База данных Сбербанка

Клиентские базы данных половины банков из топ-20 можно купить на черном рынке. За год они подорожали втрое — с 20 до 70 рублей за одну запись, следует из отчета компании по борьбе с инсайдерскими утечками DeviceLock («Известия» ознакомились с исследованием). Компания проверила 10 баз данных, датированных июнем или июлем, которые продаются в DarkNet и telegram-каналах, — все принадлежат банкам из первой двадцатки. Тенденцию подтвердили в других компаниях по кибербезопасности — Zecurion и «Техносерв». Теперь один такой полный реестр информации можно купить за 7–11 млн рублей. В Центробанке пояснили, что персональные данные стало сложнее достать из-за возросших мер предосторожности. При этом в полицию в августе уже поступило заявление о краже большой суммы со счета. У клиента Росбанка мошенники выманили информацию и списали около 3 млн рублей, рассказал «Известиям» источник в правоохранительных органах.

Денежная инженерия

В DarkNet или telegram-каналах доступна персональная информация о клиентах больше половины банков, входящих в первую двадцатку. За год случаи мошенничества участились, а стоимость данных об одном клиенте выросла до 70 рублей, сказано в исследовании черного рынка торговли клиентскими данными в DarkNet и telegram-каналах, проведенном DeviceLock. Таким образом, цена реестра с содержанием 100–150 тыс. записей теперь составляет 7–11 млн рублей. Купить можно не только личную информацию (ФИО, номера мобильного и домашнего телефонов, паспортные данные, дата и место рождения), но и банковскую — остаток на счету, дата последней операции, в некоторых случаях — информация об офисе банка, где она проводилась.

Стоимость данных зависит от их «свежести»: цена за сведения о клиенте, датируемые прошлым месяцем, доходит до 100 рублей, рассказал автор исследования — технический директор компании DeviceLock Ашот Оганесян. Именно эти данные могут использоваться для телефонных атак на клиентов банков, когда мошенники пытаются получить у жертв SMS-код подтверждения перевода средств или смены пароля в интернет-банке с помощью социальной инженерии, пояснил он. Чем больше мошенник знает о клиенте, тем ему проще вызвать доверие и вынудить жертву раскрыть недостающие данные.

С помощью личной информации у клиента Росбанка 3 августа выманили около 3 млн рублей, сообщил «Известиям» источник в правоохранительных органах. В заявлении пострадавшего сказано, что ему якобы позвонили из банка. Сам он уточнил «Известиям», что звонок был совершен с номер колл-центра, который был у него сохранен. «Сотрудник» сообщил о несанкционированном списании денег с расчетного счета, открытого в определенном подразделении кредитной организации. Затем он пояснил, что для перевода средств на безопасный счет необходимо назвать пароль и код, который придет в SMS-сообщении, сказано в заявлении.

Т-1 Фото: ИЗВЕСТИЯ/Павел Бедняков

В Росбанке «Известиям» оперативно не прокомментировали эту ситуацию. Однако в целом там отметили: утечек клиентских данных за пределы корпоративной сети финансовой организации не выявлено, по всем зафиксированным инцидентам со звонками мошенников проводится внутреннее расследование. Директор департамента информбезопасности Росбанка Михаил Иванов подчеркнул, что сейчас отмечается очередной рост активности мошенников, которые в телефонном разговоре представляются сотрудниками банка и пытаются получить от собеседника одноразовые коды подтверждения из SMS, часть звонков происходит с подменой номера через виртуальный сервер.

В из всех банков, входящих в топ-20, на вопрос «Известий», были ли у них утечки информации о клиентах за последние два месяца, ответили только Ак Барс Банк и ВТБ. В первом сообщили, что за это время сливы не зафиксированы и обращений о случаях мошенничества с использованием конфиденциальных данных не поступало. В ВТБ также сказали, что в последние несколько месяцев утечек не было.

