Данное сообщение (материал) создано и (или) распространено иностранным средством массовой информации, выполняющим функции иностранного агента, и (или) российским юридическим лицом, выполняющим функции иностранного агента.

Подпишите петицию с требованием отменить закон об иноагентах!

24 октября «Коммерсант» сообщил, что на черном рынке продаются персональные данные клиентов Сбербанка.

По информации издания, база содержит порядка миллиона строк с полными данными клиентов — паспорт, прописка, адреса проживания, телефоны, счета, сумма остатка и записи последних разговоров звонков клиентов в колл-центр банка.

В пресс-службе банка заявили, что таких утечек данных в банке не было. В начале октября уже сообщалось о возможной утечке данных 60 миллионов кредитных карт клиентов Сбербанка. В банке признали утечку данных только пяти тысяч клиентов.

При этом в интернете свободно продается банковская информация многих россиян. «Медуза» попросила специалистов по борьбе с утечками рассказать, стоит ли их бояться, как защититься и почему банки не делают больше для защиты данных своих клиентов.

Ашот Оганесян

Основатель компании DeviceLock — разработчика систем борьбы с утечками данных

Утечки данных из банков, наверное, уже рутина, но крупные — все-таки что-то экстраординарное. Например, очень редко, когда утечки комментирует первое лицо банка. Обычно все или заминается и банки полностью отрицают утечку, или все ограничивается сообщением пресс-службы, что они перед всеми извинились и все в порядке.

У людей со стороны по фильмам может сложиться впечатление, что утечки данных из банков происходят из-за хакеров, но на самом деле никаких хакеров обычно нет — практически всегда это человеческий фактор. Тот же Сбербанк именно поэтому часто мелькает в новостях об утечках.

На это есть объективные причины — это огромный банк, у которого очень много отделений в регионах, где у людей небольшие зарплаты и их очень просто коррумпировать. Там люди готовы идти на преступления за небольшие деньги. Очень часто причина утечек — это низовой персонал.

На черном рынке есть самые разные базы данных клиентов банков. Самые ценные, которые стоят дороже всего, содержат все данные о человеке и какую-то конкретную информацию о его счете — например, остаток средств. Еще круче, когда в базе есть номер счета и номер карты. В целом, чем больше в базе информации, тем больше на нее спрос со стороны мошенников.

Но чаще встречаются базы, где есть данные человека, его номер телефона и название банка, которым он пользуется. Больше никакой банковской информации в них нет.

Поэтому, скорее всего, такие базы утекают не из банков — многие теневые группы давно написали специальные боты, которые через банковские сервисы для перевода средств по номеру телефона, могут определить, является ли человек клиентом этого банка.

Подобные базы данных у перекупщиков стоят относительно дешево, потому что не предоставляют точечной информации.

Здесь не идет речь о «пробиве» конкретного человека в банке — такая услуга может стоить от тысячи до 10 тысяч рублей.

А данные из подобных баз с утечками покупаются массово — например, некоторые продавцы не продают информацию менее чем о тысяче человек из базы. Информация об одном клиенте банка может стоить 30-50 рублей.

После того, как база данных от перекупщиков попадает к мошенникам, они занимаются социальной инженерией.

Например, используя подмену телефонного номера, звонят клиентам, представляются сотрудниками банка и говорят, что со счетом происходит что-то странное.

Мошенники говорят, как вас зовут, называют номер счета и остаток на карте. Пытаются полностью войти в доверие, чтобы получить от вас недостающую им информацию и снять ваши деньги.

Для клиентов угроза подобных утечек понятна, но создается впечатление, что сами банки не особо их боятся. Они делают вид, что подобного вообще не существует. Скандалы им не нужны.

При этом у банков есть техническая возможность пресекать утечки — у них есть специальные технические системы защиты. Они используются на рабочих компьютерах сотрудников и пропускают через себя всю информацию пользователей. Например, по своим служебным обязанностям человек может пересылать документы по служебной почте внутри компании.

При попытке скопировать что-либо наружу система начинает проверку пересылаемых данных и в случае чего-то подозрительного может запретить такую операцию, а также послать информацию о ней в службу безопасности. На Западе банки работают именно по такому пути — все подобные операции запрещаются.

Это помогает защититься прежде всего от случайных утечек — например, когда письмо случайно пересылается не тому человеку. У нас же банки зачастую борются с подобным постфактум. У них системы работают в режиме мониторинга — записывают все действия, но ничего не блокируют. То есть в таком режиме вахтера — если что-то случится, то мы узнаем, как произошла утечка.

Такой выбор объясняют тем, что банки не хотят нарушать бизнес-процессы. При этом если утечка произошла, то данные из интернета уже не удалить. Практически никогда уже ничего не сделать.

Если вы — клиент банка, в котором произошла утечка, то вы, например, можете попытаться подать на банк в суд. Больше сделать ничего нельзя. Только быть постоянно на стреме — если вам звонят и представляются сотрудниками банка, то просто вешайте трубку и перезванивайте в банк сами. Так вы гарантированно будете разговаривать с банком.

В целом нужно понимать, что злоумышленники могут обмануть любые самые сложные технические системы защиты. Поэтому основной вопрос в борьбе с утечками — это наказание за них. И тут просто пропасть между ситуациями в России и на Западе.

