/ Регулирование

DarkNet предлагает «цифровые профили»

Бороться с массовыми утечками личных данных необходимо не только регуляторам, но и самим гражданам

В 2020 году эксперты зафиксировали активный рост продаж персональных данных (ПД) на черном рынке. Причем мошенники предлагают пакетом детальные «цифровые профили» граждан. Источниками утечек все чаще становятся не госструктуры, а коммерческие компании. Бороться с новыми угрозами придется не только законодателям и правоохранителям, но и самим пользователям, уверены эксперты.


ЧТО И ЗА СКОЛЬКО МОЖНО КУПИТЬ В ДАРКНЕТЕ

Основными площадками для продажи личной информации являются форумы в даркнете и Telegram-каналы, сообщил RSpectr руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. Эти ресурсы популярны у преступников из-за того, что на них трудно деанонимизировать продавца.

Журналист редакции RSpectr посетил черный рынок в даркнете. На одном из популярных русскоязычных форумов мошенник под ником «Детектив Коломбо» предлагал ряд услуг по данным, полученным из госучреждений и частных компаний.

В разделе «Пробив по государственным структурам: МВД, ГИБДД, ФНС, ПФР, МФЦ» стоимость услуг начинается с 1,2 тыс. рублей и касается простейших запросов: судимость, нахождение в розыске, приводы в полицию, адреса.

Более специфичные запросы стоят дороже:

  • отслеживание автомобиля по камерам через систему ГИБДД «Поток» – от 3,5 тыс. рублей;
  • информация о семейном положении и детях – от 4 тыс. рублей;
  • данные о пересечении границы человеком – от 6 тыс. рублей;
  • полные списки пассажиров самолетов или поездов – от 20 тыс. рублей.

В разделе «Мобильные операторы. Поиск. Пробив. Детализация. Восстановление SIM. Вспышка» цены сильно разнятся в зависимости от оператора. Эксперты отмечают, что на тарифы влияет число доступных «сливщиков» информации внутри сотовых компаний.

На момент публикации преступник предлагал по самым низким ценам «пробив» номеров от «Билайна» – 800 рублей. Услуга «Вспышка» (определение местоположения по последнему звонку) – от 3 тыс. рублей.

Самыми дорогими оказались данные от Tele2:

  • «пробив» номера телефона и данных владельца – от 4,5 тыс. рублей;
  • детализация звонков – от 17,5 тыс. рублей;
  • «вспышка» – от 25 тыс. рублей;
  • детализация с базовых станций оператора по звонкам – от 40 тыс. рублей.

Также «Детектив Коломбо» ищет «сливщиков», указав вакансии. Помимо сотрудников из силовых ведомств и банков, мошеннику нужен персонал из курьерских служб, платежных онлайн-систем. «Существенно повысили выплаты, всегда даем хороший процент от заказа. Обеспечим вас работой на длительный срок», – пишет «Детектив Коломбо» в объявлении.

По мнению экспертов, рост числа вакансий и увеличение размера вознаграждения вызваны дефицитом «сливщиков», которых выявляют службы безопасности компаний и правоохранительные органы.

Основатель сервиса разведки утечек данных и мониторинга даркнета Data Leakage & Breach Intelligence (DLBI) Ашот Оганесян сообщил RSpectr, что изменения цен вызваны уходом или, наоборот, приходом новых поставщиков данных: «Например, прикрыли нескольких инсайдеров из банков – цены на ПД клиентов подрастают. Появились новые – чуть уменьшаются». Кроме того, влияет текущий уровень риска для поставщиков.

Эксперт уточняет,

если недавно провели спецоперацию против «пробивок» или массовых сливов данных, то цены подрастают


Стоимость банковского «пробива» в даркнете:

  • Сбербанк. Выписка по счету/карте физлица. За месяц – от 12 тыс. до 15 тыс. рублей, за полгода – от 30 тыс. до 35 тыс. рублей.
  • Промсвязьбанк. Выписка по счету/карте физлица. За месяц – от 5 тыс. рублей, за полгода – от 14 тыс. рублей.
  • Газпромбанк. Выписка по счету/карте физлица за месяц – от 12 тыс. рублей.
  • Россельхозбанк. Выписка по счету/карте физлица за месяц – от 11 тыс. рублей.