Вырос спрос

Стоимость персональных данных действительно выросла, в первую очередь — из-за повышения спроса, причем не только со стороны мошенников, но и легальных компаний, собирающих таким образом базу для холодных или таргетированных продаж своих услуг клиентам. Компании готовы платить большие деньги за цифровой портрет клиентов, чтобы эффективнее продавать свои товары и услуги, и чем подробнее этот портрет, тем он дороже, подтвердил веб-аналитик «Лаборатории Касперского» Владислав Тушканов. В компании есть люди, в задачи которых входит мониторинг разговоров в даркнете.

Самый распространенный источник сливов — это инсайдеры, от администраторов до руководителей IT-блока и бизнес-подразделений, обладающих легитимным доступом к персональным данным, рассказал директор Центра компетенций по информационной безопасности компании «Техносерв» Сергей Терехов. В кредитную организацию могут приходить сотрудники, которые изначально заинтересованы в краже информации, иногда их подкупают во время работы, а также не исключены утечки из-за халатности, перечислил эксперт.

Т-2 Фото: ТАСС/dpa/Annette Riedl

Стоимость нелегальных услуг по продаже личной информации зависит прежде всего от уровня риска для того, кто их оказывает, рассказали «Известиям» в ЦБ. Если цена данных выросла, значит, методы противодействия утечкам в банках существенно осложнили «бизнес» злоумышленникам, уверены в регуляторе.

На страже данных

Кредитные организации используют системы DLP (Data Leak Prevention), которые отслеживают потенциальные утечки и сообщают об этом в службу безопасности, а также могут предотвратить слив, например, принудительно выключив компьютер, рассказали «Известиям» в крупнейших российских банках. Но работники привыкли, что могут скинуть некоторую информацию на флешку и закончить работу дома, поэтому часто DLP-система настроена только на отслеживание, а не на предотвращение утечек, пояснил руководитель аналитического центра Zecurion Владимир Ульянов. Он заметил: с точки зрения безопасности это неправильно, а со стороны бизнес-процессов — логично.

Также банки стараются ограничить доступ сотрудников к персональным данным, добавил директор департамента информбезопасности МКБ Вячеслав Касимов. У работников есть доступ только к той информации, которую они используют.

В рамках защиты от утечек в банках ведется работа не только с системами безопасности, но и с самими сотрудниками — потенциальными инсайдерами. Для них проводятся специализированные консультации по вопросам работы с конфиденциальной информацией, рассказали в Сбербанке. В кредитных организациях прописаны ограничения и меры наказания сотрудников за выгрузку конфиденциальных данных, а также за фотографирование экранов мониторов и служебных документов, добавил директор по безопасности Почта Банка Станислав Павлунин.

Т-3 Фото: ТАСС/dpa/Lino Mirgeler

В большинстве случаев сливы персональной информации происходят не на стороне банков, а на стороне третьих лиц — коммерческих компаний, оказывающих клиентам финансовой организации те или иные услуги, уверены в пресс-службе ВТБ. Там добавили, что в ходе получения этих услуг граждане обычно оставляют свои ФИО, номер телефона и номер карты.

Банкам следует работать с клиентами над повышением финграмотности, чтобы они не попадали на удочку мошенников, считает Владимир Ульянов из Zecurion. Но граждане и сами могут себя обезопасить. Например, если звонят с неизвестного номера и представляются сотрудником банка, клиенту лучше перезвонить по официальному телефону на сайте кредитной организации или самому прийти в банк, рассказал он. По рекомендации эксперта, при общении с предполагаемым сотрудником банка нужно минимизировать выдаваемую информацию: не называть CVV-код, написанный на обратной стороне пластиковой карты, а также пароли из SMS-сообщений о подтверждении операций — эта информация нужна для самого пользователя, а не для банковского служащего.