Сотрудники салонов операторов сотовой связи или банков, которые сливают данные, получают штрафы и максимум условный срок. Для юридических лиц штрафы и вовсе те же 5-75 тысяч рублей. Для банка такие суммы довольно смешны. А на Западе наказание вплоть до процента от оборота.

И такое наказание опосредованно заставляет усиливать контроль за данными. Никто не хочет лишаться процентов от миллиардного оборота.

При этом у банков не так много утечек, как в других отраслях — у них очень много денег и они самые защищенные. Просто у них много очень ценной информации и про них любят писать СМИ.

Но никто не обращает внимание на утечки баз каких-нибудь салонов красоты или медицинских центров. Там базы данных хранятся непонятно как и сливаются каждый день. Информация оттуда ходит по интернету бесконтрольно.

Такие базы даже никто не считает.

Алексей Раевский

Основатель компании Zecurion — разработчика системы защиты от утечек данных

В России закон о персональных данных построен так, что тем, кто допускает утечки данных, практически ничего не бывает. Никто не проводит тщательные расследования, как на Западе, никто не выплачивает многомиллионные штрафы. Все платят небольшие штрафы и просто живут дальше.

Поэтому в крупных банках, репутации которых трудно навредить утечкой, есть отделы информационной безопасности, но это не является приоритетом в их деятельности. Им не выделяется достаточного количества средств и так далее.

Сами понимаете, если приходит к руководству банка технический директор и просит 100 миллионов на борьбу с утечками, за которые могут оштрафовать только на 75 тысяч рублей, ему их никто не даст. Недостаточная законодательная ответственность — основная проблема.

Кроме того, защита от утечек не является конкурентным преимуществом — в принципе утечки бывают у всех, нельзя на 100 процентов защитить информацию от кражи. Такого не бывает.

Из банков пытаются украсть все, потому что у любой подобной информации есть своя цена на черном рынке. И чем больше удалось вынести, тем больше на этом можно заработать. Если что-то плохо лежит, это выносят и пытаются куда-то пристроить. Крадут все до чего можно дотянуться — вплоть до истории операции по счетам, кодовых слов и всего остального.

Получить подобную базу данных — только первый шаг для мошенников. Нужно сделать еще 10-15 шагов, чтобы их монетизировать. Например, нужно прозванивать клиентов и представляться сотрудниками банков, обналичить средства. А потенциальные доходы в таких схемах не очень высокие. Чтобы получить условные 10 тысяч рублей, нужно прозвонить 100-200 человек.

Когда данные уже утекли, банк в принципе должен связаться с этими клиентами, сообщить о проблеме и предупредить, что с ними могут связаться мошенники. Такое предупреждение уже многое бы решило, но насколько мне известно наши банки этим не занимаются. Сам же клиент может только быть осторожнее и внимательнее, если увидел новости о своем банке. И понимать, что ему могут позвонить мошенники.

Цб и visa предупредили банки об утечке данных 55 тыс. карт :: финансы :: рбк

«Подтвердить информацию об объеме в 55 тысяч мы не можем: сперва нам нужно изучить опубликованную базу и проанализировать ее на предмет соответствия нашим данным», — сказал представитель интернет-магазина.

Какие данные попали в Сеть

В базе содержатся сведения о картах и клиентах разных кредитных организаций, в том числе Сбербанка, Россельхозбанка, «Открытия», Райффайзенбанка, МКБ, Тинькофф Банка, Росбанка, Почта Банка, Киви Банка, Абсолют Банка, «Ак Барса», Промсвязьбанка, Ситибанка, Юникредит Банка, банков «Санкт-Петербург», «Уралсиб», «Зенит», «Ренессанс Кредит», РНКБ, МТС Банка, УБРиРи других российских, а также зарубежных банков.

Сбербанк в курсе инцидента и получил уведомления от платежных систем, однако не зафиксировал данные карт своих клиентов в утекшей базе, сказал РБК представитель банка. В ней были сведения о картах четырех клиентов зарубежных «дочек» Сбербанка, но им ничего не угрожает, добавил он. Райффайзенбанк получил предупреждение ФинЦЕРТ, подтвердил его представитель.

Об утечке также знают «Открытие», Промсвязьбанк, «Санкт-Петербург», Росбанк и МКБ. «Данные, которые в результате допущенной маркетплейсом утечки попали в открытый доступ, не позволяют мошенникам похитить средства с карты», — подчеркнул представитель Промсвязьбанка.

О том, что «речь идет о технических данных, которые не открывают доступ к счетам», говорит и представитель «Санкт-Петербурга».

«Открытие» взяло на дополнительный контроль все операции по картам своих клиентов из базы. Райффайзенбанк заблокировал скомпрометированные карты и сообщил клиентам о перевыпуске карт, Промсвязьбанк намерен это сделать в ближайшее время.

Qiwi заблокировала карты и предложила пользователям их перевыпустить или компенсировать стоимость. МТС Банк, УБРиР и РНКБ предупреждают своих клиентов с картами из базы об их компрометации и необходимости перевыпуска.

«Зенит» оперативно заблокировал и перевыпустил карты.

