что такое селфи с паспортом
Нельзя делать селфи с паспортом в руках
Как злоумышленники могут использовать эти данные
Такие фотографии требуют каршеринговые сервисы, банки, при определенных услугах интернет-магазины и работодатели, нанимающие удаленных сотрудников. Как солидные структуры, так и всякие отстойные шарашки.
Селфи с паспортом хранятся в базе данных компании. А потом «неожиданно» оказываются на сливных площадках Даркнета. Чем это грозит вам? У Варламова недавно было видео о конкретных примерах людей, чьи селфи с паспортом использовали мошенники для того, чтобы осложнить жизнь человеку, с конкретным прайсом на ваши личные данные.
В зависимости от количества данных, цены варьируются от 2 до 70 тыс руб. Причем, за 70 тыс можно узнать о человеке все. Начиная с конфиденциальных данных его документов и заканчивая операциями по картам и звонками с телефона, с указанием геолокации и другими подробностями, которые собирают солидные сервисы.
И это, если не считать данных, украденных с помощью взлома телефонов, хакерских атак, фишинговых сайтов и социальной инженерии. Помимо мошенников, такая информация интересует некоторых работодателей, супругов и любовников.
Какова вероятность стать жертвой утечки данных? Вы уже наверняка ею были, но не почувствовали дискомофорта лишь по причине того, что до вас нет дела тем злоумышленникам, кто занимается использованием украденных данных.
Кому интересна ваша переписка в соцсетях или мессенджерах, кроме «товарища майора»?
1. Телефонные мошенники, например, те самые «сотрудники службы безопасности банка».
2. Мошенничество на досках объявлений, когда вместо своих данных преступники скидывают ваши.
3. Распространение выдуманного компромата, где ваши данные придадут злоумышленникам бОльшую правдоподобность.
4. Верификация аккаунта мошенников, но с вашими данными, в платежной системе.
5. Регистрация на ваши данные сим-карты для последующего совершения с ее помощью преступлений.
6. Регистрация в каршерингах. Вам будут приходить штрафы или иные претензии, в случае совершения ДТП.
7. Оформление кредита на ваше имя.
8. Регистрация на ваше имя ИП.
Станьте членом КЛАНА и каждый вторник вы будете получать свежий номер «Аргументы Недели», со скидкой более чем 70%, вместе с эксклюзивными материалами, не вошедшими в полосы газеты. Получите премиум доступ к библиотеке интереснейших и популярных книг, а также архиву более чем 700 вышедших номеров БЕСПЛАТНО. В дополнение у вас появится возможность целый год пользоваться бесплатными юридическими консультациями наших экспертов.
Гик паранойя: чем опасно фото с паспортом в руках?
Делаете ли вы фотографии своих данных, селфи с паспортом в руках и т.д, когда сервисы просят это? Например каршеринги, букмекерские конторы и тд?
Я считаю, что в России такие данные часто перетекают к злоумышленникам, где используются для оформления кредитов, восстановления доступов и тд. Согласны ли вы с этим?
Оценить 3 комментария
конкретно на каршеринги фото делается из приложения, где редактировать нельзя 🙂
Делаете ли вы фотографии своих данных, селфи с паспортом в руках и т.д, когда сервисы просят это?
Я считаю, что в России такие данные часто перетекают к злоумышленникам
серьезные сервисы подтверждают скайпом или вообще спец чатами, с видео, разумеется
> Делаете ли вы фотографии своих данных, селфи с паспортом в руках.
> Я считаю, что в России такие данные часто перетекают к злоумышленникам.
> Согласны ли вы с этим?
Не располагаю такими данными. Но это и не имеет значения, ибо практика сама по себе злостная, и поощрять ее не следует.
В некоторых случаях фото с паспортом может служить в качестве онлайн-подтверждения вашей личности при заключении онлайн-договора. В общем случае это не опаснее, чем просто копия вашего паспорта, которую делают почти все, с кем вы заключаете договор: банки, гостиницы, классические каршеринги и пр.
Идиократия или теория заговора? Зачем делают селфи с паспортом?
Волею судеб остался я без автомобиля. Когда разрешится ситуация, неизвестно. Поглядываю на сервис каршеринга Делимобиль. Звонил спецом в контору, пообщался, позадавал неудобненькие вопросы. Вроде ок. Прошла еще пара недель, решил зарегистрироваться.