Фото: Ермохин Сергей

Сбербанк проверяет информацию СМИ об утечке данных клиентов. Как сообщили в пресс-службе банка, эти данные уже находились в продаже на черном рынке и относятся к 2015–2016 годам. В пресс-службе подчеркнули, что Сбербанк не являлся источником утечки этих данных.

А страшен ли черт. Чем на самом деле грозит утечка данных клиентов банков и операторов Информационные технологии (IT)

А страшен ли черт. Чем на самом деле грозит утечка данных клиентов банков и операторов

15319

«Ежедневно в Сети появляются десятки сообщений с предложением продать базы данных клиентов различных банков и компаний. Мы проверяем любую подобную информацию, в том числе и ту, о которой идет речь в публикации. Там есть данные, ранее уже предлагавшиеся к продаже на теневом рынке и относящиеся к 2015–2016 годам», — говорится в сообщении.

Накануне «Известия» сообщили о публикации в даркнете объявления о продаже данных 20 тыс. клиентов Сбербанка стоимостью по 35 рублей за строку. Клиенты из базы проживают в субъектах Уральского и Приволжского федеральных округов. Также продавец пишет, что может дополнительно выгружать по 10 тыс. строк еженедельно.

В распоряжении газеты оказался тестовый фрагмент этой базы из 10 записей. Каждая содержит название банковского подразделения, полные ФИО, номер счета, паспортные данные, дату рождения и телефоны. Еще одна база на теневом форуме содержала данные о 100 тыс. клиентов. Проверить ее подлинность не удалось, так как владелец отказался предоставить тестовый фрагмент.

Данных из этой базы достаточно для мошенничества с применением социальной инженерии. Так, мошенник может позвонить шантажировать владельца информации или его родственников, представляясь сотрудником силовых ведомств или представителем финансовой организации, отмечает в комментарии ДП Илья Тихонов, глава направлений «Комплаенс» и «Аудит» ГК Softline

«Череда утечек персональных данных из крупных банков говорит о том, что, вероятнее всего это не дыра в системах защиты конкретных компаний, а ошибки в организации защиты информации в отрасли в целом. Этот факт наверняка не останется без внимания регуляторов. События происходит на фоне введения нового стандарта информационной безопасности ГОСТ 57580 -2017. На вопрос, могут ли наши граждане продолжать доверять свои данные банкам и остановит ли Сбербанк череду утечек, отвечать придется уже регулятору», — считает Тихонов.

В начале октября Сбербанк признал утечку данных клиентов в виде 5 тыс. учетных записей кредитных карт. Впоследствии было установлено, что хищение данных совершил руководитель сектора в одном из бизнес-подразделений банка. Глава кредитной организации Герман Греф назвал тогда случившееся своей личной виной. 23 октября стало известно об утечке базы данных клиентов Сбербанка, где были накоплены сведения о заемщиках с 2015 года по настоящее время. Всего в Сети оказались данные 11,5 тыс. клиентов. Как выяснилось, в этой утечке был виноват сотрудник одного из коллекторских агентств, с которым работал банк.

Реклама Выделите фрагмент с текстом ошибки и нажмите Ctrl+Enter

Персональные данные клиентов Сбербанка оказались на черном рынке. Продавцы уверяют, что владеют данными о 60 млн кредитных карт, как действующих, так и закрытых (у банка сейчас около 18 млн активных карт). Утечка могла произойти в конце августа. Эксперты, ознакомившиеся с данными, считают их подлинными и называют утечку самой крупной в российском банковском секторе. В Сбербанке обещают проверить подлинность базы, но утверждают, что угрозы средствам клиентов нет.

Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на специализированном форуме, заблокированном Роскомнадзором. По словам продавца, он реализует данные о более 60 млн кредитных карт. Первым объявление заметил и обратил на него внимание «Ъ” основатель DeviceLock Ашот Оганесян. Потенциальным покупателям продавец предлагает пробный фрагмент базы из 200 строк. «Ъ” изучил его.

Фрагмент содержит данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка.

