Рубрики
Экономика

Открыли вкладчиков: 5 тыс. записей о клиентах ВТБ продаются в Сети | Статьи


В продаже на черном рынке появилась база вкладчиков ВТБ, состоящая из 5 тыс. строк. Информация об утечке из второй по активам финансовой организации России в публичном доступе оказалась впервые. В ВТБ заявили, что сведения из таблицы были актуальны по состоянию на 2016 год. Однако несколько человек из нее подтвердили «Известиям», что у них сейчас есть депозиты в банке, а один клиент назвал сумму, которая совпала с указанной в базе. Мошенникам достаточно этой информации для применения социальной инженерии, считают опрошенные «Известиями» эксперты. Они подчеркнули, что факт утечки из такой крупной финансовой организации, как ВТБ, говорит о комплексной проблеме, которую, впрочем, банки постепенно уже решают.

Продавец-вкладоискатель

Сообщение о продаже базы данных вкладчиков ВТБ появилось на специализированном форуме вечером 7 ноября. Из текста следует, что актуальность информации датируется концом 2019 года. В базе содержится 5 тыс. строк, 3 тыс. из которых можно купить «из первых рук», а еще 2 тыс. — «из вторых» (то есть человек, опубликовавший объявление, — не первый владелец), сообщил «Известиям» продавец. Он уточнил, что первичную информацию предлагает по 10 рублей за строчку, а вторичную — по 6.

В распоряжении «Известий» оказался тестовый фрагмент базы данных. В нем содержится персональная информация о 21 вкладчике: его ФИО, домашний адрес и индекс, номер телефона (в некоторых записях — мобильный и домашний) и сумма вклада, которая начинается от 1 млн рублей. В нескольких строчках также содержится электронная почта клиента.

стенд ВТБ

Фото: ИЗВЕСТИЯ/Александр Казаков

«Известия» проверили 10 записей через мобильное приложение банка, где при переводе средств можно увидеть имя и первую букву фамилии. Оказалось, что номера телефонов действительно привязаны к счетам ВТБ, а доступные персональные данные совпадают с указанными в таблице.

Банк провел расследование о появлении этой информации, сообщили «Известиям» в ВТБ. Там подчеркнули, что сведения из базы были актуальны по состоянию на 2016 год.

— Банк связался со всеми клиентами, чья личная информация могла быть скомпрометирована, предупредил о случившемся и принес свои извинения. Их информационной безопасности ничего не угрожает. Обращаем внимание, что утечка не содержит никаких данных, необходимых для доступа к счетам, — отметили в пресс-службе банка.

При этом «Известиям» удалось оперативно связаться с четырьмя вкладчиками, которые подтвердили свои ФИО и наличие депозита в финансовой организации на данный момент. Один из клиентов сказал, что сумма вклада действительно совпадает с указанной в тестовом фрагменте. В телефонном разговоре «Известия» предупредили опрашиваемых о возможных мошенничествах с использованием их персональных данных.

В Банке России не ответили на вопросы «Известий» о том, осведомлены ли в регуляторе об этой утечке и как данные могли оказаться в открытом доступе.

Справка «Известий»

В 2019 году в СМИ появлялась информация о продаваемых на черном рынке сведениях о клиентах как крупных, так и небольших банков, в том числе Сбербанка, «Альфы», Бинбанка, банка «Хоум Кредит» и ОТП-банка. Базы данных содержали от нескольких тысяч до нескольких миллионов записей. Информация о клиентах ВТБ ранее в открытом доступе не появлялась.

VIP-клиенты под прицелом

По просьбе «Известий» с тестовым фрагментом базы данных ознакомился руководитель аналитического центра компании по кибербезопасности Zecurion Владимир Ульянов. Он подчеркнул, что это первое заявление о продаже данных клиентов ВТБ, которое попало в публичную сферу, но проблема утечек — комплексная и может коснуться любых банков, как самых крупных, так и небольших.

