Кража личных данных: Что я узнал после того, как кто-то использовал мой SSN, чтобы попытаться торговать акциями на Robinhood

В понедельник в 19:16 EDT в мой почтовый ящик пришло странное письмо. Robinhood (HOOD), онлайн-брокерская компания, которая всколыхнула розничное инвестирование, сообщила мне, что одобрила счет на мое имя. Второе письмо на следующий день призывало меня связать мой банковский счет с Robinhood, чтобы я мог торговать своими первыми акциями.

Это было странно, потому что я никогда не задумывался о торговле отдельными акциями. Конечно, я работаю на новостном сайте с большой аудиторией розничных инвесторов, но я никогда не принадлежал к их числу. Хотя сначала я подумал, что мошенники подделали адрес электронной почты Robinhood, сообщение показалось мне законным. На самом деле так оно и было — вскоре я узнал, что кто-то создал аккаунт Robinhood, используя мой номер социального страхования и дату рождения.

Несмотря на то, что мой коллега, Дэн Хоули, написал, что практически все уже взломаны, я был потрясен. Я могу понять, почему кто-то может открыть кредитную карту на мое имя или почему он может захотеть опустошить мой банковский счет. Но зачем кому-то маскироваться под Эрин Фукс среди толп розничных трейдеров Robinhood?

«Зачем кому-то использовать вашу информацию для открытия счета в Robinhood? Чтобы замести следы», — сказала мне на этой неделе Ева Веласкес, президент и исполнительный директор Identity Theft Resource Center. Скорее всего, это делается для отмывания денег». Они могут использовать этот счет для отмывания других денег, и их нельзя будет отследить, потому что он оформлен на ваше имя».

Действительно, в марте телеканал CNBC сообщил, что мошенники похищали средства, выделенные на помощь пострадавшим от COVID-19, а затем переводили их на инвестиционные платформы в Интернете, такие как Robinhood, TD Ameritrade, E-Trade и Fidelity. Эти счета, по сообщению CNBC, были открыты с использованием украденных личных данных.

К счастью, я обнаружил мошенничество Robinhood до того, как новый счет был подключен к банковскому счету. Когда я увидел письмо, уведомляющее меня о «новом счете», я зашел в Интернет, чтобы выяснить, как предупредить Robinhood о том, что я его не открывал. Не найдя быстрого способа связаться с человеком, который мог бы мне помочь, я обратился к самому мощному инструменту, который был в моем распоряжении, — моей работе журналиста. Я нашел адрес электронной почты Robinhood для СМИ и представился журналистом с вопросом о моем счете в Robinhood.

Через 12 минут менеджер по корпоративным коммуникациям написал мне письмо, чтобы сообщить, что он занимается этим делом. Позже вечером, когда я возвращался после посиделок на природе с лучшим другом, я получил отрезвляющее письмо. Номер социального страхования и дата рождения были использованы для создания счета Robinhood на мое имя.

«Возможно, что ваша личная информация была скомпрометирована», — говорилось в электронном письме, извиняясь за то, что являюсь носителем плохих новостей. «Также возможно, что кто-то с вашим именем ввел неправильный адрес электронной почты».

Что это было? Годы самостоятельного гугления позволили мне узнать, что существуют и другие Эрин Фукс. Может быть, Эрин Фукс-оптометрист или Эрин Фукс-риэлтор пытались завести аккаунт в Robinhood и забыли указать в адресе электронной почты средний инициал? Или это было мошенничество?

«Спасибо за это. Любопытно, совпадают ли дата рождения и SSN с моими собственными», — написал я в ответ.

Пиарщик попросил Дэна из их службы безопасности позвонить мне прямо сейчас, когда я выходил из метро. Я назвал Дэну дату своего рождения. Я назвал ему последние четыре цифры своего социального номера. Обе цифры совпали со счетом, который был открыт на мое имя. Успокаивающим голосом Дэн рассказал обо всем, что я должен сделать для защиты своей личности, начиная с установки предупреждений о мошенничестве в моем кредитном отчете. Я шел домой от метро в оцепенении и составлял список всего, что нужно сделать, начиная с уведомления кредитных бюро и заканчивая оповещением моего банка и оператора мобильной связи.

Моя жена также начала действовать и подключилась к семейному плану Identity Guard Ultra. После того как я выполнил список дел, связанных с кражей личных данных, я вошел в систему Identity Guard. Меня ждал кошмар в темной паутине. Сайт обнаружил 35 случаев, когда моя информация попала в «историческую темную паутину», и я на мгновение запаниковал.

К счастью, большинство из этих битов данных, выставленных на продажу, были паролями, которые я уже давно сменил или не использовал. В одном случае хакеры получили логин моей учетной записи MySpace во время масштабного взлома в 2016 году. Помните MySpace? Был еще один пароль, который был взломан в 2013 году при взломе Adobe. Среди 35 случаев я не смог найти ни одного пароля, который бы я использовал до сих пор.

Тем не менее, похититель личных данных получил мой номер социального страхования, дату рождения и адрес электронной почты и убедил Robinhood открыть новый счет на мое имя. Как это могло произойти?

«За последние три-пять лет произошло множество утечек данных», — говорит Эрик Чан-Тин, доцент кафедры информатики в Университете Лойолы в Чикаго. «Хакеры могут располагать огромным количеством личной информации».

Возможно, самой известной утечкой данных за последние годы стал взлом компании Equifax (EFX) в 2017 году, в результате которого стали известны личные данные 147,9 млн ничего не подозревающих американцев. Кибератаки еще больше усилились после коронавируса, что Deloitte частично объясняет тем, что все больше людей работают дома, где у них меньше средств защиты кибербезопасности. Компания Canalys обнаружила, что 2020 год стал рекордным по количеству взломов данных: было скомпрометировано более 30 миллиардов записей по сравнению с менее чем половиной этого количества годом ранее.

При таком количестве утечек данных эксперты считают, что практически каждый человек в какой-то момент становился жертвой. Как сказал Веласкес из Ресурсного центра по борьбе с кражей личных данных: «Количество утечек данных дает нам уверенность в том, что номер социального страхования каждого человека так или иначе был скомпрометирован».

Конечно, потребители могут предпринять шаги для защиты своей личной информации. Они могут использовать длинные, уникальные пароли и, что самое важное, наложить постоянную блокировку на свои кредитные отчеты, чтобы мошенники не могли открыть новые счета. Они также могут убедиться, что не управляют всеми своими счетами на одном компьютере, советует Мари-Хелен Марас, эксперт по кибербезопасности и доцент Школы уголовного правосудия Джона Джея.

Но, отметила она, «не все могут позволить себе иметь более одного компьютера».

Этот момент затрагивает более серьезную проблему безопасности данных в США: Защищать себя должен сам потребитель, и не у всех есть для этого ресурсы или возможности. Пока что я собираюсь сохранить замораживание своих кредитных отчетов. Как сказал мне Марас, «это действительно единственная защита, которая у вас есть».

Я обратился в компанию Robinhood за комментарием о том, насколько распространены кражи личных данных на ее платформе и предпринимает ли она дополнительные шаги для предотвращения таких краж. До публикации я не получил ответа.

Эрин Фукс — заместитель управляющего редактора Yahoo Finance.