Что хранит ваш смартфон и чем это опасно

Информацию о вас: ФИО, дату рождения, телефон и email, паспортные данные в альбоме вашего телефона.
Если получить эти данные, можно: оформить на вас кредит, подписать вас на рекламные рассылки, и даже оформить себе КЭП и продать вашу квартиру.

Доступ к государственным сервисам: приложение Госуслуг.
Если вы ставите простейший логин/пароль и пренебрегаете двухфакторной аутентификацией — за вас могут получить любые государственные услуги, и не будет никакой гарантии, что это сделали именно вы.

Доступ к вашим деньгам: мобильные и интернет-банки, электронные кошельки, google pay/apple pay, данные карт.
Если его перехватить, можно: украсть ваши деньги, делать покупки за ваш счет, оформить на вас кредит и сразу похитить кредитные деньги.

Доступ к контактам и перепискам: телефонные номера, переписки в Whatsapp/Телеграме и соцсетях.
Если его получить, можно: шантажировать вас содержимым ваших чатов, вымогать деньги у ваших близких, просить в долг от вашего имени.

Личные фото: фото в вашей квартире и во дворе, на работе, личные скриншоты, интимные фото.
Если их получить, можно: найти материал для шантажа, опубликовать личные снимки в сети, использовать ваши фотографии для оформления аккаунтов мошенников.

Информацию о вас: ФИО, дату рождения, телефон и email, паспортные данные в альбоме вашего телефона.
Если получить эти данные, можно: оформить на вас кредит, подписать вас на рекламные рассылки, и даже оформить себе КЭП и продать вашу квартиру.

Доступ к государственным сервисам: приложение Госуслуг.
Если вы ставите простейший логин/пароль и пренебрегаете двухфакторной аутентификацией — за вас могут получить любые государственные услуги, и не будет никакой гарантии, что это сделали именно вы.

Доступ к вашим деньгам: мобильные и интернет-банки, электронные кошельки, google pay/apple pay, данные карт.
Если его перехватить, можно: украсть ваши деньги, делать покупки за ваш счет, оформить на вас кредит и сразу похитить кредитные деньги.

Доступ к контактам и перепискам: телефонные номера, переписки в Whatsapp/Телеграме и соцсетях.
Если его получить, можно: шантажировать вас содержимым ваших чатов, вымогать деньги у ваших близких, просить в долг от вашего имени.

Личные фото: фото в вашей квартире и во дворе, на работе, личные скриншоты, интимные фото.
Если их получить, можно: найти материал для шантажа, опубликовать личные снимки в сети, использовать ваши фотографии для оформления аккаунтов мошенников.

Технологии помогли мошенникам создать несколько новых схем, но самые популярные из них по-прежнему основаны на обычном обмане, манипуляции и страхе.

Разберем все способы, которыми у вас могут украсть данные и как-то вам навредить, используя ваш смартфон.

Социальные способы: обмануть вас, чтобы вы сами предоставили нужные доступы или отдали деньги

Технические способы: взломать ваш телефон и завладеть доступами

→ Устанавливаете приложение из неофициальных магазинов.

→ Реже, но возможно — устанавливаете зараженное приложение из официальных магазинов. Как только служба безопасности магазина это выявит, вам предложат обновиться на безопасную версию.

→ Переходите по ссылкам из подозрительных смс и писем.
​
→ Скачиваете и просматриваете вложения из электронной почты.

Как мошенники могут получить эти данные

Технологии помогли мошенникам создать несколько новых схем, но самые популярные из них по-прежнему основаны на обычном обмане, манипуляции и страхе.

Разберем все способы, которыми у вас могут украсть данные и как-то вам навредить, используя ваш смартфон.

Социальные способы: обмануть вас, чтобы вы сами предоставили нужные доступы или отдали деньги

Позвонить вам от имени банка. Даже в банках бывают утечки, и тогда вам начинают звонить якобы «сотрудники службы безопасности», которые знают ваше ФИО и где вы держите деньги.

Разговор пойдет о том, что на вас берут кредит, вы только что совершили подозрительную операцию и пытаетесь перевести кому-то 15 тысяч рублей, вам меняют телефонный номер, привязанный к мобильному банку. Или другой предлог, из-за которого вы должны назвать код из смс-сообщения, кодовое слово, паспортные данные или что-нибудь еще.

Всё, что нужно знать об этом способе обмана — банки не решают такие вопросы по телефону. Если они заметят что-то подозрительное — они заблокируют счет и подождут, пока вы сами к ним придете.

Написать вам в мессенджерах/соцсетях и выманить деньги. Частый сценарий такой атаки — кто-то взламывает аккаунт вашего друга, пишет вам от его имени и просит срочно занять ему в долг.

Мошенники изучают переписку и используют личные факты, чтобы их обман выглядел убедительно — если друг жаловался вам на задержку зарплаты или неадекватного хозяина квартиры, мошенник использует эти темы как предлог для займа.