Эксперт сделал вывод: это «скрупулезно собранная» база, которую невозможно скомпилировать из открытых источников. Адрес почты есть не во всех записях, хотя в последнее время политика ВТБ обязывает клиентов сообщить электронный адрес при открытии счета — скорее всего, это постоянные пользователи услуг банка, предположил эксперт.

Это похоже на базу VIP-клиентов. Обычно вкладчики хранят в одной финорганизации депозиты менее 1,4 млн рублей, поскольку именно эту сумму в случае проблем у банка им выплатят. Чтобы удержать более крупные вклады, кредитные организации обычно внедряют программу лояльности, — пояснил Владимир Ульянов. — Информация могла утечь из компании-партнера, которая обслуживает VIP-клиентов ВТБ, например, обеспечивает трансфер из аэропорта.

Информации из этой базы более чем достаточно для мошенников: есть несколько номеров телефонов, по которым можно дозвониться до потенциальной жертвы, с помощью домашнего адреса можно понять, в каком отделении был открыт вклад, а сумма депозита говорит о финансовой обеспеченности его владельца, уверен эксперт. При этом он отметил, что эти персональные данные — лишь подспорье для мошенничеств методами социальной инженерии, однако если клиенты будут бдительны, то деньги с их счетов увести не получится.

логотип ВТБ

Фото: ИЗВЕСТИЯ/Артем Коротаев

Хотя информация из тестового фрагмента похожа на подлинную, нельзя утверждать, что вся база содержит реальные и актуальные сведения, подчеркнул Владимир Ульянов. Эксперт «Международного финансового центра» Дмитрий Иногородский, напротив, считает, что «эти данные подлинные, как и тысячи других, которые уже очень давно продаются в интернете».

— Более того, при покупке от 5–7 тыс. контактов можно даже выбрать фильтры «сумма вклада, регион, срок закрытия вклада», — добавил он.

Базы данных подобных организаций надежно защищены от внешних угроз, так что утечка, скорее всего, связана с действиями одного или группы сотрудников: от фотографирования экрана и до изъятия жесткого диска с информацией, заявил эксперт Академии управления финансами и инвестициями Геннадий Николаев. Он уверен, что отправить подобную информацию через интернет в обход службы безопасности совершенно невозможно.

В ВТБ для предотвращения утечек существуют разграничения прав доступа к сведениям, также создан специальный закрытый периметр, обеспечивающий максимальную степень защиты банковских систем и внутренней информации, рассказали в банке.

Информация не содержит пин-кодов или CVV, так что угрозы прямой кражи денег со счетов клиентов нет, однако в скором времени в адрес пострадавших может существенно увеличиться количество звонков с предложениями «надежно» вложить свои денежные средства, например, на рынке Форекс, предположил Геннадий Николаев.

ЧИТАЙТЕ ТАКЖЕ



Source link

Рубрики
Экономика

Течет и вменяется: в Сеть попали еще 76 млн записей о клиентах | Статьи


Утечка персональных сведений о россиянах от оператора фискальных данных «Дримкас» оказалась более серьезной, чем предполагалось. Ранее «Известия» сообщали, что 9 сентября в Сети появилось 14 млн записей о юридических и физических лицах, включая информацию о покупках и уплаченных налогах. Однако, как сообщили в компании по кибербезопасности DeviceLock, еще 8 августа в общем доступе оказались 76 млн строк с различными данными. В «Дримкас» факт этой утечки подтверждать отказались. В ФНС подчеркнули, что появившиеся в Сети данные — не с контрольно-кассовой техники, таким образом, вся ответственность за случившееся лежит на «Дримкас». Налоговая всё равно проводит проверку компании.

Серия вторая

С серверов оператора фискальных данных «Дримкас» в общей сложности утекло более 90 млн записей с различными данными о юридических и физических лицах. Ресурс ОФД с 76 млн строчек информации с 8 августа семь дней находился в открытом доступе, сообщили «Известиям» в DeviceLock. 9 сентября на три дня стали доступны журналы с более 14 млн записей, писали «Известия» ранее.

