«Пользователям стоит опасаться социальной инженерии» — эксперты о массовых утечках персональных данных

По словам экспертов, риск того, что один из тысяч сотрудников решит подзаработать, украв данные, близится к 100%

За минувшие дни россияне столкнулись сразу с двумя масштабными утечками персональных данных. Сначала в Сеть попала информация о 60 млн кредитных карт клиентов Сбербанка (официально банк заявляет о 200 пострадавших), а чуть позже «отличился» «Билайн» — данные нескольких миллионов клиентов телеком-оператора также оказались в открытом доступе. О том, как произошла утечка, кому нужны ваши персональные данные и как предотвращать подобные случаи, разбиралось «Реальное время».

«Некритичная» утечка Сбербанка

Данные о 60 млн кредитных карт клиентов Сбербанка были обнаружены на черном рынке в начале октября. Продавец предлагал потенциальным покупателям ознакомиться с пробным фрагментом базы из 200 строк, содержащим в себе данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка. Отметим, что в базе можно было обнаружить детальные персональные данные, подробную финансовую информацию о кредитках и операциях. В качестве опердня (операционного дня), который может свидетельствовать о дате утечки, указано 24 августа 2019 года.

Сбербанк подтвердил утечку данных по кредитным картам 200 клиентов и начал внутреннее расследование, которое быстро завершилось обнаружением предполагаемого злоумышленника.

— Служба безопасности банка при взаимодействии с правоохранительными органами выявила сотрудника банка 1991 года рождения, руководителя сектора в одном из бизнес-подразделений банка, который имел доступ к базам данных в силу выполнения служебных обязанностей и который попытался осуществить хищение клиентской информации в корыстных целях, — сообщила пресс-служба Сбербанка. — Вчера сотрудник дал признательные показания, и в настоящее время представители правоохранительных органов осуществляют с ним процессуальные действия. Угроза утечки клиентских данных (помимо данных о кредитных картах 200 клиентов банка) отсутствует. Во всех случаях угрозы для сохранности средств клиентов банка не было.

При этом в ходе проверки было дополнительно установлено, что в конце сентября подозреваемый сотрудник «продал несколькими траншами одной из преступных групп в теневом интернете в совокупности пять тысяч учетных записей кредитных карт Уральского банка Сбербанка, значительное количество из которых являются устаревшими и неактивными».

Ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов уверен, что недавняя утечка данных — это неприятно, но в данном случае не критично, поскольку у злоумышленников нет информации о CVV или пароля от личного кабинета в интернет-банкинге.

— Что касается мер предосторожности, то в первую очередь пользователям стоит опасаться социальной инженерии. Сейчас у злоумышленников появилось больше шансов вызвать доверие клиента. Если у них есть номер карты, то они будут пытаться узнать CVV, пароль от входа в интернет-банкинг или код из СМС. Эту информацию никогда и никому нельзя разглашать. Также стоит опасаться и такой схемы: пользователю звонит якобы сотрудник банка, ничего не спрашивает или сверяет имеющуюся у него информацию, сообщает о заблокированной мошеннической операции, а после этого настоятельно рекомендует установить на телефон ПО, ссылку на которое он пришлет в SMS. Этого так же делать нельзя, по ссылке может оказаться либо банковский троянец, либо программа для удаленного управления устройством, — рассказал эксперт.

«Устаревшие» данные «Билайна»

В не менее неприятную историю на днях попал «Билайн»: сведения о почти 9 млн пользователей, подключивших домашний интернет через этого оператора, также попали в сеть.

В результате внутренней проверки было установлено, что часть информации в распространенном архиве действительно содержит данные абонентской базы клиентов фиксированного интернета (ШПД), однако значительная часть информации носит устаревший характер и неактуальна.

— В конце 2017 года компания зафиксировала утечку части информации о клиентах ШПД вследствие злонамеренных действий ряда лиц. Были незамедлительно приняты меры по пресечению повторения подобных инцидентов и по привлечению виновных лиц к ответственности, — цитирует сообщение пресс-службы «Билайна» ТАСС.

Помимо этого, в компании обратили внимание на то, что на конец второго квартала текущего года у них было всего 2,5 млн абонентов проводного интернета, в то время как архив якобы содержит данные о почти 9 млн пользователей.