МКБ самостоятельно выявил утечку еще в июле и принял дополнительные меры безопасности относительно всех карт, данные которых оказалась в открытом доступе.

У большинства карт Абсолют Банка из этой базы уже истек срок действия, а карты активных клиентов будут перевыпущены, сообщил управляющий директор банка Олег Кусеров. Росбанк реализовал «планы противодействия подобным угрозам», отметил его директор по розничному бизнесу Алексей Лола.

«Санкт-Петербург» связывается с клиентами, чья личная информация могла быть скомпрометирована, блокирует их карты и предлагает выпустить новые, сообщили в его пресс-службе.

Что грозит клиентам из базы

«В этой базе нет данных, с помощью которых мошенники могли бы без подтверждения клиента совершить платежные операции», — успокаивает представитель «Открытия».

По словам руководителя направления комплаенса и аудита группы компаний Softline Ильи Тихонова, эти данные могут использоваться только с целью мошенничества путем социальной инженерии, когда мошенники обманывают банковских клиентов, для убедительности используя персональную информацию из баз.

По данным ЦБ, в 2019 году в 69% случаев при хищении денежных средств с банковских счетов граждан использовалась социальная инженерия. Всего за прошлый год преступники украли у банковских клиентов 6,42 млрд руб.

Интернет-магазины традиционно являются одним из самых слабо защищенных сегментов, так как их создатели уделяют недостаточно внимания вопросу защиты от кибератак, продолжает Тихонов: «Исходя из характера данных, я могу предположить, что они были получены путем внешней атаки: использовалось вредоносное ПО, перехватывающее данные в процессе оплаты». Чаще в Сеть попадают данные клиентов интернет-магазинов без платежной информации, с данными карт — всего лишь несколько раз в год, добавляет основатель и технический директор компании DeviceLock Ашот Оганесян.

База находится в свободном доступе в нескольких местах, ее могли скачать сотни человек, поэтому мошенникам будет сложно ее использовать, отмечает Оганесян: «Если клиентов прозвонили по одному разу, то эффективность следующих прозвонов стремится к нулю, так как жертвы телефонных мошенников становятся бдительнее».

Прохудившиеся банки: можно ли остановить утечки персональных данных?

Дня не проходит, чтобы в новостях не сообщили, что очередной клиент пообщался с «сотрудником» банка и расстался с энной суммой денег.

А примерно раз в месяц СМИ рассказывают о «новом способе мошенничества», который изобрели злоумышленники. На деле ничего нового в этих способах нет.

Вся новизна — в объеме подробностей о жертве, которые теперь злоумышленники используют для своих манипуляций. Это делает их атаки более точечными и действенными.

Утечки персональных данных стали универсальной проблемой. Одинаково незащищенными оказались и бабушка с пенсионной карточкой, и олигарх с платиновой. Информация о каждом гуляет в даркнете. Только стоит разных денег.

Что и почем?

Главные поставщики информации — инсайдеры. В паре со злоумышленником на стороне они составляют настоящую боевую ячейку. «Вербовочные» сервисы работают в русскоязычном сегменте даркнета практически открыто. Через них вербовщики договариваются с сотрудниками банков, которые поставляют информацию о клиентах. Предложения разнообразны. В даркнете можно купить:

• готовую базу;
• базу по конкретным параметрам, например, держатели карт крупного банка с остатком на карте 100 тысяч рублей. Работают по схеме «вечером деньги, утром архив»;
• информацию по VIP-клиентам с выборкой по региону, городу, профессии и т. п.

Стоимость так называемого пробива зависит от «дырявости» банка, объема запрашиваемой информации и должности инсайдера. Чем серьезнее должность и уровень доступа, тем дороже услуги.

Наши аналитики выяснили, что в среднем за пробив состояния счета жертвы берут от 5000 до 15 000 рублей. Срок исполнения — от нескольких минут до недели с момента получения оплаты.

Самое дорогое предложение по «пробиву банковской информации», — 300 000 рублей за данные по конкретному человеку из всех банков РФ.

Но такие «гибридные атаки» — только вершина айсберга. Инсайдеры часто и сами организуют схемы. Вот примеры кейсов, которые встречаются в судах по уголовным статьям 159.

6 (мошенничество), 183 (незаконное разглашение сведений), 272 (неправомерный доступ к компьютерной информации): сотрудники снимают деньги со счетов, о которых клиент, вероятно, забыл; подменяют телефонные номера в карточках клиентов, чтобы незаметно вывести деньги; открывают счета на клиентов, чтобы «прогонять» по ним деньги. Из самого безобидного — сообщения «по дружбе» о том, сколько денег на счете у бывшего мужа.

Корень проблемы

Хочется спросить: почему такой бардак образовался?

Есть несколько пробелов в регулировании, которые не мотивируют банки защищать данные от утечек по вине сотрудников. Во-первых, стандарты и рекомендации описывают требования по защите персональных данных рамочно.

Например, в ГОСТе «Безопасность финансовых (банковских) операций…», а также в рекомендации «По предотвращению утечек информации» говорится о необходимости контроля только четырех каналов перемещения информации — почты, веб-трафика, принтеров и устройств хранения.

