Карашаш Ногаева Все статьи автора
11 октября 2019, 15:41 15189

А страшен ли черт. Чем на самом деле грозит утечка данных клиентов банков и операторов

Фото: Unsplash

С начала октября стало известно, как минимум о трех крупных утечках данных российских компаний. Так, в сети оказалась база с ИНН и налоговых выплатами 2 млн россиян. Чуть позже эксперты обнаружили данные 8,7 млн абонентов "Билайн". И, наконец, на одном из хакерских форумов была выставлена на продажу база с данными 60 млн карт клиентов Сбербанка, что стало крупнейшей утечкой информации в российском банковском секторе.

Эксперты по информационной безопасности отмечают, что защищенность российских компаний действительно оставляет желать лучшего. Так, по данным Dr Web, самая популярная уязвимость в ИБ, которая используется на сегодняшний день хакерами, была обнаружена еще в 2012 году.

Data-базы на продажу. Кто торгует нашими данными, и сколько на этом зарабатывает

Data-базы на продажу. Кто торгует нашими данными, и сколько на этом зарабатывает

22707
Карашаш Ногаева

Чаще всего слитые базы данных представляют собой информацию о ФИО физического лица, его номер телефона и контактный e-mail. Тем не менее, как отмечают эксперты, даже такой минимальной информации для злоумышленников оказывается достаточно.

Человеческий фактор

В последнем крупном скандале, по информации внутреннего расследования Сбербанка, виноват оказался в конце концов человеческий фактор, а не хакерская атака — данные слил один из бывших сотрудников. Им оказался 28-летний руководитель сектора одного из бизнес-подразделений банка, имевший доступ к базам данных.

При этом в самом банке сперва утверждали, что утечка касается лишь 200 клиентов, а не 60 млн. Несколькими днями позже Сбербанк признал, что злоумышленнику удалось продать 5 тыс. учетных записей по картам клиентов.

"Прежде всего нужно сказать, что фраза "утечка баз данных" значит не всегда то, что под ним подразумевают читатели новостей. Значительное число "утечек" — это возможность доступа злоумышленников к какой-то базе данных. То есть некие исследователи находят некую базу, из которой можно получить некие данные, и пишут про это новость. А вот утекли ли эти данные или нет — никому не известно. И утечка Сбербанка — характерный пример. Злоумышленники получили доступ к миллионам записей. Но реально им в руки попало несколько тысяч или немного более. Хотя, конечно, бывает и так, что действительно утекает вся база данных", — объяснил представитель компании Dr Web Максим Якушев.

Якушев также отметил, что, согласно собственным исследованиям Dr Web, злоумышленники, как правило, не используют сразу всю полученную ими базу данных. Например, получив в свое распоряжение несколько сотен тысяч или миллионов записей, они не сразу напишут нескольким миллионам жертв. Рассылки будут постепенными, потому что и данные пользователей будут использоваться постепенно. И это вторая причина того, почему до сих пор достоверно неизвестно, сколько на самом деле данных в руках мошенников.

Dark Nation. Как изменилась экономика Черной сети спустя год после закрытия RAMP

Dark Nation. Как изменилась экономика Черной сети спустя год после закрытия RAMP

29606
Алексей Кумачев, Карашаш Ногаева

О том, что в утечке Сбербанка могут быть виноваты сами сотрудники, а не спланированная хакерская атака, сразу же заподозрили в Group-IB. В компании отметили ряд странностей в том, как база была выложена в андеграундную часть Рунета: "Смотрите: 28 сентября на четырех разных форумах появляется объявление от новичка о продаже огромной банковской базы. На всех форумах он регистрируется в тот же день только для того, чтобы оставить единственное объявление, на всех форумах использует разные никнеймы. Не указывает, какому банку принадлежит эта база. Для связи оставляет почту, а обычно это abber (мессенджер, популярный среди пользователей Даркнета. — Ред.) или Telegram", — отметили в Group-IB.

Также в компании добавили, что объявления о продаже огромной банковской базы появились на пяти различных форумах. Но при этом для экспертов подобные инциденты — далеко не новость, данные россиян давно легко продаются и покупаются в Даркнете.

"Во-вторых, набор таких данных не позволяет мошеннику похитить деньги со счета или карты, но может быть использован для вишинга и приемов социальной инженерии (телефонное мошенничество с целью выведать конфиденциальную банковскую информацию. — Ред.). О том, что в отношении звонящих "сотрудников банка" нужно быть бдительным — мы говорили не раз", — заключили в Group-IB.

Страшны ли утечки

Специалисты ЦБ России обнаружили, что только в первой половине 2019 года было создано 13 тыс. объявлений о продаже и покупке персональных данных. 12% из них (1,5 тыс.) являются базами кредитно-финансовых организаций.

Максим Якушев из Dr Web отмечает, что новостей об утечках становится все больше. В результате может создаться впечатление, что их количество либо преувеличено, либо они не так опасны. По мнению эксперта, количество слитых данных в Сеть действительно растет, и у этого есть объективные причины:

"Здесь два момента. Во-первых, любые публикации в СМИ привлекают последователей. Тем более, что на публичных открытых ресурсах подробно рассказывают, как повторить подобные атаки.

