С начала октября стало известно, как минимум о трех крупных утечках данных российских компаний. Так, в сети оказалась база с ИНН и налоговых выплатами 2 млн россиян. Чуть позже эксперты обнаружили данные 8,7 млн абонентов "Билайн". И, наконец, на одном из хакерских форумов была выставлена на продажу база с данными 60 млн карт клиентов Сбербанка, что стало крупнейшей утечкой информации в российском банковском секторе.
Эксперты по информационной безопасности отмечают, что защищенность российских компаний действительно оставляет желать лучшего. Так, по данным Dr Web, самая популярная уязвимость в ИБ, которая используется на сегодняшний день хакерами, была обнаружена еще в 2012 году.
Чаще всего слитые базы данных представляют собой информацию о ФИО физического лица, его номер телефона и контактный e-mail. Тем не менее, как отмечают эксперты, даже такой минимальной информации для злоумышленников оказывается достаточно.
Человеческий фактор
В последнем крупном скандале, по информации внутреннего расследования Сбербанка, виноват оказался в конце концов человеческий фактор, а не хакерская атака — данные слил один из бывших сотрудников. Им оказался 28-летний руководитель сектора одного из бизнес-подразделений банка, имевший доступ к базам данных.
При этом в самом банке сперва утверждали, что утечка касается лишь 200 клиентов, а не 60 млн. Несколькими днями позже Сбербанк признал, что злоумышленнику удалось продать 5 тыс. учетных записей по картам клиентов.
"Прежде всего нужно сказать, что фраза "утечка баз данных" значит не всегда то, что под ним подразумевают читатели новостей. Значительное число "утечек" — это возможность доступа злоумышленников к какой-то базе данных. То есть некие исследователи находят некую базу, из которой можно получить некие данные, и пишут про это новость. А вот утекли ли эти данные или нет — никому не известно. И утечка Сбербанка — характерный пример. Злоумышленники получили доступ к миллионам записей. Но реально им в руки попало несколько тысяч или немного более. Хотя, конечно, бывает и так, что действительно утекает вся база данных", — объяснил представитель компании Dr Web Максим Якушев.
Якушев также отметил, что, согласно собственным исследованиям Dr Web, злоумышленники, как правило, не используют сразу всю полученную ими базу данных. Например, получив в свое распоряжение несколько сотен тысяч или миллионов записей, они не сразу напишут нескольким миллионам жертв. Рассылки будут постепенными, потому что и данные пользователей будут использоваться постепенно. И это вторая причина того, почему до сих пор достоверно неизвестно, сколько на самом деле данных в руках мошенников.
О том, что в утечке Сбербанка могут быть виноваты сами сотрудники, а не спланированная хакерская атака, сразу же заподозрили в Group-IB. В компании отметили ряд странностей в том, как база была выложена в андеграундную часть Рунета: "Смотрите: 28 сентября на четырех разных форумах появляется объявление от новичка о продаже огромной банковской базы. На всех форумах он регистрируется в тот же день только для того, чтобы оставить единственное объявление, на всех форумах использует разные никнеймы. Не указывает, какому банку принадлежит эта база. Для связи оставляет почту, а обычно это abber (мессенджер, популярный среди пользователей Даркнета. — Ред.) или Telegram", — отметили в Group-IB.
Также в компании добавили, что объявления о продаже огромной банковской базы появились на пяти различных форумах. Но при этом для экспертов подобные инциденты — далеко не новость, данные россиян давно легко продаются и покупаются в Даркнете.
"Во-вторых, набор таких данных не позволяет мошеннику похитить деньги со счета или карты, но может быть использован для вишинга и приемов социальной инженерии (телефонное мошенничество с целью выведать конфиденциальную банковскую информацию. — Ред.). О том, что в отношении звонящих "сотрудников банка" нужно быть бдительным — мы говорили не раз", — заключили в Group-IB.
Страшны ли утечки
Специалисты ЦБ России обнаружили, что только в первой половине 2019 года было создано 13 тыс. объявлений о продаже и покупке персональных данных. 12% из них (1,5 тыс.) являются базами кредитно-финансовых организаций.
Максим Якушев из Dr Web отмечает, что новостей об утечках становится все больше. В результате может создаться впечатление, что их количество либо преувеличено, либо они не так опасны. По мнению эксперта, количество слитых данных в Сеть действительно растет, и у этого есть объективные причины:
"Здесь два момента. Во-первых, любые публикации в СМИ привлекают последователей. Тем более, что на публичных открытых ресурсах подробно рассказывают, как повторить подобные атаки.