Когда дошел до пунктов с прикреплением сканов фото, меня очень смутило следующее:
Сайт даже подсказывает, как надо делать селфи с паспортом, чтобы им было хорошо все исследовать и сверять.
Судя по количеству пользователей каршеринга, перепись идиотов прошла успешна, и вот почему. Набрав несложный запрос в яндекс-картинках, я увидел следующее:
Нет времени объяснять, давайте-ка вернемся к условиям по работе с личными данными. В процессе регистрации вы найдете pdf, в котором есть следующий пункт:
Форум торговцев вашими селфи с паспортом находятся в топ-10 яндекса по тому же запросу, что и блок с фотками из раздела яндекс-картинок.
Путем несложных операций копировать-вставить, за 10-15 секунд гуглится информация в открытом источнике по ИНН компании, и выясняется:
Всем добра. Берегите себя. Никому и никогда не передавайте свои личные данные через сеть, не фотографируйтесь вместе с паспортом, отключайте интернет от мобильных устройств, когда это не нужно. Остались без тачки? Катайтесь на велике, ходите пешком, пользуйтесь общественным транспортом, используйте такси.
Какие юридически-значимые действия можно совершить от имени человека, имея вот такую фотографию?
Приведите, пожалуйста примеры. Желательно, со ссылкой на судебные решения, где в качестве основной улики выступает фото с паспортом.
Вопрос не праздный, и вот почему: лично знаю обратные примеры, когда имея паспортные данные человека на него пытались навесить липовый кредит, но обломались, когда встал вопрос о подлинности подписи на договоре (даже до суда дело не дошло).
Передача данных третим лицам разрешена только в рамках договора и для целей указанных в договоре.
Сумма уставного фонда не значит ровным счетом ничего.
Стандартная форма на множестве зарубежных сайтов. В России пока не очень распространена. Позволяет отсеять многих мошенников.
Стоп, а разве тот, кто собирает персональные данные, разве не несёт ответственность за их сохранность и обработку.
Т.е. всё что они написали в договоре аннулируется в том случае, если оно противоречит действующему законодательству. Правда нарушение хранения надо доказать.
Знатоки поясните пожалуйста.
Какой бред.
Видимо автор бережёт свои мега секретные данные не зная что они и так есть во всех базах.
МВД, мед полисы, ГАИ, операторы связи и десятки других.
Зону ответственности ООО ограничена уставным капиталом?
Да ты шооо.
Я с делимобилем заключил договор, когда они еще не допилили регистрацию в приложении и на подписание приехал курьер, попробуй может еще актуально?
Ты еще в документах в ВК, можешь набрать «паспорт» и увидеть еще больше идиотов
Это требование ввели относительно недавно, чтобы уменьшить число «рисованных» или чужих паспортов.
Достать скан/фото левого паспорта куда проще, чем фото «паспорта + селфи»
Чем меньше народу в каршеринг сунется, тем лучше.
По выходным вообще машин свободных нет, и к вечеру все по спальникам растаскивают.
Мда. Сколько же людей из комментов забыли, в какой стране они живут! Лично я не уверен в непорочности суда, почерковедческой экспертизы и прочих, что либо решающих, ТК у нас тут главное деньги, а не правда или мифическая справедливость.
Да и нужен ли невинному человеку все эти хождения в суд и доказывания, что кредит взял не он?
Купил пару лет назад скан чувака из Забайкалья.
Сейчас у него активный счет в одной из платежных систем, а еще он работает московской компании и получает ЗП. и переводит мне все свои деньги=)))
п.с. чувака не подставлял и не собираюсь, да и не смогу никак если на то пошло.
Здравствуйте.
У нас в организации уставной капитал тоже 10 т.р. на всех юр. лицах у нашего боса так.
Но это не мешает иметь оборот
10кк рублей в неделю по всем организациям.
Что тут такого?
фоткался один раз с просроченным загран паспортом, все прокатило =D
В России такая процедура регистрации на сайтах продаж появляется все чаще. Во всем мире такое практикуется. На «Мешке», к примеру, я ешё в 2015-ом году так проходил верификацию. На площадках, где много продавцов, это весьма помогает при отсеве мошенников. Продавцы вряд ли будут кого-то кидать, если знают, что полиция сможет по запросу получить их данные.
Интересный ты такой, прям вот всем нужны твои данные для мохинаций. Надо будет, и так найдут, ведь все продается/покупается. А лично подписать можно в «Открытии» или ином филиале. Пост объебанский, есчесно. Курьеры в ТКС и Рокет тоже фоткают. Любые такие сделки без посещения офисов проходят.