Второе — наличие общедоступных инструкций и сервисов, позволяющих искать уязвимые ресурсы. По статистике, более 80% сайтов уязвимы, порядка 10% могут быть взломаны автоматически. И мы видим, что подавляющее число утечек — это именно утечки вследствие автоматического поиска сайтов и баз данных, имеющих определенные уязвимости", — рассказал он.

Эксперт отметил, что виновата не только слабая информационная безопасность, но и пренебрежение со стороны компаний мерами защиты, нежелание нанимать грамотных специалистов, а также редкое обновление систем безопасности: "По нашей статистике для атак самая популярная уязвимость — через почтовый трафик, найденная в 2012 году. Да, 7 лет, и до сих пор среди пользователей столько не установили нужные обновления, что этого хватает, чтобы уязвимость была популярной", — рассказал Якушев.

По данным аналитического центра компании InfoWatch, количество утечек конфиденциальной информации в банковской сфере выросло в первом полугодии 2019 года на 7% по сравнению с аналогичным периодом в предыдущем году: "Как и в первом полугодии 2018 года, две трети из всех утечек произошли вследствие умышленных нарушений. Среди внутренних утечек доля умышленных составляет почти 50%. Вообще банковскому сектору необходимо уделять особое внимание противодействию злонамеренным инсайдерам. Здесь требуется целый комплекс систем по защите от внутренних угроз", — рассказала руководитель направления по развитию бизнеса на территории Северо-Западного федерального округа ГК InfoWatch Татьяна Ксюнина.

При этом она не согласна с тем, что в большей мере виновата слабая безопасность банковского сектора: "Трудно согласиться с тем, что банки плохо защищены. Эта отрасль традиционно много внимания уделяет вопросам кибербезопасности, обладая длительной экспертизой и солидными финансовыми возможностями, и к прямому ущербу — потере денег или конфиденциальных данных, приводит сравнительно небольшая доля внешних атак и попыток инсайдерского воздействия. Но злоумышленники постоянно совершенствуют свое "мастерство", берут на вооружение новые технические средства, вырабатывают новые приемы мошенничества. В результате ландшафт угроз стремительно меняется, а их сложность регулярно возрастает", — указала эксперт.

При этом бывает, что базы данных содержат не только обыкновенную информацию о ФИО физлица и его контактные данные, которые используются для вишинга, но и более подробные сведения. Так, по данным telegram-канала "Утечки информации", только за 11 октября появились две утечки, содержащие номера банковских карт и сканы паспортов.

"Нужно знать, что для покупок в интернет-магазинах далеко не обязательно знать секретный код. Во многих случаях достаточно номера карты", — отметил Максим Якушев.

Похожей позиции придерживаются в InfoWatch: "Даже если утекли базовые персональные данные (ФИО, e-mail, телефон), то это в лучшем случае приведет к более интенсивному потоку спама для жертвы утечки. Кроме того, подобные сведения — настоящий клад для деятелей из сферы агрессивного маркетинга, то есть почти наверняка человеку станут поступать многочисленные навязчивые предложения товаров и услуг. Наконец, весьма вероятно использование украденных данных в мошеннических целях. Например, злоумышленник может звонить человеку под видом сотрудника банка с целью поймать на удочку, выведав платежные данные", — рассказала Татьяна Ксюнина.

Утечка баз клиентов "Билайна" также принесла свои плоды. Как утверждают в банке "Точка", в результате слива информации пострадали 10 клиентов банка — злоумышленникам удалось вывести деньги с их счетов. У всех пользователей был один и тот же оператор связи. Пароль для входа в интернет-банк совпадал с паролем от личного кабинета этих пользователей.

Напомним, что c продаваемыми базами данных клиентов некоторое время назад сталкивался "ДП". Корреспондент dp.ru ознакомился с демо-версией базы данных клиентов одного из российских банков.

В базе помимо ФИО клиентов, номеров их мобильных и домашних телефонов также были указаны город проживания (в некоторых случаях вплоть до станции метро либо городского района), пол, возраст, дата открытия вклада и дата его последнего пополнения, сумма открытого счета и мобильный оператор, у которого зарегистрирован номер владельца.

Корреспондент "ДП" позвонил наугад 10 людям из демо-версии базы, из них три номера оказались отключены, остальные клиенты взяли трубку. Все они подтвердили, что их ФИО совпадают с данными из базы. Один человек отказался рассказывать, являлся ли он клиентом банка. Двое сказали, что не помнят точно, но, возможно, являлись клиентами и имели там счет. Еще один человек ответил категорически отрицательно на вопрос о том, открывал ли он счет в конкретном банке. Остальные три человека подтвердили, что являлись вкладчиками в указанные годы.

Выделите фрагмент с текстом ошибки и нажмите Ctrl+Enter
Новости партнеров
Реклама