В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года. Также содержатся слова way4 или w4, которые, возможно, относятся к процессинговой платформе Way4, которую уже около десяти лет использует Сбербанк.

Для проверки этих данных «Ъ” нашел клиентов из «пробника» в соцсетях, а также изучил информацию о номерах карт и телефонов в мобильном приложении Сбербанка, которое при переводе средств позволяет видеть часть информации о ФИО получателя.

Заявленный продавцом объем информации (60 млн строк) может свидетельствовать о том, что утечка затронула данные о всех кредитных картах банка.

По словам продавца, база разбита на 11 частей (именно столько у Сбербанка территориальных банков), а каждую строку он продает за 5 руб. Для проверки гипотезы корреспонденты «Ъ” попросили найти в базе свои данные. Продавец предоставил информацию о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.

Источник «Ъ”, близкий к ЦБ, изучив «пробник», выразил уверенность в том, что он является «выгрузкой базы» Сбербанка, а не, например, «пробивом», полученным в результате подкупа сотрудников. По словам других собеседников «Ъ”, специалистов по информационной безопасности крупных банков, судя по характеру тестового файла, утечка могла произойти из банка.

«Данные могут быть из хранилища данных всех систем, там лежит вся информация о клиентах,— указывает собеседник «Ъ” в крупном банке.— Утечка базы данных от кого-либо из партнеров видится маловероятной, судя по набору и объему данных». По словам другого источника, информация похожа на выгрузку данных из хранилища кем-то, кто имел административный доступ, «на это косвенно указывает и тот факт, что номера банковских карт в базе не маскированы». Еще один эксперт отметил, что чисто теоретически такие данные могут быть получены путем склеивания данных с точки выдачи карт и данных из процессинга, но в данном случае это маловероятно, учитывая объем данных. «Если это и подделка, то очень качественная»,— указал еще один эксперт.

Ашот Оганесян утверждает, что DeviceLock проанализировала около 240 записей из предполагаемых 60 млн и «может подтвердить, что в них содержатся данные реальных людей, имеющих карточные счета в Сбербанке». По его мнению, база может являться сохраненной копией (полной или нет) базы данных продукта Way4.

«Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка,— отмечает господин Оганесян.— Набор полей действительно поражает».

По его мнению, последствия утечки будут заметны для всей отрасли. Ей займутся ЦБ и Роскомнадзор и, весьма вероятно, правоохранительные органы. Если среди клиентов есть резиденты или граждане ЕС, то банку, в соответствии с законом GDPR, придется уведомить об инциденте Еврокомиссию, указывает господин Оганесян.

В ЦБ не ответили на запрос «Ъ”. В Роскомнадзоре обещают «в рамках своей компетенции» проверить информацию о возможном нарушении законодательства о персональных данных. «Меры реагирования будут приниматься после установления признаков нарушений»,— заявили в ведомстве.

Пока статья готовилась к выпуску, Сбербанк выпустил пресс-релиз, сообщив о возможной утечке персональных данных 200 клиентов и начатом внутреннем расследовании. При этом банк утверждает, что никаких внешних кибератак не зафиксировано. Основной версией возможного инцидента там называют умышленные преступные действия одного из сотрудников.

Дополнительно в Сбербанке пояснили «Ъ”, что изучается подлинность информации и пока нет ясности, подлинная она или нет. Представитель Сбербанка заявил, что утечка данных через внешний взлом систем невозможна в принципе, так как все базы данных клиентов полностью изолированы от внешней сети. Если информация об утечке будет подтверждена, она могла быть возможной только в результате умышленных преступных действий одного из сотрудников банка. «Будет проведено скрупулезное расследование, о его итогах будет сообщено», — пообещали в Сбербанке. Там подчеркнули, что заявленный объем скомпрометированных карт «невозможен, так как общий объем активных кредитных карт в несколько раз меньше».

В банке заверили, что угрозы не санкционированных клиентами списаний средств с карт нет.