Это устаревший список, он не соответствует тому, как организованы бизнес-процессы в банках сегодня. Сотрудники используют куда большее число каналов, от облаков до веб-версий мессенджеров.

Но даже эти рамочные требования не являются директивными. Про рекомендации все понятно из самого названия. А вот что касается стандарта, то большая проблема заключается в методике, которая описывает процесс поверки исполнения требований стандарта.

В ней нет ни единого слова о том, что ЦБ контролирует, внедрены ли в банках системы защиты от утечек данных. Это один из примеров, описывающий, насколько схематичны документы, которыми руководствуются российские банки, защищая наши персональные данные.

В такой ситуации лишь малая часть «сознательных банков» прислушиваются к рекомендациям и делают для защиты данных все, что нужно. Остальные рассуждают: «За это не штрафуют» — и надеются на русское «авось обойдется».

Что делать

По данным VMware, только 25% банков и страховых компаний в России и СНГ внедряют инновации параллельно с защитными решениями. Таковы жертвы цифрового прогресса: чтобы быть конкурентоспособными, банкам приходится внедрять технологии быстрее, чем защитные механизмы.

Но выявлять нарушителей, собирать доказательства вины и принимать меры — задача хоть непростая, но и не фантастическая. По сути необходимы два элемента: качественные программные комплексы для защиты данных и профессиональная служба безопасности.

Но и без «волшебного пинка» регулятора никак не обойтись. Рекомендации должны перейти в разряд директив, иначе россиянам и дальше придется гадать, относится ли его банк к четверти самых ответственных и в безопасности ли его данные. Пока же каждому клиенту банка остается только надеяться, что никто не решит его «пробить», и внимательнее относиться к звонкам от сотрудников банков.

Ситуация становится тем опаснее, что в прошлом году кредитные организации начали собирать биометрию. И если начнут утекать образцы нашего голоса или сетчатки глаза — проблема выйдет на новый уровень, тогда как мы еще не защитились на предыдущем.

Утечка на миллион

Данные клиентов ОТП-банка, Альфа-банка и ХКФ-банка оказались в открытом доступе. Утечка суммарно затрагивает интересы примерно 900 тыс. россиян, чьи имена, телефоны, паспорта и место работы теперь при желании может узнать каждый.

Базы были выложены в конце мая, данные в них собирались несколько лет назад, но существенная часть информации сохраняет актуальность.

Эксперты считают, что лица из этих баз могут как подвергнуться обычному спаму, так и столкнуться с мошенничеством.

Две утечки данных о клиентах Альфа-банка обнаружила в пятницу DeviceLock. В одной из баз содержатся данные о более чем 55 тыс. клиентов, включая их ФИО, телефоны (мобильный, домашний и рабочий), адрес проживания и место работы. В DeviceLock осторожно датируют ее 2014–2015 годами.

Вторая база содержит всего 504 записи, но она интересна тем, что датируется 2018–2019 годами, а помимо ФИО и телефонов содержит такие данные, как год рождения, паспортные данные, обслуживающее отделение Альфа-банка, а также остаток на счете, ограниченный диапазоном 130–160 тыс. руб.

“Ъ” удалось обнаружить первую базу данных и ознакомиться с ней. В открытом доступе она находится по меньшей мере с конца мая.

Судя по адресам, все клиенты из данной базы проживают в Северо-Западном федеральном округе. Телефонные номера по большей части действующие и принадлежат обозначенным лицам.

По месту работы помимо сотрудников частных компаний можно найти около 500 сотрудников МВД, порядка 40 человек из ФСБ.

Эта база была выложена в заархивированном виде с двумя другими, в которых, согласно описанию, содержатся данные о клиентах ХКФ-банка и ОТП-банка. Первая состоит из 24,4 тыс.

клиентов, содержит их ФИО, паспортные данные, телефоны (мобильный и домашний), адрес и столбец «лимит», предположительно кредитный. Большинство физлиц из этой базы проживают в Волгограде и области. Актуальность данных неизвестна.

Но “Ъ” дозвонился до нескольких человек из этого списка, все они подтвердили, что брали кредит в ХКФ-банке, но давно. По словам одного из них, примерно в 2009 году.

База, указанная как OTPbank, содержит данные о 800 тыс. человек по всей России, такие как ФИО, телефоны, почтовый адрес, одобренный кредитный лимит, рабочие пометки о том, как прошел контакт с клиентом. Актуальность базы — осень 2013 года. Несколько человек из этого списка, которым позвонил “Ъ”, подтвердили, что брали кредит в ОТП-банке.

Пресс-служба Альфа-банка заявила, что уполномоченные службы кредитной организации проводят проверку достоверности и актуальности сведений, опубликованных в интернете персональных данных физических лиц, которые могут являться клиентами банка.

В ХКФ-банк, сообщили, что «происхождение данных в указанном файле банку неизвестно, но мы примем меры для его установления». «В нашем банке не зафиксирована утечка информации, и происхождение данной базы нам неизвестно»,— заявили в ОТП-банке.

Основатель и технический директор DeviceLock Ашот Оганесян пояснил предположительное происхождение базы данных клиентов Альфа-банка с 55 тыс. записей. По его словам, осенью 2014 года в банке происходило массовое увольнение регионального IT-отдела. Данные могли утечь тогда, а позже база долгое время распространялась на черном рынке.

