АнтиФинРазведка

Самый честный блог о финансовой системе Российской Федерации

Утечки и еще раз утечки.

2021-10-09 Максиминформация

В конце сентября 2021 года из «Совкомбанка» утекли данные 150 тысяч россиян. Как сообщили в самой кредитной организации, слив сведений организовал сотрудник компании. Эксперты не сомневаются, что полученной информацией обязательно воспользуются мошенники, которые, используя методы социальной инженерии, попытаются выманить у человека средства из других банков. Законодательство и правоприменение в этой ситуации слишком либеральное: защитить свои деньги практически невозможно.

Цифровизация и повальная интернетизация имеет всегда и обратную сторону: перевод сведений о клиенте в электронный формат, помноженный на возможность доступа к этим агрегированным данным со стороны многочисленных сотрудников разных фирм и государства, автоматически предполагает увеличение количества случаев компрометации собранных материалов. Так как проконтролировать всех лиц, имеющих доступ к базам данных, крайне сложно, то расплачиваться за утечки финансово и имиджево приходится компаниям-инициаторам сбора информации.

Занимающаяся вопросами кибербезопасности InfoWatch сообщает, что в период с января по сентябрь 2020 года в российском интернете были размещены более 96 миллионов записей персональных данных и платежной информации. В фирме считают, что в большинстве случаев компрометация сведений происходит не из-за внешних хакерских атак, успешно вскрывающих защищаемые базы данных, а по внутренним причинам: например, сотрудник компании, имея прямую корыстную заинтересованность, копирует сведения о клиентах и сливает их в сеть.

Forbes подтверждает эти размышления, приводя следующие примеры.

В мае 2020 года специалист офиса «Билайн» в Казани Б. получил штраф в размере 120 тысяч рублей за бесплатный «пробив» сведений о звонках экс-жены своего друга. Когда женщина поняла, что бывший супруг знает о ее переговорах по телефону, то написала заявление в офис сотового оператора. Служба безопасности компании совместно с ФСБ установила личность виновного в утечке, доведя дело до суда.

В июне того же года продавец офиса одного из мобильных операторов П. получил наказание за слив звонков абонента за месяц. Личность заказчика (как и размеры коммерческой заинтересованности правонарушителя) установить не удалось.

Сколько стоят данные?

- «Пробив» номера мобильного телефона оценивается в 50-250 рублей: все зависит от оператора сотовой связи;

- Цена за разворот российского паспорта – от 70 рублей, заграничного – от 2,5 долларов;

- Стоимость данных клиентов банков – от 3 до 120 рублей (расценки приводятся по исследованию Infosecurity a Softline Company).

Если «пробив» номера или паспорта – это чаще всего одиночные действия, касающиеся отдельного субъекта, представляющего интерес для злоумышленников, то слив данных клиентов банка производится комплексно (сведения об отдельном гражданине – лишь строчка в многотомной базе данных с весом в несколько гигабайт). Так как объемы реализуемой информации в последнем случае достаточно большие, то и фиксация фактов размещения подобных БД работает лучше.

СМИ за последние 3 года обнаружили не менее 6 крупных утечек:

- 12 апреля 2019 года на специализированных форумах в интернете обнаружили сведения о 120 тысячах россиян и российских юрлиц, заподозренных банками в нарушении закона о противодействии отмыванию доходов. Ъ писал, что база данных собрана в 2017 году, содержит ФИО, дату рождения, номера паспортов.

- в середине 2019 года Ъ и DeviceLock обнаружили две базы данных о клиентах Альфа-Банка: первая – содержала сведения о 55 тысячах клиентов, включая их идентификационные данные (телефон, ФИО, адрес проживания и работы); вторая – состояла из 504 записей, включающих сведения о дате рождения, паспортных данных, обслуживающем отделении Банка, а также остатке на счете.

«Ъ удалось обнаружить первую базу данных и ознакомиться с ней. В открытом доступе она находится по меньшей мере с конца мая. Судя по адресам, все клиенты из данной базы проживают в Северо-Западном федеральном округе. Телефонные номера по большей части действующие и принадлежат обозначенным лицам. По месту работы помимо сотрудников частных компаний можно найти около 500 сотрудников МВД, порядка 40 человек из ФСБ», - отмечала тогда газета.

- в октябре того же года в открытом доступе нашли:

во-первых, выгрузку данных из кредитных историй, содержавшую миллион строк. Предположительно, отмечали эксперты, утечка произошла из-за ошибки конфигурации программы на одном из серверов микрофинансовой организации;

во-вторых, персональные данные клиентов Сбербанка: по оценкам экспертов, в открытом доступе оказались сведения 60 миллионов кредитных карт как действующих, так и закрытых (в самом банке подтвердили факт наличия минимального слива данных, но заявили, что средствам клиентов ничего не угрожает);

- в августе 2020 года на форуме в даркнете появились сообщения о коммерческой реализации базы данных клиентов ВТБ. «Известия», ссылаясь на информацию владельца, указывали, что объем сведений оценивается в 30-50 млн. строк. При этом в самом банке ситуацию комментировали так: «База, обнаруженная службой безопасности банка в продаже в интернете, содержит ФИО, телефонный номер, серию и номер паспорта… угрозы сохранности средств клиентов нет: такой набор данных не позволяет злоумышленникам предпринимать какие-либо действия со счетами клиентов, однако может быть использован в схемах социальной инженерии».

