Сливайте коды: в утечке персональных данных виноваты сами пользователи
Персональная информация о россиянах утекает далеко не только из банков, мошенники узнают данные карт и ФИО жертв в том числе через интернет-магазины — такие тезисы содержатся в годовом отчете подразделения ЦБ по кибербезопасности «Финцерт» (есть у «Известий»). Также зачастую в сливах виноваты сами пользователи и их гаджеты. ЦБ рассказал и о портрете человека, наиболее подверженного атакам: это финансово благополучные граждане, любящие использовать новые технологии, а также школьники, студенты, домохозяйки и пенсионеры.
Протечка в банке
Всего 12% всех баз данных с персональной информацией, которые продавались на черном рынке в первой половине 2019 года, принадлежали кредитным организациям, следует из отчета «Финцерт». Там отмечается, что всего за этот период было обнаружено около 13 тыс. предложений по покупке или продаже личных данных россиян. Хотя именно банки зачастую обвиняются в недостаточной защите персональных сведений, аналитики «Финцерт» назвали и другие неочевидные каналы утечек: например, интернет-сайты, на которых продаются товары. Пользователь сам вводит свои имя и фамилию, а номер банковской карты, с которой проводится оплата, может быть считан мошенниками с помощью компьютерных вирусов, сказано в отчете.
В большинстве случаев утечки информации о клиентах происходят на стороне третьих лиц — коммерческих организаций, оказывающих пользователям банка те или иные услуги: в ходе их получения граждане обычно оставляют свои персональные данные, рассказали в ВТБ. Значительная часть информации утекает на стороне клиентов, например с гаджетов, которыми они пользуются, согласился управляющий директор рейтингового агентства НКР Станислав Волков.
В 2019 году в СМИ не раз сообщали о продаже в DarkNet и на нелегальных телеграм-каналах баз данных с персональной информацией клиентов российских банков. В том числе сообщалось о базе Сбербанка объемом 60 млн записей, ОТП-банка (800 тыс. записей), Бинбанка (70 тыс.), Альфа-банка (55 тыс.), банка «Хоум Кредит» (24,5 тыс.).
Подавляющее большинство мошенничеств со счетами физлиц (97%) приходится на социальную инженерию, следует из отчета «Финцерт»: как правило, злоумышленники звонят потенциальной жертве, представляясь сотрудником банка, и пугают ее тем, что деньги на карте «в опасности». Чтобы якобы перевести средства на «безопасный» счет, клиенту необходимо назвать пришедший по SMS код, который на самом деле подтверждает перевод денег на карту звонящего мошенника.
Чтобы заручиться доверием человека и совершить преступление, злоумышленнику не обязательно располагать большим количеством информации, уверена руководитель операционного отдела банковских карт и эквайринга Райффайзенбанка Виктория Александрова. По ее словам, преступнику достаточно обращаться к жертве по имени и отчеству, а остальную информацию он может брать из общедоступных источников — например, использовать новости об участившихся случаях мошенничества. Иногда клиенту звонят с предложением каких-либо услуг, общаются с ним несколько раз, узнают больше информации, а только затем предлагают перевести деньги или назвать код подтверждения, пояснила Виктория Александрова.
На удочке социнженеров
Сотрудники кредитных организаций зачастую сами попадают на уловки банковских мошенников — именно этот факт во многих случаях становится причиной утечек информации из банков, сказано в докладе «Финцерт». Аналитики пояснили, что таким образом злоумышленники научились обходить спам-фильтры для рассылки писем с вирусами: когда банковские служащие получают сообщения с текстом «ваше письмо не доставлено», им, как правило, хочется открыть вложенный файл для уточнения, о чем именно идет речь. Часто этот файл — зараженный, отметили в отчете.
Такие проблемы должны решаться как программными методами (например, ужесточением спам-фильтра), так и работой по обучению сотрудников основам кибербезопасности. В крупнейших российских банках «Известия» заверили, что регулярно проводят разъяснительную работу со специалистами.
Около 70% инцидентов происходит из-за их неумышленных или злонамеренных действий сотрудников организации, согласен директор Центра компетенций по информационной безопасности IT-компании «Техносерв» Сергей Терехов. Он добавил, что большинство утечек — работа сотрудников банка («инсайдеров»), которые выкачали и сфотографировали личную информацию. В этом случае необходим комплекс мер по корректному разграничению доступа: чтобы один сотрудник мог видеть лишь часть информации о клиенте и не имел возможности выгрузить сразу всё, отметил эксперт.
Кроме того, сейчас появляется всё больше каналов, по которым данные могут попасть в руки к злоумышленникам: записи файлов на флеш-накопители, почтовые сообщения, внешние облачные хранилища, перечислил Сергей Терехов. По его словам, нередки случаи утечек из-за действий программистов подрядных организаций (или собственных подразделений банков), которые используют реальные необезличенные базы данных для тестовых целей: к ним могут забывать создавать пароли или выгружать их в облачные хранилища, откуда информация попадает к злоумышленникам.
В ЦБ ожидают, что в ближайшее время спрос на данные будет расти, а следовательно, еще больше увеличится и количество покушений на персональные и платежные сведения банковских клиентов.
В своем отчете регулятор назвал пять социальных типажей, которые больше других подвержены мошенничествам с помощью социальной инженерии, — это необходимо ЦБ для проведения адресной разъяснительной кампании. Чаще всего деньги уводят со счетов индивидуалистов: представители этого типа жертв благополучны в финансовом плане, легко тратят деньги на удовольствия и излишне доверяют новым технологиям, отмечено в отчете. Другая неочевидная группа людей, склонных довериться мошенникам, — «бюджетораспорядители» семей с невысоким уровнем дохода, но высокой финансовой нагрузкой: они целеустремленны и ответственны, но, вероятно, слишком опасаются за якобы переведенные на мошеннический счет деньги, подчеркнули аналитики «Финцерт». Они добавили, что атакам также подвержены школьники и студенты, домохозяйки и пенсионеры.