«И вот не так давно ее разместили в паблик даже без пароля»,— поясняет господин Оганесян. Что касается свежей (2018–2019 годов) базы клиентов Альфа-банка, то ее мог взять клиентский менеджер, считает сотрудник одного из банков, специализирующийся на борьбе с мошенничеством.

На это, по его мнению, указывает небольшой размер базы (чуть больше 500 человек), а также то, что все клиенты из определенной выборки, ограниченной суммой счета.

По всей видимости, человек, целенаправленно собравший эти базы, был или инсайдером, или же находил тех, кто их может украсть, полагает гендиректор Zecurion Алексей Раевский.

«Судя по тому, что базы являются устаревшими, скорее всего, они использовались в узком круге, а когда перестали быть нужными, стали достоянием общественности,— предполагает он.— Теперь же люди, фигурирующие в этих базах, могут стать жертвами широкого круга банковских мошенников».

Последние смогут, например, притворяясь службой безопасности банка, входить к жертвам в доверие, демонстрируя знание персональных данных, или использовать паспортные данные в мошеннических целях.

Виталий Солдатских, Вероника Горячева

Более половины из изученных компанией DeviceLock популярных облачных баз данных в рунете предоставляют возможность неавторизованного доступа. Это особенно распространено в небольших компаниях, считают эксперты. Утечки из облачных хранилищ нередки — только за последнее время попали в открытый доступ данные пациентов скорой помощи и клиентов сервиса «Звонок».

Читать далее

Утечки персональных данных: чем они опасны для пользователей и как от них защититься | Rusbase

Привычные нам сервисы не защищены на 100% от утечки данных.

Павел Пармон, сотрудник аналитического отдела компании Falcongaze, которая специализируется на кибербезопасности, написал колонку о том, зачем и как злоумышленники воруют информацию, и как усложнить процесс кражи.

Утечки персональных данных: чем они опасны для пользователей и как от них защититься Алена Шаповалова

Причины краж персональных данных бывают абсолютно разные:

• Эти данные можно продать другим злоумышленникам;
• Персональные данные человека могут помочь «подогнать» фишинговое письмо под конкретную жертву, что увеличит вероятность выполнения ей желаемых действий (введение учетных/платежных данных на фишинговой странице, скачивание файла с вредоносным содержимым и т.д.);
• С помощью персональных данных пользователя можно получить доступ к его аккаунтам и устройствам и пользоваться ими в своих целях;
• Также с помощью персональных данных и аккаунтов пользователей можно больше узнать о других пользователях. Злоумышленники могут более точно подобрать механизмы атаки на цель и даже найти ее персональные данные у других пользователей. Например, в переписке в социальной сети.

Как злоумышленники получают доступ к чужим персональным данным

Способов добраться до персональных данных много, но основными являются:

• Взлом баз данных компаний. Ненадежная, устаревшая защита от угроз или просто еще не исправленный баг в системе, о котором никто и не знал до инцидента — все это может привести к утечке данных;
• Фишинговые рассылки. Если ваш друг клюнул на фишинговое письмо и его аккаунт украли, то с него могут организовать фишинговую рассылку по его кругу общения. Как правило, такой метод будет более эффективным, потому что последующим жертвам пишут уже от лица знакомого человека;
• Инсайдерские утечки. Бывают случаи, когда злоумышленники подкупают сотрудника организации и он дает доступ к данным клиентов;
• Простой поиск. Иногда из-за неправильной настройки сервер дает поисковым системам индексировать данные, которые на нем хранятся. Такие базы данных можно найти с помощью специальных запросов в поисковике, и они нередко содержат персональные данные пользователей. А еще пользователи сами оставляют очень много информации о себе. Например, ссылки на свои аккаунты в других сервисах, которые содержат еще больше информации… потратив пару часов на анализ социальных сетей и форумов, на которых сидит жертва, можно узнать о ней очень многое: от мнения о новом сериале до режима сна и аллергии на, скажем, клубнику.

Как себя обезопасить

К сожалению, от утечек данных пользователь себя обезопасить сам не сможет. Ведь большое количество данных утекает как раз в результате взломов баз данных сервисов или инсайдерских утечек.

Но мы подготовили несколько советов, как сделать утечку ваших данных, если она произойдет, менее болезненной, а жизнь злоумышленников сложнее:

