Клиентские базы данных половины банков из топ-20 можно купить на черном рынке. За год они подорожали втрое — с 20 до 70 рублей за одну запись, следует из отчета компании по борьбе с инсайдерскими утечками DeviceLock («Известия» ознакомились с исследованием). Компания проверила 10 баз данных, датированных июнем или июлем, которые продаются в DarkNet и telegram-каналах, — все принадлежат банкам из первой двадцатки. Тенденцию подтвердили в других компаниях по кибербезопасности — Zecurion и «Техносерв». Теперь один такой полный реестр информации можно купить за 7–11 млн рублей. В Центробанке пояснили, что персональные данные стало сложнее достать из-за возросших мер предосторожности. При этом в полицию в августе уже поступило заявление о краже большой суммы со счета. У клиента Росбанка мошенники выманили информацию и списали около 3 млн рублей, рассказал «Известиям» источник в правоохранительных органах.
В DarkNet или telegram-каналах доступна персональная информация о клиентах больше половины банков, входящих в первую двадцатку. За год случаи мошенничества участились, а стоимость данных об одном клиенте выросла до 70 рублей, сказано в исследовании черного рынка торговли клиентскими данными в DarkNet и telegram-каналах, проведенном DeviceLock. Таким образом, цена реестра с содержанием 100–150 тыс. записей теперь составляет 7–11 млн рублей. Купить можно не только личную информацию (ФИО, номера мобильного и домашнего телефонов, паспортные данные, дата и место рождения), но и банковскую — остаток на счету, дата последней операции, в некоторых случаях — информация об офисе банка, где она проводилась.
Стоимость данных зависит от их «свежести»: цена за сведения о клиенте, датируемые прошлым месяцем, доходит до 100 рублей, рассказал автор исследования — технический директор компании DeviceLock Ашот Оганесян. Именно эти данные могут использоваться для телефонных атак на клиентов банков, когда мошенники пытаются получить у жертв SMS-код подтверждения перевода средств или смены пароля в интернет-банке с помощью социальной инженерии, пояснил он. Чем больше мошенник знает о клиенте, тем ему проще вызвать доверие и вынудить жертву раскрыть недостающие данные.
С помощью личной информации у клиента Росбанка 3 августа выманили около 3 млн рублей, сообщил «Известиям» источник в правоохранительных органах. В заявлении пострадавшего сказано, что ему якобы позвонили из банка. Сам он уточнил «Известиям», что звонок был совершен с номер колл-центра, который был у него сохранен. «Сотрудник» сообщил о несанкционированном списании денег с расчетного счета, открытого в определенном подразделении кредитной организации. Затем он пояснил, что для перевода средств на безопасный счет необходимо назвать пароль и код, который придет в SMS-сообщении, сказано в заявлении.
В Росбанке «Известиям» оперативно не прокомментировали эту ситуацию. Однако в целом там отметили: утечек клиентских данных за пределы корпоративной сети финансовой организации не выявлено, по всем зафиксированным инцидентам со звонками мошенников проводится внутреннее расследование. Директор департамента информбезопасности Росбанка Михаил Иванов подчеркнул, что сейчас отмечается очередной рост активности мошенников, которые в телефонном разговоре представляются сотрудниками банка и пытаются получить от собеседника одноразовые коды подтверждения из SMS, часть звонков происходит с подменой номера через виртуальный сервер.
В из всех банков, входящих в топ-20, на вопрос «Известий», были ли у них утечки информации о клиентах за последние два месяца, ответили только Ак Барс Банк и ВТБ. В первом сообщили, что за это время сливы не зафиксированы и обращений о случаях мошенничества с использованием конфиденциальных данных не поступало. В ВТБ также сказали, что в последние несколько месяцев утечек не было.
Стоимость персональных данных действительно выросла, в первую очередь — из-за повышения спроса, причем не только со стороны мошенников, но и легальных компаний, собирающих таким образом базу для холодных или таргетированных продаж своих услуг клиентам. Компании готовы платить большие деньги за цифровой портрет клиентов, чтобы эффективнее продавать свои товары и услуги, и чем подробнее этот портрет, тем он дороже, подтвердил веб-аналитик «Лаборатории Касперского» Владислав Тушканов. В компании есть люди, в задачи которых входит мониторинг разговоров в даркнете.
Самый распространенный источник сливов — это инсайдеры, от администраторов до руководителей IT-блока и бизнес-подразделений, обладающих легитимным доступом к персональным данным, рассказал директор Центра компетенций по информационной безопасности компании «Техносерв» Сергей Терехов. В кредитную организацию могут приходить сотрудники, которые изначально заинтересованы в краже информации, иногда их подкупают во время работы, а также не исключены утечки из-за халатности, перечислил эксперт.
Стоимость нелегальных услуг по продаже личной информации зависит прежде всего от уровня риска для того, кто их оказывает, рассказали «Известиям» в ЦБ. Если цена данных выросла, значит, методы противодействия утечкам в банках существенно осложнили «бизнес» злоумышленникам, уверены в регуляторе.
Кредитные организации используют системы DLP (Data Leak Prevention), которые отслеживают потенциальные утечки и сообщают об этом в службу безопасности, а также могут предотвратить слив, например, принудительно выключив компьютер, рассказали «Известиям» в крупнейших российских банках. Но работники привыкли, что могут скинуть некоторую информацию на флешку и закончить работу дома, поэтому часто DLP-система настроена только на отслеживание, а не на предотвращение утечек, пояснил руководитель аналитического центра Zecurion Владимир Ульянов. Он заметил: с точки зрения безопасности это неправильно, а со стороны бизнес-процессов — логично.
Также банки стараются ограничить доступ сотрудников к персональным данным, добавил директор департамента информбезопасности МКБ Вячеслав Касимов. У работников есть доступ только к той информации, которую они используют.
В рамках защиты от утечек в банках ведется работа не только с системами безопасности, но и с самими сотрудниками — потенциальными инсайдерами. Для них проводятся специализированные консультации по вопросам работы с конфиденциальной информацией, рассказали в Сбербанке. В кредитных организациях прописаны ограничения и меры наказания сотрудников за выгрузку конфиденциальных данных, а также за фотографирование экранов мониторов и служебных документов, добавил директор по безопасности Почта Банка Станислав Павлунин.
В большинстве случаев сливы персональной информации происходят не на стороне банков, а на стороне третьих лиц — коммерческих компаний, оказывающих клиентам финансовой организации те или иные услуги, уверены в пресс-службе ВТБ. Там добавили, что в ходе получения этих услуг граждане обычно оставляют свои ФИО, номер телефона и номер карты.
Банкам следует работать с клиентами над повышением финграмотности, чтобы они не попадали на удочку мошенников, считает Владимир Ульянов из Zecurion. Но граждане и сами могут себя обезопасить. Например, если звонят с неизвестного номера и представляются сотрудником банка, клиенту лучше перезвонить по официальному телефону на сайте кредитной организации или самому прийти в банк, рассказал он. По рекомендации эксперта, при общении с предполагаемым сотрудником банка нужно минимизировать выдаваемую информацию: не называть CVV-код, написанный на обратной стороне пластиковой карты, а также пароли из SMS-сообщений о подтверждении операций — эта информация нужна для самого пользователя, а не для банковского служащего.
Наталья Ильина, Анна Урманцева