Источник: DLBI

За первый квартал 2020 года силами аналитиков компании А.Оганесяна в рамках этической разведки уязвимостей данных в России с помощью автоматизированной системы DLBI было обнаружено более 100 незащищенных баз данных (БД): MongoDB, Elasticsearch, хранилищ Amazon AWS. Выявлено более 40 БД на черном рынке.

Уязвимости серверов и доступные базы данных за январь-апрель 2020 года:

Январь: обнаружен открытый сервер Elasticsearch с данными оператора по обслуживанию грузовых и почтовых авиаперевозок «Москва Карго».

Февраль: обнаружен открытый сервер Elasticsearch службы доставки Boxberry, на котором содержалась информация по отправлениям за декабрь 2019 года (более 100 тыс. строк).

Март: обнаружен свободно доступный Elasticsearch-сервер c информацией из системы «Премиум бонус» – персональные данные клиентов ресторанов Москвы, Санкт-Петербурга, Казани и других городов России.

Апрель: обнаружена база данных клиентов российских торговых сетей «К-Руока» и «К-Раута». База содержит более 970 тыс. строк с данными клиентов, включая ФИО, дату рождения, телефон, электронную почту, город и район проживания, количество человек в семье и данные об участии в системах лояльности.

Во всех случаях владельцы ПД были уведомлены о проблеме.


ОТКУДА УТЕКАЮТ ДАННЫЕ

Основные «лоты» на площадках по продаже данных – это информация об абонентах операторов сотовой связи, клиентах банков и сведения из госреестров. «Недобросовестных сотрудников, занимающихся “пробивом”, обычно выявляют службы безопасности компаний. Далее свою работу начинают правоохранительные органы. Выявить заказчиков информации намного сложнее», – отмечает А.Арсентьев.

А.Оганесян считает, что львиную долю работы делают не «безопасники», а силовики. 

«К сожалению, только в 10% дел есть следы работы службы безопасности компаний – в 90% ловят инсайдеров правоохранительные органы, что говорит об отсутствии принципиальных изменений в корпоративных подходах к охране персональных данных. При работе корпоративной службы безопасности большая часть цепочки остается нераскрытой. Фигурантом становится сам инсайдер, а посредники и, тем более, покупатели остаются вне досягаемости», – рассказал А.Оганесян.

По данным DLBI,

львиная доля пойманных – сотрудники МВД, сотовых операторов и салонов мобильной связи, а также представители банков

На черном рынке банковского «пробива» очень мало реальных продавцов и много посредников, при этом их цены могут быть в четыре раза выше. Спрос приводит к существенному ежегодному росту стоимости услуг.

До 2020 года внимание правоохранителей было сконцентрировано на госструктурах, но резкий рост предложений в даркнете заставил силовиков и «безопасников» компаний активно искать мошенников в бизнесе.

Так, к концу 2019 года выросла доля пойманных «сливщиков» из банковской сферы и у операторов связи.




















КАК ЛОВЯТ «СЛИВЩИКОВ» БАЗ ДАННЫХ

Единственный эффективный метод – контрольные закупки, при которых можно поймать продавца на горячем с неопровержимыми доказательствами.

Алексей Парфентьев, «СёрчИнформ»:

– Обычно это происходит так: компания фиксирует появление данных из своей базы в даркнете. Служба информбезопасности (ИБ) или представители правоохранительных органов анонимно обращаются к продавцу с заказом на конкретный набор данных, гарантированно принадлежащих компании. Инсайдера вычисляют, когда он сливает заказ с рабочего места и получает за это вознаграждение. При таком раскладе у следствия есть доказанный состав преступления, плюс сразу раскрывается личность злоумышленника – это гарантия, что он будет наказан.