«Этой уязвимости вполне достаточно, чтобы забрать данные»

Комментируя ситуацию со Сбербанком, руководитель отдела аналитики компании SearchInform Алексей Парфентьев предположил, что в данном случае не совсем корректно возлагать всю ответственность на человеческий фактор.

— У Сбербанка огромная клиентская база данных, и доступ к этой информации имеет очень ограниченный круг лиц. Я не имею в виду операторов, которые имеют возможность посмотреть досье на какого-то одного клиента, а тех, кто может сделать выгрузку данных по десяткам миллионов клиентов. Соответственно, с высокой долей вероятности можно предположить, что утечка была инициирована привилегированным сотрудником, причем не с административными привилегиями, а с техническими.

Этот сотрудник понимал, что банк использует какую-то систему защиты данных, которая контролирует, выявляет и предотвращает утечки. На рынке представлены программы с достаточно разным функционалом, поэтому перед ним встали два вопроса: «Какая это система?» и «Какие в ней есть уязвимости?». Ответ на первый вопрос он мог просто знать как привилегированный пользователь. А найти его он мог буквально в три клика — на тендерной площадке, через которую банк закупал софт.

После этого ему оставалось разобраться с тем, какие проблемы есть у системы защиты, которую использовал Сбербанк. Их, к слову, не то чтобы много, но вполне достаточно для организации инцидента. К примеру, конкретно эта система не видит передачу данных через средства удаленного администрирования, такие как TeamViewer, если они передаются через интерфейс программы. Этой уязвимости вполне достаточно, чтобы забрать данные. Да и это не единственная уязвимость данного ПО, — считает эксперт.

Вместе с тем руководитель отдела аналитики компании SearchInform сомневается в том, что данные были извлечены физически.

— Я не очень верю в кражу жесткого диска и другие варианты физического извлечения данных. Если мошенник, как утверждает банк, это региональный сотрудник, то он должен был сначала скачать себе информацию, а уже потом извлечь ее оттуда. Скачать полную базу данных из головного офиса, где размещен сервер, технически очень сложно. А украсть данные непосредственно с сервера через жесткий диск — еще более сомнительная версия. Во-первых, данные хранятся в зашифрованном виде. Во-вторых, базы вряд ли хранятся на едином жестком диске на сервере. Практически всегда на сервере СУБД стоит RAID-массив из дисков, а не один HDD, — уверен Алексей Парфентьев.

«Программы позволяют спрогнозировать намерение потенциального мошенника»

По словам главы отдела аналитики компании SearchInform, желающих навредить компании изнутри всегда будет достаточно. На многих форумах, где торгуют базами, прямо на первой странице можно встретить баннеры примерно следующего содержания: «Всегда рады видеть людей, которые работают в банках, страховых компаниях, у мобильных операторов. Ежедневные выплаты, крупные суммы».

— Рекламная кампания на уровне профессионального хедхантинга. При этом даже в крупных компаниях не все сотрудники получают столько, сколько бы им хотелось. По этой причине риск того, что один из тысяч сотрудников решит подзаработать, близится к 100%, и подразделениям ИБ нужно проявлять постоянную бдительность, — объясняет мотивы нерадивых сотрудников, сливающих персданные, Алексей Парфентьев.

Эксперт уверен, что человеческий фактор в подобных историях очень важен. А чтобы предотвратить схожие инциденты на ранней стадии, недостаточно систем, которые предотвращают утечку в момент или просто блокируют доступ в реальном времени.

— Необходимо понимать, что воровство данных — это целый процесс, к которому человек готовится заранее. И сейчас перед всем IT-миром стоит вопрос: «Как увидеть этот процесс на максимально раннем этапе — на уровне намерений?». Чтобы решить эту проблему, защитные программы научились не просто останавливать утечки информации, но и анализировать высказывания сотрудников, оценивать их лояльность и так далее. Однако и это не самый первый этап. Программы развиваются в сторону оценки пользовательского поведения, профилирования сотрудников, что позволяет спрогнозировать намерение тогда, когда потенциальный мошенник еще никак себя не проявляет. Оценивается психотип человека, связанные с ним риски и многое другое. Это направление сейчас считается наиболее перспективным, мы пошли этим же путем, — резюмирует собеседник нашего издания.

Лина Саримова
ТехнологииITТелекоммуникации

Новости партнеров