- в 2021 году из «Совкомбанка» утекли сведения о 150 тысячах граждан, желавших взять кредит. Файлы с персональными данными, как отмечает основатель сервиса анализа утечек данных DLBI Ашот Оганесян в интервью РБК, включали ФИО, номер телефона, паспортные данные, тип запрашиваемого кредита, адрес проживания, семейное положение, ФИО ближайших родственников, место работы, должность, размер дохода, дату и время звонка от специалистов банка, ответы клиентов во время звонка при обработке заявки и так далее. В кредитной организации ситуацию прокомментировали так:

- виновным в распространении базы данных был сотрудник call-центра, которого задержали и осудили еще в 2020 году за копирование, но не распространение БД;

- во время следствия злоумышленник еще раз разместил в сети «Интернет» объявления о продаже данных через собственный Telegram-канал, на основе чего кредитная организация вновь обратилась к правоохранителям. Последние возбудили очередное уголовное дело. Однако БД уже попала в открытый доступ…

Данные утекают и из крупных государственных структур.

В 2019 году из РЖД утекли личные данные 703 тыс. сотрудников, включающих ФИО, даты рождения, адреса, номера СНИЛС, фотографии, должности и телефоны.

В декабре 2020 года из баз данных мэрии Москвы слили сведения о 100 тыс. жителей столицы, которые переболели коронавирусной инфекцией (объем размещенных данных включает ФИО, даты рождения, адреса проживания, телефоны и номера паспортов).

Как сообщает «Коммерсантъ» в сентябре 2021 года, номера телефонов 68 тысяч волонтеров Всероссийской переписи населения, зарегистрированных на сайте strana2020.ru, выставлены на продажу в даркнете.

Источник слива пока не определяется: Росстат заявляет, что никаких данных портал не собирает (а подготовкой и регистрацией волонтеров занимается Росмолодежь и Роспатриотцентр); сайт strana2020.ru (который, по данным Ъ, является источником утечки) в комментарии указывает на то, что предоставляет только справочную информацию; «Ростелеком» (партнер проекта) пересылает журналистов в медиацентр Всероссийской переписи населения. Последний говорит о том, что «ранее на сайте strana2020.ru можно было зарегистрироваться для участия в конкурсах, которые проходили в рамках популяризации переписи (конкурс детского рисунка, фотографии)».

Как используются слитые персональные данные?

Мошенники, покупая информацию, насыщают свои базы необходимыми дополнительными сведениями о «клиенте».

Используя методы социальной инженерии, они, представляясь, например, сотрудниками службы безопасности какой-нибудь кредитной организации, могут выманить любые средства со счетов жертвы. К сожалению, похищенные таким путем деньги вернуть практически невозможно:

- в банках разводят руками, указывая на то, что клиент сам дал распоряжение, введя необходимые коды из смс;

- отследить маршрутизацию движения финансов нельзя, так как правонарушители выстраивают «сеть» из нескольких связанных карт;

- правоохранительные органы теряют время на бюрократическом согласовании операции по поиску средств, получении ответов на официальные запросы.

Почему виновников утечки не штрафуют на миллиардные суммы?

Таково российское законодательство: установленные максимальные санкции для крупного бизнеса незначительны, а возбужденные и расследованные уголовные дела в крайне редком случае доходят до суда (в 2020 году в связи с утечкой персональных данных правоохранители довели до конца 43 дела, за первое полугодие 2021 года – 5).

Пример из практики.

В середине 2020 года суд приговорил специалистов архангельского офиса Альфа-Банка к штрафу в 95 тысяч рублей. По данным следствия, эти лица успешно реализовали персональные данные шести клиентов банка неизвестному субъекту из Москвы. Воспользовавшись полученной информацией, столичные злоумышленники подделали паспорта граждан, открыли на их имя банковские карты, с помощью которых получили доступ к счетам. «Итогом всех этих незаконных действий стало хищение денег со счетов вкладчиков на сумму, превышающую 8,39 млн руб», - отмечал портал CNews. Правонарушители «поблагодарили» специалистов Альфы за предоставление столь ценной информации, выплатив им 140 тысяч рублей.

CNews саркастично отмечает: «С учетом того, что московские мошенники заплатили [сотрудникам банка] 140 тыс. руб., то после уплаты штрафов у них останутся 45 тыс. на двоих, полученные за осуществление преступной деятельности».

Как защитить себя в такой ситуации?

Единых методов противодействия угрозам нет. Исследователи рекомендуют лишь соблюдать «цифровую гигиену» в минимальных объемах:

- не отвечать на незнакомые номера;

- если звонят из СБ банка, то обязательно перезванивать самостоятельно (правонарушители научились подделывать номера телефонов кредитных организаций);

- не хранить все деньги в одной кубышке;

- проверять кредитную историю хотя бы раз в полгода.