В ДАРКНЕТЕ ПОЯВИЛИСЬ ПРОФИЛИ ГРАЖДАН

Черный рынок вырос в разы, персональные данные стали продаваться «пакетами», рассказывает RSpectr руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев.

Кроме паспортных или платежных данных на одного человека можно разом получить все – от выписок по штрафам ГИБДД до видео с камер наружного наблюдения

Алексей Парфентьев, «СёрчИнформ»:

– Пока на государственном уровне только разрабатывают «цифровые профили» граждан, в даркнете они уже в ходу – информации из разных скомпрометированных баз более чем достаточно, мошенникам остается только свести их воедино. Услуга пока точечная, но популярностью уже пользуется, значит, скоро проблема может стать массовой.

К тому же заметно упростилась добыча ПД. Еще недавно в СМИ обсуждались истории про хакерские группировки, сложные взломы и другие криминальные схемы по краже данных. Сегодня не нужно быть гением в технологиях, чтобы стать киберпреступником: все чаще кража данных сводится к фишингу и социальной инженерии, поясняет А.Парфентьев.

Один из самых массовых источников утечек – фальшивые сайты, куда пользователи сами вводят личную информацию, и фейковые рассылки по email и в соцсетях, которые содержат ссылки или вложения со шпионским ПО.

Генеральный директор Dr.Web Борис Шаров в разговоре с RSpectr отмечает, что в последнее время воровать базы стали довольно молодые преступники.

Борис Шаров, Dr.Web:

– Скорее всего, именно вовлечение в эту деятельность школьников и приводит к тому, что тема утечек выплескивается на страницы СМИ и социальных сетей. То, что раньше было доступно только посвященным, теперь предлагается в открытую подписчикам телеграм-каналов.

Причина проста – цифровизация общества приводит к сбору все большего объема данных пользователей со стороны компаний. Для защиты от утечек потребуются не только законодательное ужесточение, но и повышенная бдительность самих граждан.


КАК СНИЗИТЬ РИСКИ УТЕЧКИ ЛИЧНЫХ ДАННЫХ

Юристы рекомендуют покупателям на сайтах различных магазинов запрашивать информацию об уровне защиты персональных данных.

«Если каждый клиент будет это делать до оплаты покупки, то ритейлеры очень быстро повысят бдительность. Поверьте, каждое такое обращение изучается», – рассказал RSpectr юрист компании «Касторама РУС» Макар Коляда.
Он отмечает, что при игнорировании запросов нерадивые компании можно быстро приструнить, обратившись в Роскомнадзор.

Макар Коляда, «Касторама РУС»: 

– Каждый раз, когда вы делаете заказ, не вводите никакие данные, пока не нажмете на галочку «согласен на обработку персональных данных». Прочитайте условия обработки личной информации. Если нет согласия или политики по обработке персональных данных – сделайте скриншот и направьте жалобу через сайт Роскомнадзора: это онлайн и бесплатно. Позвоните продавцу и уточните, как обстоят дела с ПД, как они защищаются, попросите прислать текст согласия на обработку данных и не оставляйте никакой информации, пока не ознакомитесь с таким документом.

Если вы очень хотите купить товар на конкретном сайте, но в сохранности данных не уверены, то стоит изучить политику обработки данных и порядок их отзыва. Запрос на отзыв своих ПД нужно отправить сразу после получения товара. Если компания не отреагировала, то можете смело писать жалобу в Роскомнадзор.


КОМУ ЗАКОН НЕ ПИСАН

Владелец юридической компании в сфере цифровых технологий «Катков и партнёры» Павел Катков отмечает в разговоре с RSpectr, что данные утекают из-за слабой позиции «истца», то есть гражданина, у которого нет ресурсов защищать в судах свои права.