Похищенная информация не позволит преступникам списать деньги с карт клиентов, так как в ней отсутствуют коды CVV, пояснили там, а кроме того, каждая трансакция без предъявления карты в Сбербанке подтверждается одноразовым СМС-паролем.

Виталий Солдатских, Вероника Горячева

Стража со взломом

Почему мощная защита банковского сектора от хакерских атак мало помогает гражданам

  • Чтобы сохранить этот материал в
    избранное, войдите или зарегистрируйтесь Материал добавлен в «Избранное» Вы сможете прочитать его позднее с любого устройства. Раздел «Избранное» доступен в вашем личном кабинете Материал добавлен в «Избранное» Удалить материал из «Избранного»? Удалить Материал удален из «Избранного»
  • Чтобы сохранить этот материал в
    избранное, войдите или зарегистрируйтесь Материал добавлен в «Избранное» Вы сможете прочитать его позднее с любого устройства. Раздел «Избранное» доступен в вашем личном кабинете Материал добавлен в «Избранное» Удалить материал из «Избранного»? Удалить Материал удален из «Избранного»

Максим Стулов / Ведомости

Сбербанк завершил внутреннее расследование и нашел канал утечки данных кредитных карт клиентов, сообщила пресс-служба банка. Служба безопасности совместно с правоохранительными органами выявила, что осуществить хищение клиентской информации в корыстных целях пытался один из сотрудников Сбербанка. Его имя не называется, сообщается только, что это руководитель сектора в одном из бизнес-подразделений, ему 28 лет (1991 года рождения) и он имел доступ к базам данных в силу выполнения служебных обязанностей.

Доказательства совершенного преступления были собраны и задокументированы, сотрудник дал признательные показания, говорится в сообщении. Угроза утечки клиентских данных сейчас отсутствует, угрозы для сохранности средств клиентов не было, заверил Сбербанк.

Банк сделал серьезные выводы и кардинально усилит контроль доступа к системам, чтобы минимизировать влияние человеческого фактора, сказал президент Сбербанка Герман Греф. «От себя лично и всей команды Сбербанка хочу еще раз принести глубокие извинения 200 нашим клиентам за произошедшее и всем нашим клиентам за доставленные переживания», – заявил он. Греф также поблагодарил службу безопасности и правоохранительные органы за оперативную работу, которая позволила «в течение считанных часов раскрыть преступление».

Сбербанк узнал о возможной утечке 2 октября, когда служба кибербезопасности получила файл с данными, где содержались сведения о 200 клиентах уральского филиала. Одновременно с этим стало известно о предложении в теневом ресурсе интернета базы с данными 60 млн держателей кредитных карт Сбербанка (об этом сообщал «Коммерсантъ»). Банк незамедлительно начал проверку, которая показала, что внешнего взлома или хакерской атаки не было.

Утекшие данные о 200 клиентах не содержали информации о пин-кодах и CVV, подчеркивал Сбербанк. По его данным, с помощью похищенной базы невозможно провести финансовую операцию. Но клиенты на всякий случай были незамедлительно предупреждены о произошедшем, а их карты взяты на контроль и перевыпущены.

14 февраля 2020 05:44 Фото: adindex.ru

На теневых форумах появились новые объявления о продаже персональных данных клиентов Сбербанка. На этот раз обнаружились сразу два «лота» — с 20 тыс. и со 100 тыс. строк. «Известия» проверили тестовый фрагмент первой базы и удостоверились в подлинности информации. При этом анализ экспертов показал, что сведения не совпадают с ранее выставленными на продажу — это говорит о том, что утечка новая. По словам продавца, он готов выгружать по 10 тыс. новых записей еженедельно и продавать каждую строку по 35 рублей.

Объявление о продаже свежей базы клиентов Сбербанка появилось в DarkNet во вторник, 12 февраля. Его разместил пользователь, который зарегистрировался на портале в середине января. Тогда же он и начал предлагать купить информацию о потребителях услуг Сбера.

