«Список Остапа Бендера из 400 сравнительно честных способов отъема денег у населения» регулярно пополняется — в последнее время российские пользователи жалуются на мошенничество под прикрытием банков и списание денег с банковских карт через агрегаторы служб такси. Мы узнали у экспертов по кибербезопасности, какими путями утекают наши персональные данные, и как мы сами передаем мошенникам важные сведения.
Эти истории похожи одна на другую и застают врасплох любого. В апреле одного из руководителей столичного РУДН ограбили по классической схеме: позвонили, представились сотрудниками Сбербанка, попросили предать коды безопасности и увели со счета 365 тысяч рублей. В том же месяце работницу банка ВТБ обманули лже-коллеги — позвонили с тревогой о взломе счета в родном банке. Девушка назвала код из СМС и потеряла 850 тысяч рублей с нескольких карт. В июне девять человек обокрали якобы в пользу жертв аварии Superjet, деньги перевели на счет Русфонда. В августе полмиллиона рублей увели со счета топ-менеджера фирмы, которая разрабатывала системы безопасности для банков: представитель якобы «Альфа-банка» заявил о сомнительных операциях по карте клиента и попросил код из СМС.
«Еще не так давно мы рекомендовали записать номер банка и принимать звонки от имени его сотрудников, только если звонок идет от банка, — говорят эксперты по кибербезопасности компании «Доктор Веб». — Но мошенники не стоят на месте. Персональные данные клиентов утекают с сайтов в доменах Сбербанка, ВТБ, официальных госсайтов Москвы. Сливаются и сами базы данных. Причин утечки данных может быть множество. Самая банальная — данные сайта не закрыты от поисковых роботов. Большинство утечек связано с незаконной деятельностью внутренних нарушителей — то есть самих сотрудников пострадавших компаний».
Ранее один из клиентов Сбербанка обнаружил сайт, который при вводе номера карты выдавал ФИО владельца. «Коммерсантъ» сообщал о том, что данные 900 000 клиентов ОТП-банка, «Альфа-банка» и ХКФ-банка оказались в открытом доступе, причем эта база вкладчиков оказалась элементом большой базы, которая продается по частям.
«Платежные данные сравнительно легко раздобыть. Самый простой случай — официант в кафе фотографирует карту клиента в момент оплаты. Случай сложнее — направленная атака на операторов по переводу денежных средств с целью взлома информационной системы, — говорится в аналитическом исследовании Infowatch. — На практике причиной утечки платежных данных чаще является не внешняя атака, а действия сотрудников оператора по переводу денежных средств — хищение информации и последующее использование в собственных интересах».
Так, в исследовании упоминается, например, сотрудник коммерческого банка республики Бурятия — он в течение нескольких лет использовал данные клиентов для кражи денежных средств и украл более трех миллионов рублей. Почерковедческая экспертиза подтвердила, что служащий банка подделывал подписи клиентов на платежных поручениях. В Архангельске студенты похитили более 100 тысяч рублей со счетов клиентов одного из региональных банков: они похищали деньги с чужих карт, расплачиваясь ими в Интернете. Один из аферистов работал в свое время охранником в банке, где получил доступ к конфиденциальной информации. В другом случае мошенник добыл необходимые сведения, когда трудился официантом в ресторане.
«В ряде случаев имеют место банальные ошибки: платежные и персональные данные клиентов оказываются скомпрометированными из-за невнимательности сотрудников ИБ-департамента, легитимных пользователей баз данных, вебмастеров, — говорят информационные аналитики. — Самое неприятное, что от утечки платежных данных не застрахованы даже крупнейшие банки. В 2012 году в сообщениях СМИ о мошенничестве с пластиковыми картами и счетами клиентов фигурировали Bank of Montreal, Wachovia Bank, Credit Suisse, Barclays, Bank of America, Citibank, HSBC, JPMorgan Chase & Co, РайффайзенБанк».