Второе — наличие общедоступных инструкций и сервисов, позволяющих искать уязвимые ресурсы. По статистике, более 80% сайтов уязвимы, порядка 10% могут быть взломаны автоматически. И мы видим, что подавляющее число утечек — это именно утечки вследствие автоматического поиска сайтов и баз данных, имеющих определенные уязвимости", — рассказал он.
Эксперт отметил, что виновата не только слабая информационная безопасность, но и пренебрежение со стороны компаний мерами защиты, нежелание нанимать грамотных специалистов, а также редкое обновление систем безопасности: "По нашей статистике для атак самая популярная уязвимость — через почтовый трафик, найденная в 2012 году. Да, 7 лет, и до сих пор среди пользователей столько не установили нужные обновления, что этого хватает, чтобы уязвимость была популярной", — рассказал Якушев.
По данным аналитического центра компании InfoWatch, количество утечек конфиденциальной информации в банковской сфере выросло в первом полугодии 2019 года на 7% по сравнению с аналогичным периодом в предыдущем году: "Как и в первом полугодии 2018 года, две трети из всех утечек произошли вследствие умышленных нарушений. Среди внутренних утечек доля умышленных составляет почти 50%. Вообще банковскому сектору необходимо уделять особое внимание противодействию злонамеренным инсайдерам. Здесь требуется целый комплекс систем по защите от внутренних угроз", — рассказала руководитель направления по развитию бизнеса на территории Северо-Западного федерального округа ГК InfoWatch Татьяна Ксюнина.
При этом она не согласна с тем, что в большей мере виновата слабая безопасность банковского сектора: "Трудно согласиться с тем, что банки плохо защищены. Эта отрасль традиционно много внимания уделяет вопросам кибербезопасности, обладая длительной экспертизой и солидными финансовыми возможностями, и к прямому ущербу — потере денег или конфиденциальных данных, приводит сравнительно небольшая доля внешних атак и попыток инсайдерского воздействия. Но злоумышленники постоянно совершенствуют свое "мастерство", берут на вооружение новые технические средства, вырабатывают новые приемы мошенничества. В результате ландшафт угроз стремительно меняется, а их сложность регулярно возрастает", — указала эксперт.
При этом бывает, что базы данных содержат не только обыкновенную информацию о ФИО физлица и его контактные данные, которые используются для вишинга, но и более подробные сведения. Так, по данным telegram-канала "Утечки информации", только за 11 октября появились две утечки, содержащие номера банковских карт и сканы паспортов.
"Нужно знать, что для покупок в интернет-магазинах далеко не обязательно знать секретный код. Во многих случаях достаточно номера карты", — отметил Максим Якушев.
Похожей позиции придерживаются в InfoWatch: "Даже если утекли базовые персональные данные (ФИО, e-mail, телефон), то это в лучшем случае приведет к более интенсивному потоку спама для жертвы утечки. Кроме того, подобные сведения — настоящий клад для деятелей из сферы агрессивного маркетинга, то есть почти наверняка человеку станут поступать многочисленные навязчивые предложения товаров и услуг. Наконец, весьма вероятно использование украденных данных в мошеннических целях. Например, злоумышленник может звонить человеку под видом сотрудника банка с целью поймать на удочку, выведав платежные данные", — рассказала Татьяна Ксюнина.
Утечка баз клиентов "Билайна" также принесла свои плоды. Как утверждают в банке "Точка", в результате слива информации пострадали 10 клиентов банка — злоумышленникам удалось вывести деньги с их счетов. У всех пользователей был один и тот же оператор связи. Пароль для входа в интернет-банк совпадал с паролем от личного кабинета этих пользователей.
Напомним, что c продаваемыми базами данных клиентов некоторое время назад сталкивался "ДП". Корреспондент dp.ru ознакомился с демо-версией базы данных клиентов одного из российских банков.
В базе помимо ФИО клиентов, номеров их мобильных и домашних телефонов также были указаны город проживания (в некоторых случаях вплоть до станции метро либо городского района), пол, возраст, дата открытия вклада и дата его последнего пополнения, сумма открытого счета и мобильный оператор, у которого зарегистрирован номер владельца.
Корреспондент "ДП" позвонил наугад 10 людям из демо-версии базы, из них три номера оказались отключены, остальные клиенты взяли трубку. Все они подтвердили, что их ФИО совпадают с данными из базы. Один человек отказался рассказывать, являлся ли он клиентом банка. Двое сказали, что не помнят точно, но, возможно, являлись клиентами и имели там счет. Еще один человек ответил категорически отрицательно на вопрос о том, открывал ли он счет в конкретном банке. Остальные три человека подтвердили, что являлись вкладчиками в указанные годы.