• Указывайте лишь необходимый минимум данных. Если для работы с сервисом хватит только почты и пароля, так и оставьте. Как минимум не будет названивать «служба безопасности банка» или коллекторы, которым ваш номер дали как контактный.
• Подпишитесь на рассылку от havibeenpwned.com. Этот сервис собирает информацию об известных утечках почтовых адресов и оповестит вас, если ваша почта была замечена в утечке. Но на каждую почту нужно оформлять оповещения отдельно.
• Используйте разные пароли для разных сервисов. Даже если утечка случится, злоумышленники не смогут раскинуть сети на все ваши аккаунты, привязанные к полученной почте. И им сложнее дальше работать, и вам проще восстановить один аккаунт вместо десятка.
• Регулярно обновляйте пароли от своих аккаунтов. Утечки данных происходят постоянно и далеко не всегда попадают в новостные сводки. Можно и не заметить, что ваш аккаунт взломали и используют в своих целях киберпреступники;
• Настройте двухфакторную аутентификацию. Она помешает злоумышленникам получить доступ к вашим аккаунтам даже в случае, когда у них есть данные для входа;
• При верификации на сервисе с помощью документов (паспорт, водительские права) хорошей превентивной мерой будут водяные знаки на фото или подпись на бумаге, когда и для какого сервиса было сделано фото. Есть все шансы, что техподдержка отклонит эти фото, если злоумышленники попытаются использовать их для верификации аккаунта на других сервисах;
• Если же утечка произошла и в ней были замечены ваши персональные данные, хорошей идеей будет обратиться в компетентные органы. Даже если расследование застопорится, у вас будет подтверждение того, что кто-то мог использовать ваши данные. Это поможет оспорить ответственность за действия злоумышленников, которые они производили от вашего лица. Это, например, помогло Рафаэлю Халилову в феврале прошлого года аннулировать кредит в банке, который на него взяли мошенники;
• Ну а если вы разбираетесь в безопасности, то можете участвовать в программах bug bounty и просто находить уязвимости и оповещать о них компании. Так вы сделаете их сервисы безопаснее, а свои персональные данные защищеннее.

Главная опасность утечек данных состоит в том, что для пользователя она может пройти незаметно. Не всегда компании освещают подобные инциденты хоть где-то, а даже если и освещают, то не всегда информация о них доходит до пользователей. Поэтому очень важно заранее позаботиться о своих персональных данных.

GaudiLab/shutterstock

Сбор данных из соцсетей дает больше возможностей, чем утечка из банка

Куратор «ФинЦЕРТа» ЦБ Артем Сычев — о том, когда россияне смогут добровольно отказываться от онлайн-переводов, мифах о call-центрах и новой модели киберпреступлений.

В Центробанке надеются, что уже со следующего года россияне смогут защищать свои счета от мошенников, добровольно отказываясь от ряда онлайн-операций. Это особенно актуально, поскольку злоумышленники активно обкатывают новую модель поведения, сделав ставку не на количество хищений, а на суммы, которые могут доходить до нескольких десятков миллионов рублей.

Об этом в интервью «Известиям» рассказал замначальника департамента информбезопасности Центробанка Артем Сычев, курирующий Центр мониторинга и реагирования на кибератаки в финансовой сфере (ФинЦЕРТ).

Он также пояснил принципиальную позицию регулятора при подготовке законопроекта, призванного решить проблему с подменой номеров, и рассказал, появятся ли в ближайшее время в России финансовые опекуны для защиты пожилых граждан.

Сорвать куш

— В последнем отчете «ФинЦЕРТа» отмечено, что в прошлом году более чем на 40% выросла сумма хищений со счетов, которые совершаются через банкоматы.

Читайте также:  Справка о посещении ЛФК для школы

Имеется в виду, что на финальной стадии жертва не переводит деньги мошенникам, а снимает и передает злоумышленникам.

Но разве этот вид относится к киберпреступлениям или учитывается, что предварительную обработку человека мошенники проводят онлайн?

— По закону такой вид хищения не относится к киберпреступлениям.

— То есть вы не учитываете это в статистике и данные о похищенных со счетов суммах могут быть существенно выше?

— Мы, невзирая на формальное несоответствие этого вида, стараемся учитывать его в статистике, если банк или граждане сообщают о таких хищениях. Это необходимо для формирования более полной общей картины.

Но на предварительной стадии даже в этих случаях используются киберинструменты, в том числе при похищении персональных данных, обращении к человеку.

По составу преступления это относится к ст. 159 ч. 6 УК РФ, где в качестве инструмента используются различные варианты взаимодействия с клиентами, в основном, естественно, это телефон.

Говорить о том, что это преступление в сфере высоких технологий с использованием информационно-коммуникационных технологий (ИКТ), конечно, можно, но нужно понимать, что из всего ИКТ там только телефон.

Что касается персональных данных, то их добывают различными путями. В конце концов, обзвонщики могли их просто купить.

— В некоторых банках мне сказали, что сейчас уже больше проблем с тем, что люди снимают деньги для мошенников даже не через банкоматы, где установлены ежедневные лимиты, а через кассы.

По их словам, чуть ли не до 90% преступлений со счетами в денежном выражении совершается именно так. Проще говоря, приходит бабушка и снимает один-два, или даже десять миллионов рублей, а потом отдает их мошенникам.

Согласны ли вы с такой оценкой?

— Мы замечаем эту проблему из тех же обращений граждан и банков, а также по взаимодействию с правоохранительными органами. Сказать, что сейчас это тренд, нельзя. Все технологии хищения раскладываются на этапы, на осуществление каждого из которых нужно время. Сначала идет стадия разработки и апробации — сработает или нет.

На этом этапе фиксируются единичные случаи реализации технологии. Далее ее пытаются уже опробовать в массовом режиме, доводят до ума. А затем уже начинается использование в «промышленных» масштабах. Именно в этот момент автор технологии получает наибольшую прибыль.