Цифры, которые следует особенно охранять от посторонних глаз — это номер и серия паспорта, страховой номер индивидуального лицевого счета (СНИЛС), индивидуальный номер налогоплательщика (ИНН), номер банковского счета, номер банковской карты. «Чувствительными данными» оказываются купленные билеты, заказы в интернет-магазинах, указанные в них ФИО, адреса и телефоны, а также сканы паспорта. Если у мошенников есть ваши ФИО, номер карты и история последних операций по счету, то им легко выглядеть убедительно в разговоре с вами, особенно, когда они звонят в конце утомительного рабочего дня (а чаще всего мошеннические звонки случаются в это время).
В недавних скандалах с «Яндекс.Такси» виновата незащищенность платежной банковской системы, считают эксперты. Пользователи «Яндекс.Такси» жалуются на списание денег через агрегатор за поездки, которых не было — одну из таких историй подробно описали на портале pikabu.ru. Сумма списания может совпадать с одной из сумм за предыдущие поездки, но в приложении такси новая «поездка» никак не отображается. Еще в некоторых случаях, описанных нашими коллегами в СМИ, под видом «Яндекс.Такси» деньги снимались с карт, не привязанных к приложению вовсе, или в том случае, если человек уже давно ими не пользовался.
«Незащищенность «ритейлеров» порождает к ним понятного рода интерес злоумышленников. Очевидно, интернет-магазин, турагентство или иной онлайн-сервис, агрегирующий платежные данные клиентов, защищен хуже среднего банка и не готов что-то менять в защите, — объясняют аналитики Infowatch. — В информационной системе «ритейлера» могут храниться десятки и сотни тысяч записей о клиентах, данные об их пластиковых картах. Неудивительно, что в последние несколько лет именно «ритейлеры» все чаще оказываются «под прицелом» злоумышленников».
Специалисты считают, что ущерб от мошенничества с платежными данными можно снизить, если ужесточить требования к порядку обработки и хранения платежных данных как на глобальном уровне, так и на уровне отдельных стран. Участникам рынка, особенно ритейлерам, стоит запретить хранить платежные данные клиентов в информационных системах. Также эксперты рекомендуют операторам по переводу денежных средств задуматься о том, как противодействовать внутреннему нарушителю. Например, средства DLP блокируют утечку номеров кредитных карт, контролируют действия потенциальных нарушителей.
«Кто может наказать компании, допустившие утечку данных о банковских картах? Да хоть и Роскомнадзор, так как данные банковской карты — персональные данные, — комментируют специалисты «Доктор Веб». — Но нам не известно о штрафах российских компаний за небрежное отношение к персональным данным, и пока мошенники в России чувствуют себя вольготно».
Советы экспертов
Мы попросили экспертов по кибербезопасности «Доктор Веб» дать рекомендации против самого популярного мошенничества с банковскими картами. Ниже приведен список их рекомендаций.
— Имейте в виду: банки не предупреждают звонками о возможной блокировке карты или платежа. Они сразу блокируют карту в случае подозрений.
— Самая простая мера, которая защитит от многих видов мошенничества, это подключение СМС-оповещения обо всех операциях с вашим банковским счетом.
— Заведите две банковские карты, принимайте переводы на одну из них, но расплачивайтесь другой, держа на ней минимум средств. Так вы снизите риск «засветить» вашу карту во взломанном или зараженном банкомате, при оплате услуг или товаров через сайт. Для онлайн-покупок можно завести специальную виртуальную карту без реквизитов и привязки к конкретному владельцу. На нее можно переводить деньги по необходимости — ровно столько, сколько нужно для покупок.
— Другой вариант — завести обычную карту «только для покупок» с лимитом единоразовых и ежемесячных трат. К самой банковской карте стоит подключить технологию 3D Secure. Это еще одна «ступень» для проведения транзакции — чаще всего это СМС-код, который нужно ввести на сайте банка для подтверждения платежа.
— Защитный код на оборотной стороне карты лучше закрасить или защитить другим способом — это снизит риск утечки, когда ваша карта оказывается в чужих руках.
— Не сообщайте посторонним реквизиты и проверочные коды. Банки их не запросят — они у них и так есть.
