В последнее время мы постоянно слышим об утечках клиентских данных из банков и операторов связи. Технический директор Qrator Labs Артем Гавриченков рассказывает о реальных масштабах бедствия и о том, как с ним бороться.
Артем Гавриченков
На черный рынок то и дело попадают номера кредитных карт, адреса и телефоны граждан. У компаний страдает репутация, клиенты боятся за свои деньги, и начинает казаться, что в нашей жизни уже не осталось ни намека на конфиденциальность — все утекает в Сеть.
При этом всех, похоже, волнуют одни и те же вопросы. Кто стоит за массовыми утечками? Кем являются «тайные покупатели» персональных данных? И как быть в такой ситуации обычным людям?
Таргетинг и мошенничество
Украденные клиентские базы — лакомый кусочек для компаний-конкурентов. С помощью полученных данных можно таргетировать пользователей и пытаться их переманить, предлагая лучшие условия. Однако мало кто в действительности идет на риск покупки подобной информации. Существует большая вероятность нарваться на подставного продавца из ФСБ, и тогда столкновения с российским уголовным законодательством компании не избежать.
Более вероятная ситуация — использование украденной базы мошенниками. Имея имена, адреса и номера телефонов граждан, они могут попытаться получить доступ к чужим банковским счетам. Если у человека одновременно украдены пароли от банк-клиента и от личного кабинета мобильного оператора (или они настолько простые, что их удается подобрать), то риск стать жертвой возрастает многократно. Злоумышленник может настроить переадресацию всех входящих сообщений и звонков на собственный номер. И тогда в его руках будут оба фактора аутентификации: и доступ к интернет-банку, и подтверждающие SMS для проведения операций.
Отмечу, впрочем, что легкие пароли на практике встречаются не очень часто. Да и большую базу данных украсть у банка непросто — только через уязвимость в программном обеспечении или по причине колоссальной халатности персонала. Иначе случаев хищения средств со счетов было бы гораздо больше.
Еще одна разновидность мошенничества с помощью чужой персональной информации — социальная инженерия. Очевидно, что попытки выуживания денег таким путем могут участиться, причем выглядеть будут гораздо более правдоподобными. Иные варианты использования украденных баз данных придумать сложно.
Из недавних громких инцидентов с утечками можно вспомнить, как в июне в открытом доступе оказалась информация о клиентах трех российских банков. Утечка
затронула примерно 900 000 россиян, чьи имена, телефоны, паспорта и места работы при желании мог узнать каждый. А месяцем позже американский банк Сaptial One обнаружил, что злоумышленник получил доступ к базе из 106 млн заявок на открытие кредитных карт.
«Пробить» дно
Что реально сегодня работает и является большой проблемой, с которой пока никто ничего не делает, — это так называемые услуги по пробиву.
Службы безопасности крупных компаний любят нелегально проверить сотрудника или соискателя: узнать, сколько денег у него на счетах, много ли штрафов ему выписала за год ГИБДД, как часто он ездил за границу. То есть добыть о человеке и даже членах его семьи как можно больше разной информации.
Как это обычно происходит: интересующиеся пробивом люди анонимно выходят на работника банка или знакомого с ним человека и заказывают данную услугу. Дальше тот просто заходит в базу, к которой имеет доступ, и ищет соответствующего клиента. Смотрит средства на счету, процент по кредиту, оставшуюся к выплате сумму и так далее.
Необходимую страницу с данными нечистый на руку сотрудник может сфотографировать на телефон и отправить получателю, который в дальнейшем, после проверки, удаляет информацию, чтобы не подвергнуться уголовному преследованию. Мне известны случаи, когда кандидату отказывали в устройстве в банк, поскольку благодаря пробиву выяснялось, что ранее он был лишен прав за вождение в нетрезвом виде или что кто-то из его родственников задолжал по кредиту крупную сумму.
К сожалению, банковские службы безопасности сильно ограничены в расследовании такого рода инцидентов. Очень сложно отследить нелегальные обращения к базам данных без чрезвычайно развитой системы управления поддержкой клиентов. А еще в этой связи нельзя не упомянуть историю с японским кассиром, который украл данные 1300 кредитных карт, буквально на лету запоминая из них все цифры: номер, срок действия, код на обратной стороне. Работодатель мог отобрать у него мобильный телефон с камерой, фотоаппарат, но запретить ему «вносить данные в свою голову» не под силу никому.
Даже если безопасники видят, что на теневой бирже появилась информация о продаже украденных данных банка, то ничего не могут с этим сделать. Потому что единственным способом реально отследить источник утечки является контрольная закупка с параллельным логированием запросов к исходной базе. Однако само обращение за такими данными на теневых форумах является правонарушением — и неважно, что оно происходит для выявления слабого звена в компании. В итоге мало какая служба безопасности системно занимается предотвращением подобных инцидентов.
Как перекрыть утечку
Чтобы снизить количество утечек, компаниям необходимо отслеживать подозрительные операции сотрудников и ограничивать им доступ к данным. Но в любом случае полностью защититься от инцидентов сложно. Например, если менеджер, работающий с премиальными клиентами, решит продавать информацию на сторону, то обнаружить это можно будет только в момент совершения сделки, не раньше. Так что самый надежный способ борьбы с утечками — четко выстроенный процесс найма персонала.
Если речь идет о массовых утечках, встает вопрос автоматизации и мониторинга подозрительного обращения сотрудников с клиентскими данными. Такие решения, как DLP-технологии и продукты для обнаружения вторжений, должны входить в состав информационной системы компании. Они помогают фиксировать все обращения к внутренним базам данных и отслеживать нетипичное поведение специалистов.
Сегодня финансовые организации так или иначе осознают необходимость использования подобных решений, а вот сотовые операторы, как показывает практика, часто ее игнорируют. Ранее подобная халатность уже приводила к случаям мошенничества. По нашим данным, в массовом порядке производился перевыпуск карт на фальшивые паспорта и затем вывод через номер телефона заметных объемов денег с подтверждением по SMS.
Что делать обычным людям
Самим пользователям стоит быть аккуратнее с тем, какую информацию и кому они сообщают. Если звонит человек и представляется сотрудником банка, нельзя ему говорить никакие существенные данные (пароль, ответы на контрольные вопросы). Более того: рекомендуется положить трубку и самостоятельно перезвонить по телефону, указанному на официальном сайте. Уточните, действительно ли звонок поступил с номера банка, и если да, то на что уполномочен обратившийся к вам специалист.
В рамках премиального обслуживания клиент обычно получает личный номер персонального менеджера. С этим нужно быть особенно осторожным: телефон сотрудника может быть украден, потерян, злоумышленники могут получить дубликат его SIM-карты или ее подделать. Поэтому при каждом звонке с такого номера следует перезванивать менеджеру, а ключевую информацию сообщать исключительно в офисе банка.
Если неприятность все же произошла и вашими данными воспользовались для хищения денег с карты, ее необходимо сразу же заблокировать путем звонка в банк или в личном кабинете на сайте. Заранее сохраните в записной книжке номер контакт-центра и занесите в закладки браузера адрес нужной веб-страницы. Стоит отметить, что, согласно политике платежных систем Visa и Mastercard, в ряде случаев клиент может получить компенсацию при списании с карты средств мошенническим путем.
Источник: