«Я что дурак свой паспорт сканировать»: как доверить приложению персональные данные и не вляпаться в неприятности?
Кратко: не важно, отсканируете ли вы свой паспорт. Ваш телефон УЖЕ знает о вас слишком много. Единственный способ защитить себя — это соблюдать правила «цифровой гигиены»: скачивать приложения только из официальных магазинов, использовать двухфакторную аутентификацию и НИКОГДА не отвечать на подозрительные входящие звонки от «банков».
А теперь подробно.
Оглавление
Что хранит ваш смартфон и чем это опасно
Информацию о вас: ФИО, дату рождения, телефон и email, паспортные данные в альбоме вашего телефона.
Если получить эти данные, можно: оформить на вас кредит, подписать вас на рекламные рассылки, и даже оформить себе КЭП и продать вашу квартиру.
Доступ к государственным сервисам: приложение Госуслуг.
Если вы ставите простейший логин/пароль и пренебрегаете двухфакторной аутентификацией — за вас могут получить любые государственные услуги, и не будет никакой гарантии, что это сделали именно вы.
Доступ к вашим деньгам: мобильные и интернет-банки, электронные кошельки, google pay/apple pay, данные карт.
Если его перехватить, можно: украсть ваши деньги, делать покупки за ваш счет, оформить на вас кредит и сразу похитить кредитные деньги.
Доступ к контактам и перепискам: телефонные номера, переписки в Whatsapp/Телеграме и соцсетях.
Если его получить, можно: шантажировать вас содержимым ваших чатов, вымогать деньги у ваших близких, просить в долг от вашего имени.
Личные фото: фото в вашей квартире и во дворе, на работе, личные скриншоты, интимные фото.
Если их получить, можно: найти материал для шантажа, опубликовать личные снимки в сети, использовать ваши фотографии для оформления аккаунтов мошенников.
Как мошенники могут получить эти данные
Технологии помогли мошенникам создать несколько новых схем, но самые популярные из них по-прежнему основаны на обычном обмане, манипуляции и страхе.
Разберём все способы, которыми у вас могут украсть данные и как-то вам навредить, используя ваш смартфон.
Социальные способы: обмануть вас, чтобы вы сами предоставили нужные доступы или отдали деньги
Позвонить вам от имени банка. Даже в банках бывают утечки, и тогда вам начинают звонить якобы «сотрудники службы безопасности», которые знают ваше ФИО, и где вы держите деньги.
Разговор пойдёт о том, что на вас берут кредит, вы только что совершили подозрительную операцию и пытаетесь перевести кому-то 15 тысяч рублей, вам меняют телефонный номер, привязанный к мобильному банку. Или другой предлог, из-за которого вы должны назвать код из смс-сообщения, кодовое слово, паспортные данные или что-нибудь еще.
Всё, что нужно знать об этом способе обмана — банки не решают такие вопросы по телефону. Если они заметят что-то подозрительное — они заблокируют счет и подождут, пока вы сами к ним придёте.
Написать вам в мессенджерах/соцсетях и выманить деньги. Частый сценарий такой атаки — кто-то взламывает аккаунт вашего друга, пишет вам от его имени и просит срочно занять ему в долг.
Технические способы: взломать ваш телефон и завладеть доступами
→ Устанавливаете приложение из неофициальных магазинов.
→ Реже, но возможно — устанавливаете зараженное приложение из официальных магазинов. Как только служба безопасности магазина это выявит, вам предложат обновиться на безопасную версию.
→ Переходите по ссылкам из подозрительных смс и писем.
→ Скачиваете и просматриваете вложения из электронной почты.
Большинство исследовательских компаний выделяют следующие виды угроз:
Adware и кликеры. В основном они просто показывают вам неинтересную рекламу и генерируют искусственные переходы на сайты рекламодателей. Особой опасности они не представляют, просто бесят.
Spyware. ПО крадёт персональные данные и следит за своим носителем. Может перехватывать смс или push-коды подтверждения операций.
Дроппер. Загрузчик других вредоносных приложений. Может завезти к вам на устройство любой вирус, троянец и прочую гадость.
Вирус. Выводит из строя конкретное приложение или одну из функций устройства, шифрует девайс или вешает на главный экран порнобаннер и просит выкуп в биткоинах.
Что вы можете сделать, чтобы защитить себя
→ Скачивайте приложения только из официальных магазинов.
→ Регулярно устанавливайте обновления ОС.
→ Используйте двухфакторную аутентификацию. Это защита, в которой вы для входа в систему сначала вводите логин и пароль, а потом еще подтверждаете кодом из смс или push-уведомления, что это правда вы. Приложения сами предложат вам ее подключить.