Продавец заявил, что обладает 20 тыс. записей о клиентах Сбербанка стоимостью по 35 рублей. Он уверяет, что эти граждане проживают в регионах с часовым поясом +5 UTC, то есть в субъектах Уральского и Приволжского федеральных округов. Продавец добавил, что может дополнительно выгружать по 10 тыс. строк еженедельно.

В распоряжении издания оказался тестовый фрагмент базы из 10 записей. Каждая содержит название банковского подразделения, полные ФИО, номер счета, паспортные данные, даты рождения и телефоны граждан. Судя по сокращенному названию подразделения, клиенты получили карты в Республике Башкортостан. Серия паспорта совпадает с кодовым номером (ОКАТО) региона.

«Известия» проверили мобильные телефоны через приложение «Сбербанк Онлайн», где при введении номера можно увидеть имя, отчество и первую букву фамилии. Шесть из десяти записей совпали, еще три оказались не привязаны к приложению, один телефон показал другое имя. По указанным номерам удалось дозвониться до четырех клиентов: все подтвердили имя и дату рождения. Еще два номера оказались недоступны, остальные не ответили на звонки. В телефонном разговоре корреспондент предупредил, что эти данные могут быть использованы мошенниками, и напомнил о необходимости быть бдительными.

С высокой долей вероятности, это действительно клиенты Сбербанка, подтвердил технический директор компании по кибербезопасности DeviceLock Ашот Оганесян. По просьбе редакции он проверил данные из тестового фрагмента и заверил, что новая база не стала частью массовой утечки, о которой СМИ писали в октябре прошлого года. У новых записей другой формат, пояснил он, а данные, которые могут быть сверены (например, телефоны) в тестовых фрагментах, предоставленных продавцами тогда и сейчас, не совпадают.

В 2019 году СМИ сообщали об утечке данных 60 млн кредитных карт, принадлежащих клиентам Сбера. В банке тогда признали лишь компрометацию информации о 5 тыс. пользователей, которым заменили карты. Руководство Сбера говорило, что виновником утечки стал сотрудник компании, который руководил «сектором в одном из бизнес-подразделений банка». Также в прошлом году СМИ сообщали об утечках информации о вкладчиках ВТБ, пользователях услуг Бинбанка (санируется «Открытием») и Альфа-банка.

Скорее всего, данные попали в продажу через инсайдера — сотрудника банка, который имеет доступ к информационной системе или серверу баз данных, откуда и делает выгрузку, предположил эксперт DeviceLock.

Также журналистами издания обнаружено еще одно объявление о продаже о продаже данных клиентов Сбера на 100 тыс. строк. Однако веских доказательств подлинности этой информации нет. Продавец не предоставляет тестовый фрагмент. Еще один торговец, с которым удалось связаться, также не пожелал предоставить «пробник», заявив, что ищет «выход на колл-центр».

Информация, которая содержится в продаваемой базе, не позволяет напрямую списывать деньги со счетов или оплачивать покупки по чужой карте, цитирует издание антивирусного эксперта «Лаборатории Касперского» Сергея Голованова. Однако любые персональные данные облегчают задачу злоумышленнику, который использует методы социальной инженерии для телефонного мошенничества, отметил он.

— Злоумышленники могут предложить сверить паспортные данные. Обычно они вынуждают назвать CVV-код или пришедший одноразовый пароль, чтобы увести деньги. В последнее время они могут предлагать перевести средства на «безопасный счет», который на самом деле оказывается мошенническим, — рассказал Голованов. Для того чтобы не потерять деньги, добавил собеседник издания, пользователям остается быть бдительными, самостоятельно перезванивать в банк по номеру на карте, не сообщать одноразовые пароли и не устанавливать по чьей-то просьбе сторонние приложения на смартфон.

Оставьте комментарий