Не хочешь фоткаться, езжай в офис и подписывай договор, для твоего же удобства всё сделано.
Видать паранойя зашкаливает настолько, что не даёт возможности ознакомиться с деталями регистрации на сайте и выбрать другую форму подписания
и т.д. Люди вообще рехнулись со своими заморочками. Насмотрятся зомби-ящика и ходят, всего шарахаются.
Паранойя зашкаливает настолько, что не даёт возможности ознакомиться с деталями регистрации на сайте и выбрать другую форму подписания
Надо у ГРАМОТНЫХ юристов узнать, не нарушает ли закон О защите персональных данных, моё мнение СИЛЬНО нарушает, а если так надо, то пусть собственноручно подписывает согласие, лицензионное соглашение и отсылает.
У Стансилава Игоревича с последней фотки фамилия говорящая 😀 10р в уставном капитале
там на фотках половина фейков, образцов и просроченных паспортов.
Интереснее искать в синей соцсети. А то что продают за деньги — это совсем другая история ))
Не знаю почему у автора такая паника, больше похоже на заказ. Чтобы опорочить репутацию организации.
Работал с этими ребятами не раз. При мне чирканули автомобиль, сообщил. Поблагодарили.
В момент паркинга-аренды авто поцарапали вандалы тележкой. Простили.
Таким отношением доволен.
Ни разу не звонили с других сервисов с рекламой.
Хотел бы спросить у автора, написал ли он протокол разногласий? Чтобы предотвратить такое положение вещей, и чем ответили?
Защита личных данных
Меня всегда поражает как народ с легкостью отдает паспорта или иные документы третьим лицам. Например в том же каршеринге надо морду лица с паспортом высылать. Такие фото хрен знает куда потом могут уйти. Потом вон пишут про то что их паспорта всплывают где-то. Тут куча таких постов.
Я по теме личных данных вообще люто параною, даже номер телефона кому попало не даю. Если вам очень надо пишите в телегу или на почту. На крайняк есть симка, к которой вообще ничего не привязано и которую в любой момент можно закрыть и забыть про нее. Может это слишком, я хз, но мне так просто спокойнее.
Расскажу как делаю в случаях когда просят скан паспорта
Сверху на скан кладу бумажку, на которой написано в какую контору, для кого идет этот скан и дата. Примерно так:
Думаю понятно. Разворот паспорта, сверху кусочек бумажки. Все данные видны.
Было на памяти пару контор, которые в залупу полезли типа «А мы такова принять не можем патамушта я овца тупая и т.д. «
Всегда получается объяснить, что она овца и пусть это говно согласовывает там сама потому другой скан она хрен получит.
В глаза текст поверх не бросается, но прочитать что написано можно. Просто немного настройками изображения поиграть:
Даже если этот скан попадет мошенникам, то доказать будет проще, что не вы баран и концы найти откуда ноги растут.
Скан паспорта из википедии если что. Ссылка.
Очень странные дела при подаче объявлений на ЦИАН
UPD. Как и писал в конце поста – если мне покажут, где я ошибся, я посыплю голову пеплом.
Нужно отдать должное специалистам Циан – очень быстро отреагировали и разложили все по полочкам. Привожу их объяснения без изменений:
Олег Масленников, Архитектор ИБ Циан:
«Занимаюсь безопасностью в Циан, хочу обратить внимание на пару фактических и технических ошибок в статье. Во-первых, утверждается, что данные «улетают» и обрабатываются заграничным сервисом. Это не так. Мы используем компанию Sumsub, это глобальная организация с HQ в Лондоне и офисами в тч в России, работающая в соответствии с законодательством Российской Федерации.
Российские паспорта обрабатываются российским юридическим лицом компании, ООО «Технологии цифровой безопасности» ( sumsub.ru ).
Информация о хранении:
— Ссылка на соответствующий раздел сайта: sumsub.ru/security
— Хранение по требованиям РКН: в соответствии с уведомлением, отправленным в РКН, персональные данные хранятся в ЦОДе компании «Селектел», в базе данных, доступ к которой разграничен средствами защиты информации, сертифицированными ФСТЭК России.
— ООО «Технологии цифровой безопасности» внесена в реестр Операторов ПДн Роскоомнадзора под регистрационным номером 78-17-003488 10.03.2017.