Среди попавших в Сеть сведений — полные реквизиты фискальных чеков (есть в распоряжении «Известий»), включая порядковый номер, дату и время, ФИО продавца, количество товара, его название и цену. Например, 1 августа 2019-го покупатель с квитанцией номер 44793 купил три упаковки чипсов со вкусом зеленого лука за 31 рубль за штуку и пачку сигарет за 102 рубля. Оператор работал в смену с номером 360. Общая сумма —195 рублей, включая 6% НДС по упрощенному налогообложению. В другом чеке от 30 июля 2019-го видно, что сигареты куплены за 107 рублей в «Магазине у клена», расположенном в городе Новоалтайске.

В пресс-службе ФНС «Известиям» сообщили, что попавшая в открытый доступ информация с серверов передавалась в рамках отдельной коммерческой услуги «Дримкас кабинет», которая не подлежит регулированию и защите в рамках законодательства о контрольно-кассовой технике.

утечки

Фото: ИЗВЕСТИЯ/Алексей Майшев

Защищенный канал связи, по которому идет обмен данными с ФНС, не затронут. Мы проводим проверку ОФД «Дримкас» в части передаваемых сведений в рамках коммерческих сервисов. По закону операторы несут ответственность за сохранность полученной ими информации. По результатам проверки будут приняты соответствующие меры, — говорится в сообщении пресс-службы ФНС.

В «Дримкас» не ответили на вопрос «Известий», каким образом в онлайне оказалась доступная компании информация, однако уточнили, что конфиденциальность фискальных данных на сервере ОФД не нарушена и разглашения персональных сведений не происходило. Ранее в компании заявляли, что в начале сентября серверы были атакованы и контур защиты на одном из них пострадал, но проблема уже устранена.

— Проводится дополнительный аудит и модернизация системы безопасности, — сообщал «Известиям» гендиректор «Дримкас» Павел Толстоносов.

Справка «Известий»

Согласно ФЗ № 54 «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации» фискальные данные — это сведения о расчетах, включая информацию об организации или индивидуальном предпринимателе и о применяемой контрольно-кассовой технике.

Человеческий фактор

Опрошенные «Известиями» юристы подтвердили, что утекшая информация — фискальная. Фамилия, имя и отчество кассира — персональные данные, поскольку они прямо относятся к физическому лицу и позволяют его определить, пояснила партнер коллегии адвокатов Pen&Paper Екатерина Тягай. Если указанные данные содержатся в чеке, то они фискальные, указал адвокат, руководитель налоговой практики юридической компании BMS Law Firm Денис Зайцев.

За слив персональных данных в Сеть предусмотрен административный штраф до 75 тыс. рублей, а максимальная уголовная ответственность — лишение свободы на срок до пяти лет. Также пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных, добавила Екатерина Тягай.

Фото: Global Look Press/Jochen Tack/imagebroker

Утечки такого рода связаны с некорректной политикой безопасности. Если процесс настроен, то организация производит контроль внутренних и внешних периметров, отметил бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. По его словам, серверы попадают в открытый доступ, когда компании не очень внимательно относятся к мониторингу, а самое главное — к политике конфигурирования своих систем.

Так как результаты работы технических средств анализируют вручную, то, скорее всего, причиной утечки стал человеческий фактор, предположил технический директор «Киви» Кирилл Ермаков. Для зрелых компаний свойственно наличие строгих бизнес-процессов управления собственными серверами и программным обеспечением. И политика доступа к ресурсам извне упрощенно звучит как «запрещено всё, что не разрешено», подчеркнул эксперт.

— Возможно, в данном случае имела место ошибка конфигурирования сервера администраторами системы. Или же, к примеру, ошибка настройки межсетевого экрана, — предположил Кирилл Ермаков.

Ранее «Известия» сообщали о случае получения данных из ОФД третьей стороной. Сведения о покупках в магазинах, в том числе электронных, затем утекают в неизвестном направлении. Они могут быть использованы для анализа предпочтений покупателей и конкурентной разведки.

