ЦБ впервые раскрыл масштаб продаж персональных данных россиян. Какие сведения чаще всего используют мошенники, чтобы обмануть свои жертвы

Специалисты ЦБ в первой половине 2019 года обнаружили 13 тыс. объявлений о продаже и покупке баз персональных данных, говорится в ежегодном докладе ФинЦЕРТа (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России). Только 1,5 тыс. из них (12%) — это базы кредитно-финансовых организаций. В предыдущих докладах подобную статистику ЦБ не раскрывал.

Самым популярным видом мошенничества в 2018 году стала социальная инженерия: почти все случаи хищения денежных средств со счетов физлиц (97%) были связаны именно с ней, сообщил ФинЦЕРТ. Для такого метода необязательны данные, относящиеся к банковской тайне, они лишь уточняют и дополняют необходимую информацию. «Мошенникам достаточно владеть информацией о фамилии, имени и отчестве, а также о номере телефона физического лица», — говорится в докладе.

Не только банки

Из всех зафиксированных утечек за первую половину 2019-го в публичное пространство попало 18 ключевых событий, указывает ЦБ, и только три из них были связаны с организациями банковского сектора. Еще три случая в СМИ не освещались (какие именно — регулятор не уточняет).

По оценке ФинЦЕРТа, источниками утечек выступают не столько банковские работники, сколько операторы обработки персональных данных. Специалисты обозначили три канала утечек данных банковских клиентов.

• Сайты интернет-магазинов. Для оплаты товаров и услуг потребители обычно оставляют свои контакты, а также данные банковских карт. Информацию можно получить, если в ресурс будет встроен вредоносный код или если сами владельцы сайта продадут клиентские данные.
• Торговые площадки в интернете. Мошенники используют сайты объявлений, чтобы дополнить недостающие сведения о жертвах. Для этого они автоматически сканируют (метод парсинга) предложения граждан о продаже или покупке товаров. «Данные платежных карт часто сообщают в переписке или в телефонных разговорах сами участники. В дальнейшем они могут сопоставляться и компилироваться с информацией, ранее полученной из других источников», — говорится в отчете ФинЦЕРТа. Для сопоставления мошенники используют базы данных налогоплательщиков, владельцев автомобилей, недвижимости, информацию из соцсетей. Они также могут опираться на неполные сведения или выведать недостающую информацию у самого клиента банка во время разговора.
• Покупка данных с помощью Telegram-ботов. Специалисты ЦБ подробно не описывают этот канал утечки, но указывают, что способ доступен «широкому кругу лиц за определенную плату».

С сентября 2018-го по август 2019 года ФинЦЕРТ выявил около 780 тыс. сайтов с вредоносным программным обеспечением (за весь 2017 год их было чуть более 350 тыс., за первую половину 2018-го — 584,5 тыс.). За тот же период почти в семь раз выросло количество мошеннических сайтов с лжеопросами и лжелотереями, до 7,2 тыс. Всего по запросу ЦБ регистраторы доменов закрыли 9,8 тыс. фишинговых сайтов.

На прошлой неделе с утечкой персональных данных столкнулся Сбербанк: в интернете появилось объявление о продаже 60 млн записей о кредитных картах его клиентов. В банке сначала сообщили, что продаются только 200 записей, но потом уточнили, что их 5 тыс. Представители Сбербанка заверили, что угрозы для безопасности денег клиентов нет, а виновным в утечке назвали руководителя сектора в одном из бизнес-подразделений банка.

Утечки данных стали одной из тем форума «Финополис», который начался 10 октября в Сочи. В его рамках глава Сбербанка Герман Греф отметил, что наказание за кибермошенничество в России менее серьезное по сравнению с Западом. Глава ЦБ Эльвира Набиуллина ответила, что ответственность за такие преступления нужно повышать «в соответствии с международным уровнем».

Почему социальная инженерия популярна у мошенников

Социальная инженерия как формат мошенничества очень беспокоит ЦБ, сказала на «Финополисе» Набиуллина, причем применять ее можно и без утечек данных. «Мы считаем очень важным доводить до клиентов банков, и я сейчас, пользуясь случаем, хочу об этом сказать: если вам кто-то звонит и пытается узнать ваши данные, положите трубку и сами перезвоните в контактный центр вашего банка», — отметила она.

• «Социальная инженерия перестает быть прерогативой отдельных любителей и становится полноценным детально подготовленным, профессиональным и хорошо финансируемым нелегальным бизнесом», — считает коммерческий директор компании «Инфосекьюрити» Александр Дворянский. Сейчас методы злоумышленников становятся все более персонифицированными, поэтому пользователю становится гораздо сложнее распознать мошенника, объясняет эксперт.
• Последний год особенно ярко показал, что человек — самое слабое звено кибербезопасности, поэтому злоумышленникам проще сосредоточиться на социальной инженерии, не требующей глубоких технических знаний, отмечает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.
• Такие виды мошенничества не требуют специальной технической подготовки, покупки или разработки вредоносных программ, проведения сложных многоступенчатых операций, достаточно умения входить в доверие к людям и использования персональной информации о клиентах банков, которая оказалась в распоряжении мошенников, говорит замруководителя CERT Group-IB Ярослав Каргалев.
• В сегменте юридических лиц дела обстоят лучше, утверждает Дворянский: регуляторы и надзорные органы обязывают компании соблюдать довольно жесткие требования к уровню защиты информации.

Обзвон поставили на поток

В 2019 году произошел всплеск мошеннических звонков клиентам банков, констатирует ФинЦЕРТ. Злоумышленники пользуются новой технологией — заменой своего номера на номер кредитной организации. За последний год ФинЦЕРТ заблокировал почти 5 тыс. номеров, с которых совершались такие звонки. Речь идет о номерах с кодом 8-800 для многоканальной телефонной связи. Количество заблокированных номеров в сентябре 2018 года — августе 2019-го выросло в 39 раз по сравнению с тем же периодом годом ранее.

ФинЦЕРТ пока не раскрыл, какой ущерб причинили подобные звонки клиентам банков. Ранее зампред ЦБ Дмитрий Скобелкин заявил, что в 2018 году вектор атак сместился с клиентов-юрлиц на граждан. Тогда киберпреступники похитили со счетов юрлиц 1,46 млрд руб., а со счетов граждан — 1,38 млрд руб., но ущерб последним вырос на 44%. Скобелкин не уточнил, какая доля средств была похищена с помощью социальной инженерии. По оценкам Сбербанка, 80% атак на банковских клиентов совершаются именно таким образом.

ЦБ инициирует поправки для борьбы с подменой телефонных номеров, сказал журналистам на «Финополисе» первый замдиректора департамента информационной безопасности ЦБ Артем Сычев. «Есть ряд операторов, которые отказываются блокировать [номера мошенников] вообще, причем, как правило, это операторы Московского региона. Именно поэтому мы, очевидно, будем инициировать дополнительные изменения в закон «О связи», — заявил он. По мнению Сычева, у операторов должны быть определенные обязанности по регулированию обмена трафиком.

В 75% случаев кредитные организации возвращают клиентам украденные деньги, говорил ранее Сычев «Коммерсанту». Тем не менее, по данным за третий квартал 2018 года, банки выплатили пострадавшим только 230 млн руб. из похищенных 304 млн. Набиуллина 10 октября сказала журналистам, что вопрос об обязательных компенсациях за утечки требует внимательного рассмотрения.

Павел Казарновский, Евгения Чернышова, Юлия Кошкина