В дальнейшем, когда она начинает терять доходность, автор теряет интерес, но не отправляет ее на свалку, а перепродает другим злоумышленникам.

Возвращаясь к схеме, когда жертву доводят до снятия денег через отделение банка, сейчас она находится на первом этапе, когда попробовали, выяснили, что это может работать.

Мы можем ожидать, что в ближайшее время эта технология может использоваться более массово.

Именно поэтому мы обращаем внимание банков на нее: рекомендуем информировать о ней клиентов и выстраивать скрипты общения с клиентами, исходя из нее.

— Но по суммам эта офлайн-технология на порядки более масштабная. Достаточно вспомнить недавнюю историю с дочерью летчика Валерия Чкалова, которую мошенники обманули на 23 млн рублей. Можно ли сказать, что в денежном выражении доля этого вида мошенничества растет колоссальными темпами?

— Скорее, готовится к тому, чтобы расти. Да, преимущество для мошенников этой схемы в том, что они сразу похищают большую сумму денег. Мы неоднократно отмечали, что если раньше охота шла просто за средствами с обычных счетов граждан, то в прошлом году появилось особое внимание к депозитным счетам.

Это само по себе показывает, что у мошенников сменилась модель. Вместо обработки большого количества клиентов банков с относительно небольшими суммами они переключились на более точечное воздействие, которое позволяет получить сразу и много.

Эта офлайновая схема — просто один из вариантов такого подхода. В моем понимании, эта схема сложнее в реализации и требует большей подготовки. При этом в случае ее применения не работают вообще никакие методы антифрода (борьбы с мошенничеством.

— «Известия»).

— Но почему просто не разработать скрипт для операционистов, как действовать в случае, если они заподозрили, что клиент снимает деньги под влиянием? Например, сказать, что сумму нужно заказать и в это время обратиться в правоохранительные органы?

— В любом случае, большие суммы заказываются — у человека будет время одуматься, посоветоваться с кем-то и, возможно, избежать ошибки. Но вопрос не в этом.

Человек пришел за своими деньгами, он «обработан», находится в стрессовом состоянии и, как показывает практика, далеко не всегда он осознает угрозу, даже если ему будут пытаться открыть глаза.

Он просто ответит, что хочет снять свои средства, и юридически он будет иметь полное право получить их и распоряжаться по своему усмотрению.

Все, что может сделать операционист — мягко поинтересоваться, зачем такая сумма. Но вы же понимаете, что когда это происходит, то, как правило, клиенты начинают раздражаться.

И это провоцирует их относиться негативно скорее к операционисту, чем к мошенникам, которые его ведут. На этом тоже, к сожалению, злоумышленники играют.

Тем более, что сейчас используется схема, когда человек якобы участвует в спецоперации правоохранительных органов и не может никому ничего раскрывать.

— Офлайновые схемы проще раскрываются?

— Нет, к сожалению, поскольку деньги передаются лично и, очевидно, не под видеокамерами.

Переводам нет

• — Охота идет на все депозитные счета, на срочные тоже?
• — Как раз про срочные и речь.
• — Людей, особенно экономных бабушек, не смущает, что они теряют проценты по вкладу?

— Почему бабушки? На уловки попадаются и люди среднего возраста, причем с высшим образованием, научной степенью.

Недавно был случай с кандидатом технических наук. Именно поэтому мы хотим дать возможность клиенту самому ограничить удаленный доступ к своим счетам, к своим депозитам.

1. — Это действительно может помочь в случае онлайн-перевода мошенникам, но в отделении не помешает снять свои деньги.
2. — Как бы то ни было, это создаст дополнительные сложности для злоумышленника, которому придется вести жертву в отделение.
3. — Обязанность банка предоставить клиенту возможность добровольно отказаться от некоторых онлайн-операций будет оформлена законом или нормативом ЦБ?
4. — Мы как раз сейчас и прорабатываем этот вопрос.
5. — Когда мы писали об этой инициативе, юристы говорили, что закон не нужен, достаточно норматива ЦБ.
6. — Есть разные мнения.
7. — Когда можно ожидать принятия всех необходимых нормативов?
8. — Мы планируем до конца года.
9. — И со следующего года это ограничение уже может начать действовать?
10. — Да.

— Но вернемся все же к людям старшего возраста от 50 лет, на которых приходится более половины случаев мошенничества со счетами.

К 1 июля регулятор по поручению президента должен проработать меры дополнительной защиты этой категории. Как я понимаю, одна из мер — добровольный отказ от ряда онлайн-операций.

Однако в поручении упоминался институт финансовых советников или опекунов.

— Обсуждение идет. Здесь много правовых коллизий.

— А есть ли хотя бы понимание, кто мог бы быть такими опекунами? Родственники, нотариусы?

— Пока институт финансовых опекунов находится в проработке. Это сложный вопрос.

Кредитный антифрод

— Вы много говорили о депозитах, но есть, на мой взгляд, более серьезная проблема, когда мошенники вынуждают человека взять кредит и перевести им деньги. Если в истории со вкладами человек теряет имеющиеся сбережения, то так еще и оказывается должен. Можно ли как-то облегчить их участь?