Технические способы: взломать ваш телефон и завладеть доступами

→ Устанавливаете приложение из неофициальных магазинов.
​
→ Реже, но возможно — устанавливаете зараженное приложение из официальных магазинов. Как только служба безопасности магазина это выявит, вам предложат обновиться на безопасную версию.
​
→ Переходите по ссылкам из подозрительных смс и писем.
​
→ Скачиваете и просматриваете вложения из электронной почты.

Большинство исследовательских компаний выделяют следующие виды угроз:

Adware и кликеры. В основном они просто показывают вам неинтересную рекламу и генерируют искусственные переходы на сайты рекламодателей. Особой опасности они не представляют, просто бесят.

Spyware. ПО крадёт персональные данные и следит за своим носителем. Может перехватывать смс или push-коды подтверждения операций.

Дроппер. Загрузчик других вредоносных приложений. Может завезти к вам на устройство любой вирус, троянец и прочую гадость.

Вирус. Выводит из строя конкретное приложение или одну из функций устройства, шифрует девайс или вешает на главный экран порнобаннер и просит выкуп в биткоинах.

→ Используйте VPN при подключении к общедоступным сетям Wi-Fi.
​
→ Скачивайте приложения только из официальных магазинов.
​
→ Регулярно устанавливайте обновления ОС.
​
→ Используйте двухфакторную аутентификацию. Это защита, в которой вы для входа в систему сначала вводите логин и пароль, а потом еще подтверждаете кодом из смс или push-уведомления, что это правда вы. Приложения сами предложат вам ее подключить.
​
→ Не давайте избыточные разрешения приложениям: приложению «Фонарик» не нужен доступ к фотографиям и геолокации.

→ Не давайте телефон в руки незнакомым людям и неофициальным экспертам, не предоставляйте удаленный доступ к телефону недоверенному источнику, например, сотруднику банка по телефону.
​
→ Не получайте права суперпользователя на своём устройстве: это root для Android и Jailbreak для iPhone. Обычно такие права нужны для установки альтернативной прошивки, которая заблокирует официальные обновления ОС.

И, конечно, всегда оставайтесь осмотрительным. Мошенники создают иллюзию срочности и не дают подумать — сделайте паузу, минута на размышления может вас уберечь.

Когда вам звонят из банка или пишут от чьего-то имени — просто перестаньте с ними разговаривать. Позвоните в банк сами по номеру на сайте, и если подозреваете, что угроза реальна — сходите в ближайшее отделение. Также и с другом — если кто-то просит у вас в долг, позвоните ему или напишите в другой чат.

→ Используйте VPN при подключении к общедоступным сетям Wi-FI.
​
→ Скачивайте приложения только из официальных магазинов.
​
→ Регулярно устанавливайте обновления ОС.
​
→ Используйте двухфакторную аутентификацию. Это защита, в которой вы для входа в систему сначала вводите логин и пароль, а потом еще подтверждаете кодом из смс или push-уведомления, что это правда вы. Приложения сами предложат вам ее подключить.
​
→ Не давайте избыточные разрешения приложениям: приложению «Фонарик» не нужен доступ к фотографиям и геолокации.

→ Не давайте телефон в руки незнакомым людям и неофициальным экспертам, не предоставляйте удаленный доступ к телефону недоверенному источнику, например, сотруднику банка по телефону.
​
→ Не получайте права суперпользователя на своём устройстве: это root для Android и Jailbreak для iPhone. Обычно такие права нужны для установки альтернативной прошивки, которая заблокирует официальные обновления ОС.

И, конечно, всегда оставайтесь осмотрительным. Мошенники создают иллюзию срочности и не дают подумать — сделайте паузу, минута на размышления может вас уберечь.

Когда вам звонят из банка или пишут от чьего-то имени — просто перестаньте с ними разговаривать. Позвоните в банк сами по номеру на сайте, и если подозреваете, что угроза реальна — сходите в ближайшее отделение. Также и с другом — если кто-то просит у вас в долг, позвоните ему или напишите в другой чат.

Каким приложениям можно доверять

Что касается данных внутри приложения — чтобы понять, стоит ли доверять сервису какую-то информацию, вам нужно понимать, зачем он ее запрашивает.

Если вы хотите поиграть в Angry Birds, а у вас просят телефон, адрес и номер банковской карточки — это странно. Вы не приглашаете их к вам прийти, вы не просите их вам звонить, и игра бесплатная. А вот если вы делаете заказ в приложении H&M — то это нормально. Все это нужно, чтобы доставить заказ и прислать вам чеки.

Если вы пытаетесь создать электронную подпись, работать с документами, заключить договор или связаться с каким-то государственным ведомством — логично, что вам потребуется паспорт.

Например, в Nopaper. Если бы мы предлагали вам выпустить усиленную электронную подпись и обещали, что вы сможете подписывать документы, что все это будет юридически значимо и безопасно, и при этом не попросили ваш паспорт — мы были бы очень странными ребятами. Тогда вам бы стоило держаться от нас подальше.