ЧИТАЙТЕ ТАКЖЕ



Source link

Рубрики
Экономика

Из базы вон: данные о клиентах банков из топ-20 продают в Telegram | Статьи


Клиентские базы данных половины банков из топ-20 можно купить на черном рынке. За год они подорожали втрое — с 20 до 70 рублей за одну запись, следует из отчета компании по борьбе с инсайдерскими утечками DeviceLock («Известия» ознакомились с исследованием). Компания проверила 10 баз данных, датированных июнем или июлем, которые продаются в DarkNet и telegram-каналах, — все принадлежат банкам из первой двадцатки. Тенденцию подтвердили в других компаниях по кибербезопасности — Zecurion и «Техносерв». Теперь один такой полный реестр информации можно купить за 7–11 млн рублей. В Центробанке пояснили, что персональные данные стало сложнее достать из-за возросших мер предосторожности. При этом в полицию в августе уже поступило заявление о краже большой суммы со счета. У клиента Росбанка мошенники выманили информацию и списали около 3 млн рублей, рассказал «Известиям» источник в правоохранительных органах.

Денежная инженерия

В DarkNet или telegram-каналах доступна персональная информация о клиентах больше половины банков, входящих в первую двадцатку. За год случаи мошенничества участились, а стоимость данных об одном клиенте выросла до 70 рублей, сказано в исследовании черного рынка торговли клиентскими данными в DarkNet и telegram-каналах, проведенном DeviceLock. Таким образом, цена реестра с содержанием 100–150 тыс. записей теперь составляет 7–11 млн рублей. Купить можно не только личную информацию (ФИО, номера мобильного и домашнего телефонов, паспортные данные, дата и место рождения), но и банковскую — остаток на счету, дата последней операции, в некоторых случаях — информация об офисе банка, где она проводилась.

Стоимость данных зависит от их «свежести»: цена за сведения о клиенте, датируемые прошлым месяцем, доходит до 100 рублей, рассказал автор исследования — технический директор компании DeviceLock Ашот Оганесян. Именно эти данные могут использоваться для телефонных атак на клиентов банков, когда мошенники пытаются получить у жертв SMS-код подтверждения перевода средств или смены пароля в интернет-банке с помощью социальной инженерии, пояснил он. Чем больше мошенник знает о клиенте, тем ему проще вызвать доверие и вынудить жертву раскрыть недостающие данные.

С помощью личной информации у клиента Росбанка 3 августа выманили около 3 млн рублей, сообщил «Известиям» источник в правоохранительных органах. В заявлении пострадавшего сказано, что ему якобы позвонили из банка. Сам он уточнил «Известиям», что звонок был совершен с номер колл-центра, который был у него сохранен. «Сотрудник» сообщил о несанкционированном списании денег с расчетного счета, открытого в определенном подразделении кредитной организации. Затем он пояснил, что для перевода средств на безопасный счет необходимо назвать пароль и код, который придет в SMS-сообщении, сказано в заявлении.

Фото: ИЗВЕСТИЯ/Павел Бедняков

В Росбанке «Известиям» оперативно не прокомментировали эту ситуацию. Однако в целом там отметили: утечек клиентских данных за пределы корпоративной сети финансовой организации не выявлено, по всем зафиксированным инцидентам со звонками мошенников проводится внутреннее расследование. Директор департамента информбезопасности Росбанка Михаил Иванов подчеркнул, что сейчас отмечается очередной рост активности мошенников, которые в телефонном разговоре представляются сотрудниками банка и пытаются получить от собеседника одноразовые коды подтверждения из SMS, часть звонков происходит с подменой номера через виртуальный сервер.

В из всех банков, входящих в топ-20, на вопрос «Известий», были ли у них утечки информации о клиентах за последние два месяца, ответили только Ак Барс Банк и ВТБ. В первом сообщили, что за это время сливы не зафиксированы и обращений о случаях мошенничества с использованием конфиденциальных данных не поступало. В ВТБ также сказали, что в последние несколько месяцев утечек не было.