«Единственный выход – это активная позиция Роскомнадзора, который будет инициативно отслеживать подобные случаи, расследовать их и наказывать конкретные компании и их должностных лиц, в том числе сотрудников, непосредственно осуществивших данное злоупотребление. В этом случае ситуация может измениться в лучшую сторону», – полагает П.Катков.

Все эксперты сходятся во мнении, что 

без пересмотра размера штрафов проблему не сдвинуть с мертвой точки

В статье КоАП «Нарушение законодательства РФ в области персональных данных» фактически не предусматривается наказание за утечку ПД, рассказал RSpectr ведущий консультант центра компетенций по информационной безопасности компании «Техносерв» Алексей Карягин. Например, в Евросоюзе штраф за нарушение может доходить до 20 млн евро или 4% от оборота нарушителя согласно регламенту защиты ПД (GDPR).

Макар Коляда, «Касторама РУС»:

– В России штраф за утечку ПД – 30 тыс. рублей. Раз никто не жалуется, значит, ни один оператор штрафа не боится. Если он вырастет до 500 тыс. рублей за каждое нарушение, подход изменится моментально. Также ответственность нужно персонализировать. Ее важно предусмотреть для всех, кто работает с персональными данными.


КАК СКОРРЕКТИРОВАТЬ ЗАКОН

Оказывается, среди IT-компаний очень много посредников, которые не взаимодействуют напрямую ни с владельцами ПД, ни с операторами данных. Это различного рода агрегаторы агрегаторов, субподрядчики субподрядчиков. М.Коляда говорит, что эти промежуточные звенья сейчас невозможно привлечь к ответственности – нет доказательств. Потому что субъект персональных данных просто не знает, к кому его данные попали.

«Роскомнадзору сложно находить реальный источник утечки персональных данных. Для решения этой проблемы можно, как в ЕС, ввести в закон нового субъекта ответственности – контролера персональных данных либо выпустить разъясняющие акты на уровне Роскомнадзора или Минцифры, где будет указано, как нужно вести расследование и кого привлекать. Либо это может быть определение Верховного суда, которое создаст практику, благо данный механизм в России реально работает», – считает М.Коляда.

А.Парфентьев предлагает внести ясные поправки в закон. «В нормативных документах подробно прописаны меры по защите ПД. В том же № 152-ФЗ есть ссылки на требования ФСТЭК, а они, в свою очередь, предусматривают практически все варианты защиты в зависимости от сферы обработки данных и актуальных для нее угроз. Проблема в том, что бизнесу эти требования непонятны. Мало кто пойдет по ссылкам из закона и вникнет в многотомные предписания ФСТЭК», – поясняет А.Парфентьев.

Особенно это касается малого бизнеса, который в CRM хранит персонализированную информацию о клиентах.

Эксперт предлагает закрепить в самом тексте № 152-ФЗ краткий перечень минимальных мер (чек-лист) по защите ПД

Алексей Парфентьев, «СёрчИнформ»:

– В него можно внести понятно изложенные выдержки из нормативов ФСТЭК – например, четко прописать: «Используйте специализированные технические инструменты для защиты персональных данных, которые хранятся и обрабатываются в цифровом виде». Нужно явно указать, что персональные данные должны быть защищены от утечки и разглашения – в том числе с использованием автоматизированных систем предотвращения утечек.

В свою очередь, Борис Шаров считает, что законы избыточны, а ответственности по ним никто не несет. «Аспект утечек не обсуждается так же широко, как сами утечки. Любое хищение ПД должно расследоваться, а виновные наказываться», – считает он. Глава Dr.Web уверен, что в будущем конкуренция между операторами данных будет вестись как раз по степени защищенности клиентской информации. Люди будут выбирать тех, кто не допускает проколов в безопасности.

Изображения: RSpectr, Freepik.com, Pixabay.ru

ЕЩЕ ПО ТЕМЕ:

Хакеры берут в заложники бизнес
Спасти данные от вирусного шифрования можно в облаке и бэкапом