту інформацію чи облікові дані для входу, як правило, на підробленому корпоративному вебсайті або у формі збору даних (фішинг).
Злам слабких паролів та використання підказок для до запитань щодо скидання пароля
Перегляд вебсайтів соціальних мереж для пошуку особистих даних, опублікованих користувачами, часто використання цієї інформації, щоб виглядати більш достовірною в подальших діях соціальної інженерії
Перехоплення електронної чи паперової пошти жертви для отримання особистої інформації та облікових даних, як-от дані кредитних карток, рахунки та виписки з банківських/кредитних карток, або для затримки виявлення нових рахунків і кредитних угод, відкритих зловмисниками на імена жертв.
Використання фальшивих приводів для обману окремих осіб, представників служби підтримки клієнтів і працівників служби підтримки, щоб розкрити особисту інформацію та дані для входу або змінити паролі користувачів/права доступу (претекстування)
Викрадення чеків для отримання банківської інформації, включаючи номери рахунків і коди банків[9]
Низький рівень безпеки та захисту конфіденційності на фотографіях, які легко завантажувати на сайтах соціальних мереж.
Дружба з незнайомцями в соціальних мережах і використання їхньої довіри з метою отримання приватної інформації (Соціальна інженерія).
Захист особистих даних
Отримання персональних даних можливе через серйозні порушення конфіденційності. Для споживачів це зазвичай є наслідком того, що вони наївно надають свою особисту інформацію або облікові дані для входу викрадачам особистих даних (наприклад, під час фішингової атаки), але ідентифікаційні документи, такі як кредитні картки, банківські виписки, рахунки за комунальні послуги, чекові книжки тощо, також можуть бути фізично викрадені з транспортних засобів, будинків, офісів і не в останню чергу з поштових скриньок або безпосередньо від жертв кишеньковими злодіями та викрадачами сумок. Охорона особистих даних споживачами є найпоширенішою стратегією захисту, рекомендованою Федеральною торговою комісією США, канадською організацією Phone Busters і більшістю сайтів, які борються з крадіжкою особистих даних. Такі організації пропонують рекомендації щодо того, як люди можуть запобігти потраплянню своєї інформації в чужі руки.
Ринок
Існує ринок купівлі та продажу викраденої особистої інформації, який переважно знаходиться в даркнет-маркеті, але також і на інших чорних ринках[11]. Люди збільшують цінність викрадених даних, об'єднуючи їх із загальнодоступними даними, і знову продають їх для отримання прибутку, збільшуючи шкоду, яку можуть завдати людям, чиї дані були вкрадені[12].
Відомі викрадачі особистих даних і справи
Злом системи та крадіжка персональних даних американського агентства Equifax зі звітності про споживчі кредити у 2018.
Втрата даних про допомогу на дітей у Великобританії за 2007 рік
Френк Ебігнейл — американський консультант з безпеки та шахрай
Юрій Кондратюк — український інженер і математик (1897—1942), побоюючись репресій роздобув документи на ім'я Юрія Васильовича Кондратюка і під цим іменем прожив до кінця життя.
Чарльз Стопфорд — Американський самозванець, який видавав себе за графа Бекінгема та жив під псевдонімом Крістофер Бекінгем понад двадцять років.
↑Holt, Thomas J.; Smirnova, Olga; Chua, Yi-Ting (2016). Data thieves in action: examining the international market for stolen personal information. Palgrave Macmillan. ISBN978-1-137-58904-0.