— Если при оплате продавец сообщает, что платеж не прошел и надо повторить действие, проверьте баланс и посмотрите в интернет-банке список последних проведенных операций по карте.
— Установите антивирус для проверки новых непроверенных приложений на устройстве, с которого вы платите. Банковские трояны и кейлоггеры — очень популярные виды вредоносных программ.
Самые громкие хакерские атаки августа
Если вы уже стали жертвой мошенничества — просто посмотрите, кто еще недавно пострадал от киберпреступников в августе по данным аналитического центра Infowatch.
В открытом доступе оказались персональные данные более 14,3 млн жителей Чили. Хранилище ElasticSearch содержало личную информацию практически всех совершеннолетних чилийцев, включая известных персон. Утекла такая информация, как имена, домашние адреса, возраст, пол, налоговые идентификаторы.
С сайта StockX — известной интернет-биржи для покупки и продажи редких моделей кроссовок — хакеры украли 6,8 млн клиентских записей. Украденные данные содержат имена, адреса электронной почты, зашифрованные пароли, а также некоторые индивидуальные сведения о покупателях сайта, например, размер ноги или тип валюты для оплаты покупки. Цена полного пакета личной информации в даркнете составляет $300. Как минимум один человек уже купил всю базу.
Комитет политических кампаний Демократической партии США оставил на незащищенном облачном хранилище адреса электронной почты более 6 млн человек: в основном, это адреса общедоступных хостингов AOL, Yahoo, Hotmail и Gmail, но более 7700 адресов относятся к правительственным учреждениям США (домен .gov), а 3400 адресов — к министерству обороны (домен .mil). Данный инцидент не несет серьезной угрозы для пострадавших людей, поскольку скомпрометированными оказались только электронные адреса, отмечают аналитики Infowatch, но утечки баз данных избирателей случаются в США с пугающей регулярностью, причем зачастую теряется широкий спектр информации.
«Так, в 2015 г. в Сети найдены данные 191 млн избирателей. В 2017 г. по вине аналитической компании Deep Roots оказались скомпрометированы данные около 200 млн избирателей (порядка 80% всех имеющих право голоса в США). Также с незащищенных серверов утекали сведения об избирателях штатов Техас и Аляска», — говорят аналитики.
Сайт для групповых знакомств 3Fun скомпрометировал личные данные и местоположение более 1,5 млн пользователей: он раскрыл местоположение, приватные фотографии и другие персональные данные пользователей, находящихся поблизости от того или иного подписчика приложения. Исследователи убедились, что уязвимость на сервисе знакомств позволяет уточнять личную информацию даже о пользователях, находящихся на территории правительственных учреждений и различных секретных объектах. Из-за ошибки в приложении можно было получать данные о любом пользователе, включая имя, сведения о сексуальных предпочтениях, информацию о партнерах. В некоторых случаях были доступны даты рождения, что позволяло выяснить реальную личность пользователя. Никакие данные в приложении не были зашифрованы. Аналитики назвали это «крушением поезда конфиденциальности».
В середине августа киберпреступники атаковали компанию Air New Zealand и украли личную информацию более 100 тысяч пассажиров. Пароли и данные платежных карт не были затронуты, но быть скомпрометированы паспортные данные, адреса, должности, сведения о работодателях, информация о маршрутах.
И, пожалуй, самая драматичная хакерская история августа — это открытый сервер с персональными данными проституток и клиентов одного из борделей Испании. Известно, что утекли сведения примерно о 3350 бывших и действующих работницах сети клубов, включая такую информацию, как настоящие имена девушек, их даты рождения, возраст, национальность, антропометрические данные (рост, вес, размер груди). На сервер также были загружены копии удостоверений личности девушек легкого поведения и отзывы клиентов. Драма в том, что на сервере хранились адреса электронной почты и IP-адреса авторов отзывов. Скомпрометированные сетью борделей данные — идеальный материал для шантажа как клиентов публичных домов, так и самих проституток, считают эксперты.