Откуда мошенники берут ваши данные: простое объяснение 8 популярных схем

Паспортные данные всплывают в телеграм-каналах, «служба безопасности» названивает по имени-отчеству, а в письме от «банка» почему-то есть точная сумма последней покупки. Если вы когда-нибудь задавались вопросом, где преступники берут эту информацию, — ответ прост: источников много, и половина из них держится на невнимательности самих пользователей. Ниже — восемь самых распространённых путей, через которые персональные данные уходят посторонним, с живыми примерами и практическими рекомендациями.

Фишинг: «Подтвердите аккаунт, иначе его заблокируют»

Суть схемы. Массовые письма, смс или сообщения в мессенджерах имитируют стиль банка, «Госуслуг», маркетплейса или курьерской службы. Задача — заставить человека перейти по ссылке и заполнить форму. Часто мошенники покупают готовые шаблоны сайтов-клонов в даркнете — 20–50 $ за пакет «Сбербанк», «Почта России» и т. д.

Что усложняет распознавание.

• SSL-сертификат. У поддельного сайта тоже горит «замочек» в адресной строке, поэтому ориентироваться только на «https» уже нельзя.
• Микроподмена домена. bаnk.ru (латинская «a» заменена кириллической) или gosusluqi.ru вместо gosuslugi.ru.
• Персонализация. В тексте указывают ваше имя и даже последние цифры карты — эти данные могли появиться в результате ранних утечек.

Свежий пример. Весной 2023 года более 45 тыс. клиентов PayPal получили письмо о «подозрительной активности». Клонированный сайт требовал логин и пароль, а вторая страница — номер карты. Исследование «Лаборатории Касперского» показало: около 12 % адресатов передали хакерам свои данные полностью.

Как защититься. Проверяйте домен буква в букву, не переходите по ссылкам из писем, а входите на сайт банка вручную через закладку. Включите двухфакторную аутентификацию — даже украденный пароль не откроет счёт без дополнительного подтверждения.

Социальная инженерия: давление на эмоции

Как это работает. Злоумышленник играет роль авторитетной фигуры: представляется сотрудником банка, налоговой, службы безопасности. Скрипт разговора рассчитан на то, чтобы вызвать у вас страх, спешку или сочувствие.

• Приём «срочность + спасение». «Прямо сейчас идёт списание 30 000 ₽. Чтобы его остановить, назовите код из смс». Жертва выполняет любые поручения хакера, не успев задуматься.
• Приём «родственник в беде». «Мам, у меня авария, нужны деньги быстро!» — используется прослушка открытых соцсетей, чтобы узнать имена членов семьи.

Реальный случай. В 2022 году в США аферисты выдали себя за налоговую службу. Под угрозой «ареста за неуплату» пенсионеры перевели 2 млн $. Согласно отчёту ФБР , 75 % жертв признались, что подкупила «уверенность звонящего» и упоминание реального адреса.

Совет. Всегда сбрасывайте и перезванивайте в организацию по номеру с официального сайта, а не продолжайте разговор по входящему звонку.

Взломы баз данных компаний: как одна дыра превращается в миллионы записей на чёрном рынке

Как начинается атака. Хакеры редко идут напролом. Сначала они сканируют внешнюю сеть компании и собирают «карту» сервисов: версии CMS, панель администрирования, открытые порты. После этого выбирают самую слабую точку входа и двигаются по цепочке вверх, собирая права доступа и пароли.

Три частых «дырки», через которые утекают данные

1. Устаревшее ПО. На сервере до сих пор крутится CMS версии 4.1, а в свежем отчёте CVE уже описана критическая уязвимость 4.1.1. Хакеру остаётся запустить готовый эксплойт — доступ к базе получен.
2. Слабый пароль админа. Брутфорс по словарю занимает считаные минуты. После входа злоумышленник загружает PHP-шелл и выгружает таблицу пользователей.
3. Открытый бакет S3. DevOps вынес резервную копию базы в облако , но забыл поставить политику Private. Любой, кто знает ссылку, скачивает dump.sql размером 20 ГБ без авторизации.

Что обычно уходит в даркнет

• ФИО, телефоны, e-mail
• Хеши паролей (а иногда и пароли в чистом виде)
• История заказов, суммы покупок, адреса доставки
• Скрытые поля с платёжными токенами, если разработчики забыли обезличить данные

Громкие утечки последних лет

• Silent Crow → подрядчик Ростелекома (январь 2025) . 154 000 e-mail и 101 000 телефонов юрлиц. Вход получили через устаревший офисный VPN без двухфакторки.
• База Yandex Eat (март 2022) . В открытый доступ попали имена, телефоны и адреса сотен тысяч клиентов. Виновником признали сотрудника поддержки, который выгрузил CSV и забыл удалить из личного Git-репозитория.
• LeakCheck 2024 (отчёт Роскомнадзора) . Регулятор зафиксировал 135 инцидентов — суммарно утекло более 710 млн строк персональных данных. Почти 60 % случаев связаны с плохой настройкой облачных хранилищ.