→ Не давайте избыточные разрешения приложениям: приложению «Фонарик» не нужен доступ к фотографиям и геолокации.→ Не давайте телефон в руки незнакомым людям и неофициальным экспертам, не предоставляйте удаленный доступ к телефону недоверенному источнику, например, сотруднику банка по телефону.
→ Не получайте права суперпользователя на своём устройстве: это root для Android и Jailbreak для iPhone. Обычно такие права нужны для установки альтернативной прошивки, которая заблокирует официальные обновления ОС.
И, конечно, всегда оставайтесь осмотрительным. Мошенники создают иллюзию срочности и не дают подумать — сделайте паузу, минута на размышления может вас уберечь.
Когда вам звонят из банка или пишут от чьего-то имени — просто перестаньте с ними разговаривать. Позвоните в банк сами по номеру на сайте, и если подозреваете, что угроза реальна — сходите в ближайшее отделение. Также и с другом — если кто-то просит у вас в долг, позвоните ему или напишите в другой чат.
Каким приложениям можно доверять
Что касается данных внутри приложения — чтобы понять, стоит ли доверять сервису какую-то информацию, вам нужно понимать, зачем он ее запрашивает.
Если вы хотите поиграть в Angry Birds, а у вас просят телефон, адрес и номер банковской карточки — это странно. Вы не приглашаете их к вам прийти, вы не просите их вам звонить, и игра бесплатная. А вот если вы делаете заказ в приложении H&M — то это нормально. Все это нужно, чтобы доставить заказ и прислать вам чеки.
Если вы пытаетесь создать электронную подпись, работать с документами, заключить договор или связаться с каким-то государственным ведомством — логично, что вам потребуется паспорт.
Например, в Nopaper. Если бы мы предлагали вам выпустить усиленную электронную подпись и обещали, что вы сможете подписывать документы, что все это будет юридически значимо и безопасно, и при этом не попросили ваш паспорт — мы были бы очень странными ребятами. Тогда вам бы стоило держаться от нас подальше.
Мы обязаны идентифицировать человека, которому выдаём электронную подпись.
Для этого мы проверяем паспорт — мы же не просто просим скан и кладем его в архив. Мы проверяем его по базе МВД — что такой человек правда существует, это настоящий действующий паспорт, он не украден и не утерян. Еще мы проверяем самого человека — просим пройти Liveness-тест. Он позволяет определить, что перед камерой находится живой человек, а не видео, манекен или маска. И что это тот самый человек, что и в паспорте.
Как Nopaper защищает ваши данные от других приложений, вирусов и утечек
Мы шифруем все ваши данные и передаем их на сервер по защищенному каналу. Сам процесс подписания документов построен на базе мобильной электронной подписи, без использования уязвимых каналов вроде СМС или push-уведомлений. Это безопаснее, потому что никто не может обмануть вас и выманить какой-нибудь код, чтобы использовать вашу подпись.
Само фото вашего паспорта Nopaper нигде не хранит — ни в памяти телефона, ни внутри приложения. Мы используем его только для подтверждения вашей личности, когда идентификация пройдена — фото удаляется.
Как верить этой статье, ведь Nopaper — тоже приложение. Вдруг именно мы и хотим вас обмануть?
Этой статьёй мы пытались объяснить, что если бы мы хотели вас обмануть — мы нашли бы путь куда проще.
Мы разработали криптографическую технологию мобильной подписи, создали сервис обмена документами, продумали сотни сценариев, чтобы Nopaper работал и у корпораций, и у предпринимателей, и у обычных людей. Изучили всю законодательную базу, собрали команду. Слишком много усилий, чтобы получить скан паспорта.
Ведь если посмотреть правде в глаза, данные наших с вами паспортов есть у кого угодно: у операторов, провайдеров, стоматологий, риелторов, вокзалов, отелей и магазинов.
Их нет в интернете, потому что мы все соблюдаем требования ФЗ 152 «О персональных данных». Если мы его нарушим и по нашей вине произойдёт утечка — нам грозит штраф в несколько миллионов рублей, уголовные дела и сроки для отдельных сотрудников. Это совсем не смешно.
Сбербанк Онлайн, Госуслуги, Nopaper и другие сервисы делают нашу жизнь легче — больше не нужно стоять в очереди в банке, чтобы отправить перевод родителям. Не надо ехать в паспортный стол за справкой. Не надо нанимать курьера, чтобы отправить документы партнёрам. Все это можно сделать с телефона, пока едешь в лифте.
Узнать больше про безопасность Nopaper