Каким приложениям можно доверять

Что касается данных внутри приложения — чтобы понять, стоит ли доверять сервису какую-то информацию, вам нужно понимать, зачем он ее запрашивает.

Если вы хотите поиграть в Angry Birds, а у вас просят телефон, адрес и номер банковской карточки — это странно. Вы не приглашаете их к вам прийти, вы не просите их вам звонить, и игра бесплатная. А вот если вы делаете заказ в приложении H&M — то это нормально. Все это нужно, чтобы доставить заказ и прислать вам чеки.

Если вы пытаетесь создать электронную подпись, работать с документами, заключить договор или связаться с каким-то государственным ведомством — логично, что вам потребуется паспорт.

Например, в Nopaper. Если бы мы предлагали вам выпустить усиленную электронную подпись и обещали, что вы сможете подписывать документы, что все это будет юридически значимо и безопасно, и при этом не попросили ваш паспорт — мы были бы очень странными ребятами. Тогда вам бы стоило держаться от нас подальше.

Как Nopaper защищает ваши данные от других приложений, вирусов и утечек

Мы шифруем все ваши данные и передаем их на сервер по защищенному каналу. Сам процесс подписания документов построен на базе мобильной электронной подписи, без использования уязвимых каналов вроде СМС или push-уведомлений. Это безопаснее, потому что никто не может обмануть вас и выманить какой-нибудь код, чтобы использовать вашу подпись.

Само фото вашего паспорта Nopaper нигде не хранит — ни в памяти телефона, ни внутри приложения. Мы используем его только для подтверждения вашей личности, когда идентификация пройдена — фото удаляется.

Мы шифруем все ваши данные и передаем их на сервер по защищенному каналу. Сам процесс подписания документов построен на базе мобильной электронной подписи, без использования уязвимых каналов вроде СМС или push-уведомлений. Это безопаснее, потому что никто не может обмануть вас и выманить какой-нибудь код, чтобы использовать вашу подпись.

Само фото вашего паспорта Nopaper нигде не хранит — ни в памяти телефона, ни внутри приложения. Мы используем его только для подтверждения вашей личности, когда идентификация пройдена — фото удаляется.

Как верить этой статье, ведь Nopaper — тоже приложение. Вдруг именно мы и хотим вас обмануть?

Этой статьей мы пытались объяснить, что если бы мы хотели вас обмануть — мы нашли бы путь куда проще.

Мы разработали криптографическую технологию мобильной подписи, создали сервис обмена документами, продумали сотни сценариев, чтобы Nopaper работал и у корпораций, и у предпринимателей, и у обычных людей. Изучили всю законодательную базу, собрали команду. Слишком много усилий, чтобы получить скан паспорта.

Ведь если посмотреть правде в глаза, данные наших с вами паспортов есть у кого угодно: у операторов, провайдеров, стоматологий, риелторов, вокзалов, отелей и магазинов.

Их нет в интернете, потому что мы все соблюдаем требования ФЗ 152 «О персональных данных». Если мы его нарушим и по нашей вине произойдет утечка — нам грозит штраф в несколько миллионов рублей, уголовные дела и сроки для отдельных сотрудников. Это совсем не смешно.

Сбербанк Онлайн, Госуслуги, Nopaper и другие сервисы делают нашу жизнь легче — больше не нужно стоять в очереди в банке, чтобы отправить перевод родителям. Не надо ехать в паспортный стол за справкой. Не надо нанимать курьера, чтобы отправить документы партнерам. Все это можно сделать с телефона, пока едешь в лифте.

Этой статьей мы пытались объяснить, что если бы мы хотели вас обмануть — мы нашли бы путь куда проще.

Мы разработали криптографическую технологию мобильной подписи, создали сервис обмена документами, продумали сотни сценариев, чтобы Nopaper работал и у корпораций, и у предпринимателей, и у обычных людей. Изучили всю законодательную базу, собрали команду. Слишком много усилий, чтобы получить скан паспорта.

Ведь если посмотреть правде в глаза, данные наших с вами паспортов есть у кого угодно: у операторов, провайдеров, стоматологий, риелторов, вокзалов, отелей и магазинов.

Их нет в интернете, потому что мы все соблюдаем требования ФЗ 152 «О персональных данных». Если мы его нарушим и по нашей вине произойдет утечка — нам грозит штраф в несколько миллионов рублей, уголовные дела и сроки для отдельных сотрудников. Это совсем не смешно.

Сбербанк Онлайн, Госуслуги, Nopaper и другие сервисы делают нашу жизнь легче — больше не нужно стоять в очереди в банке, чтобы отправить перевод родителям. Не надо ехать в паспортный стол за справкой. Не надо нанимать курьера, чтобы отправить документы партнерам. Все это можно сделать с телефона, пока едешь в лифте.