Вредоносное ПО: от письма с вложением до полного захвата устройства

Точки входа. Чаще всего трояны проникают тремя путями:

1. Письмо-приманка со счётом в PDF или Word-документом. Внутри — макрос, который скачивает исполняемый файл с сервера злоумышленника.
2. Взломанный сайт с рекламным баннером. Достаточно зайти — и через эксплойт-kit браузер подтягивает скрипт, который загружает вредонос.
3. APK из Telegram-канала «бесплатные фильмы». После установки приложение запрашивает разрешение «Чтение смс» и «Доступ к уведомлениям» — получив их, отправляет коды 2FA автору атаки.

Как это выглядит на примере Emotet. Отчёт CISA описывает цепочку:

1. Письмо «Срочно! неоплаченный счёт» + Word-файл.
2. Жертва включает макрос → скачивается DLL-библиотека.
3. Emotet устанавливает кейлоггер, крадёт пароли браузера и рассылает себя дальше через Outlook, используя адресную книгу владельца.

Защита. Обновляйте ОС и браузер, не включайте макросы в документах из почты, ставьте мобильный антивирус с облачной проверкой APK перед установкой.

Соцсети и открытые источники: добровольная утечка информации

Согласно отчёту We Are Social Digital 2024 , средний россиянин ежемесячно выкладывает в соцсети не меньше восьми личных деталей — дату рождения, геометку фотографии, семейный статус. Специализированные парсеры собирают эти «крупицы» и составляют профиль жертвы для таргетированного фишинга или подбора паролей.

Совет. Уберите телефон из открытых полей профиля, публикуйте фото посадочного талона только после возвращения домой, не пишите год рождения — достаточно дня и месяца.

Публичные Wi-Fi-сети: как работает сценарий Evil Twin

Злоумышленник запускает ноутбук в режиме точки доступа с именем FreeAirportWiFi. Смартфон видит знакомый SSID и коннектится автоматически. Дальше атакующий включает прокси-сниффер:

1. Трафик без шифрования (HTTP) читается сразу.
2. HTTPS понижается до HTTP с помощью техники SSL-strip, если сайт не использует HSTS.
3. Логины, куки и номера карт уходят в лог-файл.

Подробно техника описана в исследовании Kaspersky Evil Twin .

Минимизируем риск. Используйте VPN, отключите авто-подключение к открытым сетям, не вводите пароли и не оплачивайте покупки в бесплатном Wi-Fi.

Мобильные приложения-ловушки: лишние разрешения выдают злоумышленника

Google в ежегодном отчёте Play Safety 2023 рассказал, что удалил 1,7 млн приложений за скрытый сбор данных. Часть из них успела набрать до 620 тыс. установок.

Как распознать вредное APK. «Фонарик» просит доступ к контактам и журналу вызовов, игрушка — разрешение читать смс. Если запрос не объясним логикой работы приложения — удаляйте без раздумий.

Совет. Скачивайте программы только из официальных магазинов, проверяйте отзывы, а после установки сразу ревизируйте список разрешений.

Внутренние утечки: когда данные уносят свои

Файл можно потерять по глупости или украсть умышленно. Исследование СёрчИнформ 2024 показывает: 62 % утечек в промышленности связаны с сотрудниками, причём две трети из них — случайные ошибки. Российский уголовный кодекс с ноября 2024 года предусматривает до пяти лет лишения свободы за халатное обращение с персональными данными.

Что делать клиенту. Давать минимум сведений: для программы лояльности достаточно e-mail, а не серии и номера паспорта. Любой лишний атрибут увеличивает ущерб в случае взлома.

Что запомнить

Мошенники комбинируют техники: фишинг + телефонный звонок, база утечки + социальная инженерия. Полностью исключить риски нельзя, но можно уменьшить шанс стать удобной целью:

• Скептически относитесь к любым «срочным» письмам и звонкам.
• Проверяйте адрес сайта до последней буквы.
• Не публикуйте лишнее в открытом доступе.
• Ставьте 2FA и разные пароли для разных сервисов.
• Следите за разрешениями приложений и обновляйте устройства.

Кибергигиена похожа на ремень безопасности: неудобно пристёгиваться каждый раз, пока авария не случится. Но когда случится, вы будете рады, что потратили пару секунд на эту неудобную процедуру.