Паспортные данные всплывают в телеграм-каналах, «служба безопасности» названивает по имени-отчеству, а в письме от «банка» почему-то есть точная сумма последней покупки. Если вы когда-нибудь задавались вопросом, где преступники берут эту информацию, — ответ прост: источников много, и половина из них держится на невнимательности самих пользователей. Ниже — восемь самых распространённых путей, через которые персональные данные уходят посторонним, с живыми примерами и практическими рекомендациями.
Фишинг: «Подтвердите аккаунт, иначе его заблокируют»
Суть схемы. Массовые письма, смс или сообщения в мессенджерах имитируют стиль банка, «Госуслуг», маркетплейса или курьерской службы. Задача — заставить человека перейти по ссылке и заполнить форму. Часто мошенники покупают готовые шаблоны сайтов-клонов в даркнете — 20–50 $ за пакет «Сбербанк», «Почта России» и т. д.
Что усложняет распознавание.
- SSL-сертификат. У поддельного сайта тоже горит «замочек» в адресной строке, поэтому ориентироваться только на «https» уже нельзя.
- Микроподмена домена.
bаnk.ru(латинская «a» заменена кириллической) илиgosusluqi.ruвместоgosuslugi.ru. - Персонализация. В тексте указывают ваше имя и даже последние цифры карты — эти данные могли появиться в результате ранних утечек.
Свежий пример. Весной 2023 года более 45 тыс. клиентов PayPal получили письмо о «подозрительной активности». Клонированный сайт требовал логин и пароль, а вторая страница — номер карты. Исследование «Лаборатории Касперского» показало: около 12 % адресатов передали данные полностью.
Как защититься. Проверяйте домен буква в букву, не переходите по ссылкам из писем, а входите на сайт банка вручную через закладку. Включите двухфакторную аутентификацию — даже украденный пароль не откроет счёт без второго фактора.
Социальная инженерия: давление на эмоции
Как это работает. Злоумышленник играет роль авторитетной или «срочной» фигуры: сотрудник банка, налоговой, службы безопасности. Скрипт разговора рассчитан на страх, спешку или сочувствие.
- Приём «срочность + спасение». «Прямо сейчас идёт списание 30 000 ₽. Чтобы его остановить, назовите код из смс». Жертва действует, не успев задуматься.
- Приём «родственник в беде». «Мам, у меня авария, нужны деньги быстро!» — используется прослушка открытых соцсетей, чтобы узнать имена членов семьи.
Реальный случай. В 2022 году в США аферисты выдали себя за налоговую службу. Под угрозой «ареста за неуплату» пенсионеры перевели 2 млн $. Отчёт FBI ссылка указывает: 75 % жертв признались, что подкупила «уверенность звонящего» и упоминание реального адреса.
Совет. Всегда перезванивайте в организацию по номеру с официального сайта, а не продолжайте разговор по входящему звонку.
Взломы баз данных компаний
Три типичные слабости серверов.
- Устаревшее ПО с известными уязвимостями.
- Слабый пароль администратора («admin123»).
- Открытый S3-бакет или папка в «облаке» без авторизации.
Крупные утечки 2024-2025 гг.
- Silent Crow → подрядчик «Ростелекома» (2025). 154 тыс. e-mail и 101 тыс. телефонов корпоративных клиентов.
- Yandex Eat (2022). В открытом доступе — имена, телефоны и адреса клиентов доставки. Компания подтвердила, что утечка произошла «из-за действий одного из сотрудников».
Что можно сделать. Используйте разные e-mail для банков, покупок и форумов. Тогда, увидев внезапное письмо «от банка» на «покупательском» адресе, легко понять, что это подделка.
Вредоносное ПО: вирусы, трояны, кейлоггеры
Как попадает. Через вложения «счёт в PDF», взломанные сайты с баннерами или apk, скачанные из Telegram-каналов «бесплатные фильмы». После запуска троян устанавливает вторую стадию — кейлоггер или удалённый доступ (RAT).
Цепочка заражения Emotet (упрощённо).
- Письмо «Срочно! неоплаченный счёт» + Word-файл.
- Жертва включает макрос → скачивается исполняемый файл.
- Emotet «выкачивает» пароли браузера и рассылает себя дальше, используя адресную книгу Outlook.
Защита. Обновляйте ОС, не запускайте макросы в документах «с улицы», держите мобильный антивирус с проверкой apk до установки.
Соцсети и открытые источники: добровольная утечка
По данным исследования We Are Social 2024 , средний россиянин делится в соцсетях не менее 8 личными деталями в месяц: дата рождения, геометка, семейный статус. Мошенники собирают эти крупицы через парсеры — и получают идеальный набор для таргетированной атаки, подбора пароля или подделки документов.
Совет. Удалите из профиля телефон, отложите публикацию фото посадочного талона до возврата домой, уберите точную дату рождения — достаточно месяца и дня без года.
Публичные Wi-Fi-сети: бесплатный сыр с ловушкой
Сценарий «Evil Twin». Злоумышленник создаёт точку с тем же названием, что и реальная сеть кафе. Ваш смартфон подключается автоматически, думая, что это знакомый Wi-Fi. Всю нешифрованную переписку, а иногда и содержимое HTTPS-страниц (при атаке SSL-strip) перехватывает злоумышленник.
Минимизируем риск. Используйте VPN, отключите авто-подключения к открытым сетям, не оплачивайте покупки и не вводите пароли в бесплатном Wi-Fi.
Мобильные приложения-ловушки
Как вычислить. Фонарик запрашивает доступ к контактам? Игрушка требует читать ваши смс? Это сигнал удалить apk. По отчёту Google Play 2023, 1,7 млн приложений удалены за скрытый сбор данных, однако часть успела набрать до 620 тыс. установок.
Совет. Скачивайте программы только из официальных магазинов, проверяйте отзывы, а после установки сразу смотрите список разрешений в настройках.
Внутренние утечки: человеческий фактор
Данные уходят либо сознательно (продажа базы конкуренту), либо по неосторожности (папка «Клиенты» открыта «для всех»). Исследование «СёрчИнформ» за 2024 год показало: 62 % инцидентов связаны с ошибками персонала, а не злым умыслом. Новый закон (ноябрь 2024 г.) уже предусматривает до 5 лет лишения свободы даже за халатность.
Что делать обычному клиенту. Раздавайте минимальный набор данных: для программы лояльности достаточно e-mail, а не серии и номера паспорта.
Что запомнить
Мошенники комбинируют техники: фишинг + телефонный звонок, база утечки + социальная инженерия. Полностью исключить риски нельзя, но можно уменьшить шанс стать удобной целью:
- Скептически относитесь к любым «срочным» письмам и звонкам.
- Проверяйте адрес сайта до последней буквы.
- Не публикуйте лишнее в открытом доступе.
- Ставьте 2FA и разные пароли для разных сервисов.
- Следите за разрешениями приложений и обновляйте устройства.
Кибергигиена похожа на ремень безопасности: неудобно пристёгиваться каждый раз, пока авария не случится. Но когда случится, вы будете рады, что потратили пару секунд на эту «неудобную» процедуру.
