Кража личных данных это тип мошенничества, при котором кто-то незаконно получает и использует личную информацию другого человека, такую ​​как имя, номер социального страхования, номера кредитных карт или другую личную информацию (PII), без согласия или ведома этого человека.

Основные цели похитителей личных данных — украсть деньги с банковских счетов жертвы, открыть новые кредитные линии и взять ссуды на имя жертвы, получить государственные льготы, арендовать квартиры или даже получить медицинские услуги, используя личность жертвы и страховую информацию. Некоторые распространенные методы, используемые похитителями личных данных, включают:

• Кража кошельков, сумок, почты или перемещение мусорных баков в поисках личных документов.
• Снятие номеров кредитных/дебетовых карт при обработке платежей
• Фишинговая афера с целью заставить людей раскрыть учетные данные для входа.
• Взлом корпоративных баз данных для получения доступа к записям клиентов
• Использование вредоносного ПО для регистрации нажатий клавиш и кражи данных для входа в систему

Как только у них будет достаточно личных данных, похитители личных данных могут, по сути, выдать себя за жертву, чтобы открыть новые кредитные счета, взять кредиты, получить доступ к льготам, обмануть при уплате налогов или совершить крупные покупки — и все это с использованием истинной личности жертвы.

Кража личных данных приводит к большим финансовым потерям, влияет на кредитный рейтинг и создает огромные трудности для жертв, когда они пытаются восстановить свою скомпрометированную личность и справиться с последствиями. Защита личной информации и мониторинг признаков кражи личных данных имеют решающее значение в современную цифровую эпоху.

Статистика мошенничества с личными данными

Мошенничество с личными данными является растущей проблемой, которая ежегодно обходится предприятиям и потребителям в миллиарды долларов. По имеющимся данным, только в 2023 году похитители личных данных украли более 43 миллиардов долларов. Ни одна компания не хочет, чтобы личная информация их клиентов (PII), такая как имена, адреса электронной почты, пароли и финансовые данные, попала в чужие руки. Однако серьезные нарушения и утечки происходят регулярно, часто из-за предотвратимых нарушений безопасности.

Три общих примера иллюстрируют ущерб, который может нанести мошенничество с личными данными:

• Нарушение Equifax: В 2017 году почти 150 миллионов американцев имели конфиденциальную личную информацию, такую ​​как имена, даты рождения, номера социального страхования и адреса, раскрытую из-за уязвимости веб-сайта.
• Взлом Yahoo: В 2017 году все 3 миллиарда учетных записей пользователей Yahoo были взломаны, а имена, адреса электронной почты, пароли и контрольные вопросы были украдены.
• Нарушение гола: В 2013 году 41 миллион покупателей получил доступ к зашифрованным PIN-кодам после того, как хакеры проникли в платежные системы ритейлера.

Тактика мошенничества с личными данными

Преступники используют различные скрытые средства для кражи личных данных, в том числе:

• Фишинг: Отправка законных электронных писем с целью обманом заставить людей ввести учетные данные для входа на поддельные веб-сайты.
• Вредоносное ПО: Заражение компьютеров и мобильных устройств кодом, записывающим нажатия клавиш или снимки экрана.
• Атаки грубой силы: Использование автоматизированных инструментов для быстрого подбора комбинаций логина и пароля.
• Взлом баз данных: Использование уязвимостей для получения несанкционированного доступа к корпоративным системам.

Предприятия должны внедрять строгие меры безопасности для защиты данных клиентов. Это включает в себя использование надежного шифрования, оперативное устранение уязвимостей программного обеспечения, обучение персонала протоколам безопасности и ограничение доступа к данным.

Многофакторная аутентификация

Одной из наиболее важных профилактических мер является внедрение двухфакторной (2FA) или многофакторной аутентификации (MFA), выходящей за рамки простого входа в систему с помощью пароля. Он добавляет дополнительные шаги проверки, такие как:

• Одноразовые пароли, отправленные по SMS или электронной почте, срок действия которых истекает немедленно.
• Приложения для аутентификации, которые генерируют новые коды входа каждые 30 секунд.
• Биометрический телефон разблокируется с помощью отпечатков пальцев или распознавания лиц.
• Push-уведомления, требующие согласия пользователя на отдельном устройстве

Беспарольная аутентификация с помощью WebAuthn также находится на подъеме. Этот стандарт шифрования позволяет людям входить в систему без ввода паролей, вместо этого полагаясь на биометрические данные, ключи безопасности и другие динамические факторы.

Меры предосторожности в отношении SaaS

Поставщики SaaS могут реализовать ряд архитектурных мер безопасности, чтобы хакерам или фишерам было чрезвычайно сложно получить (PII). Вот некоторые ключевые архитектуры и подходы:

• Архитектура нулевого доверия: Предположим, что сети настроены враждебно и постоянно проверяют каждый запрос. Используйте контроль доступа с минимальными привилегиями и надежную аутентификацию пользователей. Внедряйте модели микросегментации и безопасности без периметра.
• Конфиденциальные вычисления: Используйте безопасные анклавы, в которых личные данные зашифрованы вдали от операционной системы хоста. Данные остаются зашифрованными даже во время обработки, что предотвращает их раскрытие.
• Гомоморфное шифрование: Данные зашифрованы, поэтому вычисления можно выполнять с помощью зашифрованных текстов. При расшифровке результаты соответствуют действиям, как если бы они были выполнены в открытом тексте. Личную информацию никогда не нужно расшифровывать, что исключает риск раскрытия.
• Распределенное хранилище данных: Разделяйте и храните личные данные в нескольких системах хранения в разных юрисдикциях. Ни одна база данных не содержит полных записей PII, поэтому хакерам придется преодолевать несколько систем, чтобы восстановить данные.
• Анонимизация и псевдонимизация: Удалите или замените PII случайно сгенерированными токенами/псевдонимами. Используйте маскирование данных, запутывание и другие методы запутывания. Хранение ключей аутентификации отдельно от скрытых данных.
• Услуги по повышению конфиденциальности: Используйте протоколы безопасных многосторонних вычислений (MPC). Данные шифруются, распределяются и рассчитываются между несколькими поставщиками услуг. Ни один поставщик услуг не имеет доступа ко всем конфиденциальным данным.

Разрабатывая архитектуру с использованием подобных передовых подходов, SaaS-компании могут сделать криптографически и вычислительно невозможным для злоумышленников доступ к понятным личным данным даже в случае взлома.

Последствия кражи личных данных и мошенничества разрушительны как для бизнеса, так и для частных лиц. Сделав защиту данных клиентов главным приоритетом и внедрив современные протоколы MFA, компании могут защитить себя от преступных тактик и сохранить с трудом заработанное доверие потребителей.