Вырос спрос

Стоимость персональных данных действительно выросла, в первую очередь — из-за повышения спроса, причем не только со стороны мошенников, но и легальных компаний, собирающих таким образом базу для холодных или таргетированных продаж своих услуг клиентам. Компании готовы платить большие деньги за цифровой портрет клиентов, чтобы эффективнее продавать свои товары и услуги, и чем подробнее этот портрет, тем он дороже, подтвердил веб-аналитик «Лаборатории Касперского» Владислав Тушканов. В компании есть люди, в задачи которых входит мониторинг разговоров в даркнете.

Самый распространенный источник сливов — это инсайдеры, от администраторов до руководителей IT-блока и бизнес-подразделений, обладающих легитимным доступом к персональным данным, рассказал директор Центра компетенций по информационной безопасности компании «Техносерв» Сергей Терехов. В кредитную организацию могут приходить сотрудники, которые изначально заинтересованы в краже информации, иногда их подкупают во время работы, а также не исключены утечки из-за халатности, перечислил эксперт.

Фото: ТАСС/dpa/Annette Riedl

Стоимость нелегальных услуг по продаже личной информации зависит прежде всего от уровня риска для того, кто их оказывает, рассказали «Известиям» в ЦБ. Если цена данных выросла, значит, методы противодействия утечкам в банках существенно осложнили «бизнес» злоумышленникам, уверены в регуляторе.

На страже данных

Кредитные организации используют системы DLP (Data Leak Prevention), которые отслеживают потенциальные утечки и сообщают об этом в службу безопасности, а также могут предотвратить слив, например, принудительно выключив компьютер, рассказали «Известиям» в крупнейших российских банках. Но работники привыкли, что могут скинуть некоторую информацию на флешку и закончить работу дома, поэтому часто DLP-система настроена только на отслеживание, а не на предотвращение утечек, пояснил руководитель аналитического центра Zecurion Владимир Ульянов. Он заметил: с точки зрения безопасности это неправильно, а со стороны бизнес-процессов — логично.

Также банки стараются ограничить доступ сотрудников к персональным данным, добавил директор департамента информбезопасности МКБ Вячеслав Касимов. У работников есть доступ только к той информации, которую они используют.

В рамках защиты от утечек в банках ведется работа не только с системами безопасности, но и с самими сотрудниками — потенциальными инсайдерами. Для них проводятся специализированные консультации по вопросам работы с конфиденциальной информацией, рассказали в Сбербанке. В кредитных организациях прописаны ограничения и меры наказания сотрудников за выгрузку конфиденциальных данных, а также за фотографирование экранов мониторов и служебных документов, добавил директор по безопасности Почта Банка Станислав Павлунин.

Фото: ТАСС/dpa/Lino Mirgeler

В большинстве случаев сливы персональной информации происходят не на стороне банков, а на стороне третьих лиц — коммерческих компаний, оказывающих клиентам финансовой организации те или иные услуги, уверены в пресс-службе ВТБ. Там добавили, что в ходе получения этих услуг граждане обычно оставляют свои ФИО, номер телефона и номер карты.

Банкам следует работать с клиентами над повышением финграмотности, чтобы они не попадали на удочку мошенников, считает Владимир Ульянов из Zecurion. Но граждане и сами могут себя обезопасить. Например, если звонят с неизвестного номера и представляются сотрудником банка, клиенту лучше перезвонить по официальному телефону на сайте кредитной организации или самому прийти в банк, рассказал он. По рекомендации эксперта, при общении с предполагаемым сотрудником банка нужно минимизировать выдаваемую информацию: не называть CVV-код, написанный на обратной стороне пластиковой карты, а также пароли из SMS-сообщений о подтверждении операций — эта информация нужна для самого пользователя, а не для банковского служащего.

ЧИТАЙТЕ ТАКЖЕ



Source link