База сданных: утечки персональной информации у вузов увеличились на 36%
Наибольшее число подобных утечек в вузах фиксируется не в середине года, а в преддверии нового сезона учебы. С чем связан рост мошеннических схем, какие уловки используются чаще всего и как себя защитить — в материале «Известий».
Спрос на данные
Киберпреступники, охотящиеся за персональными сведениями, переключили внимание на высшие учебные заведения, отметил в беседе с «Известиями» глава Ассоциации развития финансовой грамотности Эльман Мехтиев. Злоумышленники извлекают из университетских баз данные студентов и сотрудников, а затем перепродают эти массивы мошенникам для использования в противоправных схемах. По его словам, именно вузы оказались новой мишенью после ряда атак на другие структуры.
— Так как методы социальной инженерии хорошо «работают» в периоды, когда нет активного взаимодействия учащихся с вузами, именно в эти периоды растет спрос на такие данные, а значит, и растет количество таких атак, — отметил эксперт. — Защита данных и инфраструктуры требует значительных инвестиций как в саму IT-инфраструктуру, так и в процессы, и в процедуры по использованию данных, хранящихся в их «периметре». Это еще одна причина того, что мы до сих пор узнаем о таких утечках.
Увеличение числа мошеннических схем вокруг вузов — следствие двух процессов, заявил «Известиям» президент Торгово-промышленной палаты (ТПП) РФ Сергей Катырин.
— С одной стороны, идет бурный рост цифровизации образовательной среды: сегодня порядка 80−90% сервисов приемных комиссий уже переведено в онлайн. С другой стороны, персональные данные студентов и абитуриентов становятся «цифровым золотом»: это не только паспортные сведения, но и результаты экзаменов, контакты, информация о родителях, — напомнил он.
По его словам, именно во время наплыва абитуриентов, когда в онлайн-системах аккумулируются десятки тысяч заявок и документов, злоумышленники действуют особенно активно. В такие периоды они прибегают к проверенным методам: создают поддельные версии сайтов университетов, рассылают массовые письма с требованиями подтвердить личные сведения или дослать недостающие файлы, а также совершают телефонные звонки, представляясь членами приемных комиссий. Кроме того, нередко используются уловки с предложением фиктивных услуг — например, платного «ускоренного зачисления» или даже доступа к несуществующим «стипендиям за отдельную плату».
— Чтобы минимизировать риски, необходимо действовать на двух уровнях. Студентам и их семьям стоит помнить: университеты никогда не запрашивают паспортные данные и переводы через сторонние ссылки. А сами вузы должны инвестировать в киберзащиту, тестировать свои системы на уязвимости, оперативно информировать абитуриентов о реальных каналах связи, — уверен Сергей Катырин. — Доверие к цифровым сервисам образования — это не только вопрос удобства, но и репутационная устойчивость всего сектора.
Психологическое давление
Заведующий лабораторией искусственного интеллекта, нейротехнологий и бизнес-аналитики РЭУ им. Г.В. Плеханова Тимур Садыков в разговоре с «Известиями» отметил, что поступление в университет становится переломным моментом для многих. На этом этапе человек сталкивается с резким расширением круга знакомств, множеством новых обязанностей и необходимостью самостоятельно принимать решения в сжатые сроки. По его словам, подобные перемены способны временно выбить из равновесия даже наиболее рассудительных и осторожных студентов.
— Телефонные мошенники систематически атакуют студентов высших учебных заведений (равно как и их сотрудников), видя в них потенциальных жертв. В первую очередь, в зоне риска находятся новоиспеченные первокурсники, не все из которых успели сориентироваться в вихре новых дел. Как правило, злоумышленники представляются сотрудниками вуза и требуют передачи персональных данных, кодов из СМС, в отдельных относительно редких случаях — денежных переводов под теми или иными предлогами, — считает он.
Для повышения правдоподобия злоумышленники нередко прибегают к поддельным документам, а также к коротким видеозаписям — как настоящим, так и созданным при помощи нейросетей, пояснил эксперт. В некоторых случаях ради воздействия на одного единственного человека преступники выстраивают целый виртуальный спектакль со сложной драматургией. При этом ведущие российские университеты обеспечивают надежную защиту баз с персональными данными студентов и преподавателей. Однако мошенники часто находят пути к будущим жертвам через открытые источники — в первую очередь социальные сети, парсинг которых они уже давно превратили в отлаженный и массовый инструмент.
— Студентам и сотрудникам следует в общении с вузом полагаться на официальные каналы связи (корпоративную почту, личный кабинет студента и т. п.), они хорошо защищены и крайне редко оказываются в распоряжении преступников. Следует с величайшим скепсисом относиться к любым требованиям предоставления данных, поступающих от лица сотрудников вуза через мессенджеры, частные электронные адреса и с неизвестных телефонных номеров, — подчеркнул он.
Тимур Садыков отметил, что практически всегда речь идет именно о мошеннических попытках, и единственно верным способом защиты станет самостоятельная проверка сведений через официальные каналы университета. Студент или сотрудник должен лично инициировать обращение к представителям вуза, используя только проверенные способы связи. В качестве наилучшего решения для первокурсников эксперт посоветовал посетить деканат и лично познакомиться с кураторами, которые смогут дать разъяснения и ответить на любые возникающие вопросы.
Если абитуриент или студент сталкивается с ситуацией, когда его персональные данные попали в руки мошенников, важно действовать максимально быстро и последовательно, чтобы минимизировать возможные последствия. В первую очередь, необходимо зафиксировать сам факт утечки. Для этого стоит сохранить все подозрительные письма, сообщения, звонки или скриншоты из мессенджеров и социальных сетей. Эти материалы могут пригодиться при обращении в официальные органы. Затем нужно обратиться в администрацию учебного заведения, объяснить ситуацию и уточнить, могли ли сведения попасть в чужие руки через внутренние системы университета. Специалисты деканата или ответственные сотрудники могут дать инструкции, как обезопасить дальнейшее использование данных и куда именно направить заявление.