Во-вторых, про то, что данные уходят на сервер, который физически находится в Америке. Для защиты сайтов и сервисов Sumsub использует систему CloudFlare. CloudFlare является прокси, поэтому у них всегда один IP, но маршрут данных, при этом, идет в ближайший ДЦ. В России таких ДЦ два – в Москве и Санкт-Петербурге. Вы можете легко проверить этот маршрут с помощью traceroute.»
Добавлю, что подразделение безопасности cian.ru оказалось на удивление открытым и готовым обсуждать вопросы по безопасности.
TL;DR При загрузке паспорта на сайт cian.ru он «улетает» к заграничному сервису распознавания лиц на api.sumsub.com
И снова здравствуйте. Возможно шапочка из фольги снова давит голову, но есть вопросы и подозрения, которыми хотелось бы поделиться с вами. В одном из прошлых постов была показана странная и спорная «фича» в почтовике mail.ru. Новый день принёс новые открытия. На этот раз доброжелатель пожелал остаться анонимным. Но всё равно спасибо ему за то, что поделился фактурой.
Cian.ru – сайт, позиционирующийся как «достоверная база данных о продаже и аренде жилой, загородной и коммерческой недвижимости» и принадлежащий «ЦИАН. Групп». Ресурсы этой компании довольно популярны. Компания заявляет, что она – «Лидер онлайн-недвижимости России (по количеству посещений сайта cian.ru пользователями сети Интернет по данным LiveInternet в разделе «Недвижимость» по состоянию на 12 марта 2020 г.). Всё это есть в подвале сайта. Интересно другое.
Тем не менее, пользователи выказывали опасения (раз, два, три и т.д.), т.к. набор данных состоит как минимум из паспортных данных + скан паспорта РФ + фото с раскрытым паспортом в руке. Это для физлиц. Если вы ИП или Юрлицо, данных нужно ещё больше.
Но довольно лирики. Посмотрим, что будет, если пользователь просто подаёт объявление на продажу квартиры.
Смотреть действия будем через нашу DLP. Интерес в первую очередь представляет перехват с модулей HTTPController и MonitorController. Думаю, из названия понятно, что каждый из них перехватывает. Заранее прошу прощения за качество скринов. На данный момент никто из сотрудников квартиру не продаёт, поэтому полностью воспроизвести кейс у себя не смогли. Показывать и пояснять будем на «боевой» системе.
Итак, отсортируем перехват с двух каналов по времени, чтобы чётко видеть хронологию действий.
Сразу же можно, не отходя от кассы, посмотреть вложение, которое улетело к cian.ru. Убеждаемся, что грузятся фото интерьера квартиры.
Перехват MonitorController’a (строка №10) всё подтверждает. Виден браузер, видны 4 загруженных фото, видны эти же фото в теле объявления.
Некоторые читатели возможно задаются вопросом, а как это так удачно и в нужное время система скрины делает? Всё просто. У MonitorController’a есть опция «Делать скрин при смене активного окна». Здесь мы видим как раз такую ситуацию: человек нажимает кнопку, чтобы добавить фото, открывается окно, система реагирует. Никакого колдунства.
Взглянем на скрин поближе.
Осталась последняя надежда. Может этот сервис обрабатывает изображения в России? Хотелось бы драматически бросить в зал доказательства, но если быть честным, то надо быть им до конца. В данном случае наша DLP в качестве IP получателя фиксировала адрес прокси-сервера.
Поэтому предлагаю самим вам убедиться, когда улетают ваши паспорта при подаче объявлений. Со своей стороны могу в команду «ping –a», которая выдала «104.26.10.41».
В целом, в этот светлый сисадминский праздник, который к тому же ещё и пятница(!) хотелось бы верить в то, что я где-то ошибся или недопонял. Что ж, в таком случае, готов буду посыпать голову пеплом, публично извиняться и учить матчасть. А пока, призываю сообщество самостоятельно проверить изложенные факты и по возможности поделиться результатами.
P.S. Мой оригинал поста на Хабре.
UPD к посту имеются вопросы: #comment_176036026
Охота на селфи: не спешите подтверждать свою личность
Мошенники интересуются вашими фото с документами. Рассказываем, зачем им это нужно и как защититься.
Некоторые интернет-сервисы при регистрации просят пользователей подтвердить свою личность, загрузив селфи с паспортом или другим документом. Это удобно: не надо никуда идти, чтобы доказать, что вы — это вы. Сделали фото, загрузили, немного подождали — готово: администрация ресурса одобрила ваш аккаунт.