— Людей, которые по такой схеме попали, не очень много. Число банков, чьи клиенты пострадали, тоже весьма ограниченно.

С каждым из банков мы провели отдельно работу по поводу того, насколько кредитные организации видят эту проблему и что предпринимают сами, чтобы лучше идентифицировать своего клиента. Можно сказать, что все банки для себя уже увидели этот риск.

На старте, когда схема только раскручивалась, не все и не всегда могли вовремя реагировать не нее. Сейчас практически у всех есть инструменты возможности снижения реализации такого риска.

— В пандемию некоторые банки существенно увеличили дневные лимиты по переводам средств, поэтому жертвы мошенников умудряются перевести им и 500 тыс. рублей. Такие случаи известны. Рекомендует ли ЦБ банкам вернуться к лимитам, которые были до пандемии?

— Тут совпало несколько факторов, начиная от самой по себе пандемии, заканчивая необходимостью оперативно выводить на рынок дистанционные продукты. Скорость, с которой это делалось, привела к тому, что банки или не учли некоторые риски, или вовремя не спохватились.

Со всеми банками, которые такой продукт имеют, была проведена работа. У нас уже сейчас есть уверенность, что все эти банки реализовали у себя механизмы снижения потерь. Насколько это будет эффективно, можно будет посмотреть по нынешнему году, но можно сказать, что всплеск таких хищений произошел во II квартале, к IV кварталу таких преступлений было существенно меньше.

• — Банки планируют эти лимиты назад снизить?
• — Есть очень разные методы противодействия.
• — Какие?

— Есть несколько базовых вещей, которые должны быть обязательно. Кредитный антифрод и антифрод транзакционный должны друг друга дополнять. Транзакционный отчет должен фиксировать, что поступившие на счет деньги — это кредит. Есть технические вещи, которые закладываются и в кредитный скоринг (оценка рисков. — «Известия»), и в антифродный скоринг.

— Проще говоря, при трансакции учитывается риск, что переводится кредитный продукт?

— Конечно.

Не допустить подмены

— Появились ли в пандемию новые каналы у мошенников, чтобы добыть персональные данные клиентов?

— Их так много, что уже более чем достаточно. Не все согласны с нами, когда мы говорим, что источником данных по большей части являются не банки. Многие считают, что все утечки происходят через кредитные организации, а мы их защищаем. Но это далеко не так, и последние громкие утечки как раз очень хорошо это показывают.

В продажу поступают компилированные из совершенно разных источников базы. Причем большая часть из них открытые — соцсети и всё, что с этим связано. Найти связку — фамилия, имя, отчество, номер телефона, электронная почта, дата рождения — не составляет большого труда. Небольшая программа, два дня работы, и получается результат.

— Наверняка, мошенники еще и подтягивают сведения о предпочтениях потенциальных жертв, что может быть использовано в социнженерии?

— Именно. Сбор данных из соцсетей дает гораздо больше возможностей, чем утечка из банка. Если у вас в профиле написано, что вы интересуетесь животными, то будут раскручивать с учетом этого, предлагать, например, внести деньги на волонтерскую организацию.

— Обычному человеку трудно понять, почему мошенники звонят из колоний и это невозможно пресечь. Как сейчас происходит взаимодействие со ФСИН по этому вопросу?

1. — Это вопрос к ФСИН.
2. — Вы как участвуете в решении проблемы?
3. — Это техническая проблема, потому что большая часть звонков идет все-таки не из мест лишения свободы, а из-за пределов России.
4. — То есть интернет-мем о том, что «call-центры Сбербанка» находятся в большинстве своем в колониях, — миф?

— По большей части да. Большинство таких звонков поступает из-за рубежа. Здесь важно решить проблему подмены телефонных номеров через законопроект, который сейчас Минцифры готовит. Там это будет учтено.

— А когда можно ожидать внесения этого проекта в Госдума?

— Минцифры обещало внести в правительство в мае. Это надо у них спрашивать, потому что они над ним работают. Мы свою позицию высказали: поддерживать, понятное дело, будем. Но у нас есть некоторые расхождения относительно того, что нужно делать правом, а что обязательством операторов по проверке исходящего номера. Мы будем настаивать на том, чтобы это было обязанностью.

— Если я правильно понимаю, то если дать операторам право, то все изменения будут бессмысленны?

— Да, если вменять в обязанность проверку номера только оператору, который принимает звонок, то все теряет смысл. Дело в том, что в IP-телефонии, которая используется мошенниками, цепочка звонков и операторов может быть очень длинная.

Мы считаем, что нужно установить обязанность для операторов по всей цепочке запрашивать данные по номеру.

Если сделать это правом, то как поступить оператору, который принял звонок, если на предыдущих этапах его «коллеги» не воспользовались правом и не стали проверять номер?

• — То есть вы настаиваете, чтобы и у промежуточных операторов была обязанность проверять номер?
• — Да.
• — Изменилась ли география мошенничеств, нет ли сдвига в регионы в связи с выплатами в рамках господдержки?

— Нет, тут работает привязка к экономической активности. По большей части, естественно, в поле интересов мошенников остаются Москва и Петербург. Где больше денег, там и активность больше.

Беседовала Анна Каледина.

«Известия», 12.05.2021