К сожалению, помимо вполне легальных сайтов с хорошей репутацией ваши селфи интересуют и фишеров. Рассказываем, как выглядит мошенническая схема, зачем преступникам ваше фото с документами и как не попасться на их удочку.
Подтвердите свою личность
Представьте: вам приходит письмо от банка, платежной системы или, скажем, социальной сети. В нем говорится, что «для большей безопасности» (или по какой-то еще причине) необходимо подтвердить свою личность.
Вы переходите по ссылке и попадаете на страницу с формой, где вас просят ввести те или иные данные, например логин и пароль от аккаунта, информацию о платежной карте, адрес или телефон, — а также загрузить селфи с раскрытым паспортом или другим документом. На этом месте надо остановиться и как следует подумать — а стоит ли это делать? Очень может быть, что это мошенники.
Мошенники притворяются платежной системой и банком и просят загрузить селфи с документом
Зачем мошенникам селфи с паспортом?
Как мы уже упоминали, фото с документом нужны для регистрации в некоторых онлайн-сервисах. Если вы отправите мошенникам селфи, они смогут создавать от вашего имени аккаунты, например на криптовалютных биржах, чтобы впоследствии отмывать через них нечестно нажитые деньги. В результате у вас могут возникнуть проблемы с законом. Так себе перспектива, согласитесь.
На черном рынке ваши данные с селфи будут стоить в несколько раз больше, чем без него. Заполучив заветное фото, мошенники могут выгодно его продать, а покупатели — использовать ваше имя в своих целях.
Типичные признаки онлайн-мошенничества
К счастью для всех нас, онлайн-мошенничеством редко занимаются дотошные люди, способные предусмотреть каждую мелочь. Если внимательно изучить фишинговое письмо и сайт, на который ведет ссылка, то почти всегда можно найти множество подозрительных деталей.
1. Ошибки и опечатки
Как правило, и письмо, и форма для ввода данных написаны не очень грамотным языком. Часто ли вы встречаете на официальных страницах и в сообщениях от крупных организаций тексты, которые пестрят грамматическими ошибками и опечатками?
2. Подозрительный адрес отправителя
Такие письма нередко приходят с адресов, размещенных на бесплатном почтовом сервисе или принадлежащих компаниям, никак не связанным с той, от имени которой действуют мошенники.
3. «Левый» адрес сайта.
Даже если адрес отправителя выглядит правдоподобно, сайт с формой, скорее всего, находится на стороннем домене. Иногда адрес может быть очень похож (но все же отличаться), а в отдельных случаях разница прямо бросается в глаза. Например, в письме от LinkedIn фотографию зачем-то предлагают загрузить на Dropbox.
LinkedIn просит загрузить фото на Dropbox
4. Сжатые сроки без видимой причины
Часто авторы подобных писем изо всех сил торопят получателя, утверждая, скажем, что ссылка действует не больше суток. Вообще мошенники очень часто прибегают к этому приему — спешка мешает потенциальной жертве как следует обдумать свои действия. А вот солидные организации вряд ли станут вас сильно ограничивать.
5. Запрос информации, которую вы уже предоставляли
Стоит быть втройне осторожными, если хотя бы часть сведений, которые вас просят предоставить (например, электронную почту или телефон), вы точно сообщали раньше, при регистрации. А в случае с банком — вы и личность уже подтвердили при открытии счета. Зачем подтверждать ее еще раз ради туманной «дополнительной безопасности»?
6. Требование вместо предложения
Получить расширенные возможности, в том числе в плане безопасности, предоставив информацию о себе, предлагают многие ресурсы — но в личном кабинете на сайте, а не по почте. И обычно это именно предложение: от него можно отказаться. А вот в форме, которая открывается по ссылке из некоторых писем мошенников, есть только одна кнопка, как бы намекающая, что продолжить без селфи не получится.
7. Отсутствие соответствующей информации на официальном сайте
Конечно, бывают случаи, когда подтвердить личность на ресурсе, которым вы пользуетесь давно, действительно нужно. Например, тот же сервис PayPal в 2015 году запрашивал данные российских пользователей, чтобы привести свой бизнес в соответствие с местным законодательством. Но в целом такие ситуации — скорее исключение, чем правило, и обычно подробности происходящего есть на официальном сайте сервиса, да и нагуглить их не так трудно.
Не давайте селфи с паспортом кому попало
Чтобы не дать мошенникам угнать вашу личность, стоит критически относиться к любым просьбам предоставить данные, особенно если речь идет о документах.