Сливают из банков, воруют из подарочных сертификатов. Специалист «Лаборатории Касперского» рассказал, как мошенники воруют данные белорусов

Сергей Голованов. Ведущий антивирусный эксперт «Лаборатории Касперского». Занимается расследованием киберинцидентов в банковской сфере и случаев кибершпионажа. Специализируется на безопасности встраиваемых систем, угрозах для macOS и Unix, ботнетах и анализе деятельности преступных группировок.

Банки обращаются к нам, когда необходимо выяснить, откуда произошла утечка. Если виноват сотрудник, внутренняя служба безопасности банка, как правило, сама находит злоумышленника. Когда же причиной утечки стал несанкционированный доступ к системе третьих лиц (случаи хакерских атак на внутрибанковские системы или карты клиентов), банк часто обращается за помощью к специалистам по кибербезопасности.

- Да, каждый банк проводит внутреннее расследование. Когда оно заходит в тупик, банк приглашает сторонних экспертов. Далеко не о всех утечках становится известно публично.

- Существуют две наиболее распространённые схемы:

Мошенники в даркнете продают за определённую сумму информацию о конкретном клиенте банка. Чаще всего такие данные сливают неблагонадёжные сотрудники банков.

Преступники продают целые базы данных с информацией о большом количестве карт клиентов того или иного банка. За утечками баз данных обычно стоят хакеры. Такая схема известна давно — с тех пор, как в конце 90-х люди стали отказываться от наличных денег. Уже тогда злоумышленники создавали подпольные рынки для продажи информации о банковских картах. Одному банку сложно бороться с такой проблемой, ему на помощь приходит и центральный банк, и международные платёжные системы.

Тенденция последнего года — использовать персональные данные для обзвона клиентов, чтобы с помощью социальной инженерии выведать ключевую информацию для получения доступа к деньгам жертвы.

Ещё пять лет назад такие методы мошенничества сложно было представить, а в 2019 году они стали обретать массовый характер. ФИО, телефонный номер, данные паспорта — всё это используют для того, чтобы войти в доверие к жертве и выведать ключевую информацию для доступа к счёту.

В целом существует три основных пути, по которым мошенники получают доступ к персональным данным: 

— Сотрудничают с работником банка, который за деньги передаёт информацию о своих клиентах.

— Узнают данные через сторонние агрегаторы. Агрегаторы собирают информацию из подарочных сертификатов и анкет, которые заполняют посетители магазинов. В таком случае банк даже может не знать об утечке данных своих клиентов. 

— Хакерские атаки. Могут проникать напрямую в банковскую систему или через мобильные телефоны клиентов.

- Свежий пример. Существует огромный международной банк, который работает по всему миру. Он очень старый, опыт борьбы с хакерскими атаками — огромный. Но у него есть два центра влияния: департамент безопасности и департамент бизнеса.

Две эти силы столкнулись, и безопасность дала слабину: одна из программ по привлечению новых клиентов ослабила защищенность всей системы.

Смысл в том, что удобство для клиентов превратилось в удобство для хакеров. В системе появилась уязвимость, через которую хакеры смогли выгружать данные. Здесь, как в борьбе брони и снаряда — преимущество находится то у одного, то у другого.

- Представим ситуацию. Большой банк с большим количеством отделений в разных стран. Один из сотрудников обнаружил утечку. Он мог заметить что-то подозрительное на своём рабочем месте или узнать о сливе из СМИ. Об утечке докладывают в главный офис, а руководство поручает команде из службы безопасности разобраться в инциденте. Команда проводит внутреннее расследование. Причин утечек может быть множество: ошибка в системе, действия обиженного сотрудника, хакерская атака. Когда службе безопасности не удаётся выяснить причины инцидента, приглашают эксперта. 

Специалист по кибербезопасности прилетает на место происшествия. В банке собирается так называемая «ситуационная комната» по расследованию. Состав участников комиссии зависит от местного законодательства. Туда обычно входят представители пострадавшего банка, центробанка и правоохранительных органов. Там же собирают всю информацию об инциденте и составляют специальные отчёты для всех заинтересованных инстанций. В Европе довольно жёсткая политика в отношении персональных данных, GDPR. По закону европейский банк в течение 72 часов обязан уведомить банковский регулятор об инциденте.

Если нам удаётся обнаружить компьютер, с которого произошла утечка, его опечатывают, фотографируют, изымают жёсткие диски. Все вещдоки передают правоохранительным органам. В конце составляется финальный отчёт с рекомендациями, как предотвратить подобные ситуации. Копию отчёта получает и регулятор, который передаёт его другим банкам во избежание схожих проблем.

- Наша основная цель — разобраться в конкретном инциденте: как, когда и с какого компьютера произошёл слив. Дальше банк сам решает, что делать. На его решение влияет размер бюджета, политика безопасности, конкретные решения руководства, советы центробанка.

Бывают ситуации, когда человек самостоятельно находит информацию о себе и своей банковской карте в сети. В таком случае он может написать в банк заявление на перевыпуск карты.

По закону многих стран банки обязаны уведомлять клиентов об утечках информации. Они сами оплачивают замену карт или страхуют риски, что данные будут использованы в незаконных целях. 

- В 2019 году у нас резко увеличилось количество выездов по данному вопросу. Это связано с тем, что злоумышленники научились монетизировать данные. Утечки случались и раньше, но проблема не была масштабная. За последний год они научились активно использовать обзвоны и методы социальной инженерии. 2019-й можно смело назвать годом социальной инженерии.

- Да. Но в разных странах она имеет национальные особенности. 

Например, европейские банки получают за утечки огромные штрафы. Поэтому злоумышленники шантажируют банки и требуют выкуп, угрожая публикацией персональных данных клиентов.

В некоторых странах идёт охота не за физическими, а за юридическими лицами. Мошенник звонит бухгалтеру компании, представляется одним из руководителей и просит срочно перевести деньги с текущего счёта на другой. Испуганный бухгалтер делает перевод с корпоративного счёта, и деньги исчезают.

В России и Беларуси больше всего распространён массовый обзвон по телефонным номерам клиентов того или иного банка. Цель — выведать у слабо информированного человека дополнительную информацию о его счетах и убедить его провести транзакцию. 

- Пытаются защищаться. Но всё зависит от конкретного инцидента. Например, чтобы избежать подделок преступниками номеров колл-центра, банки заключают прямые договоры с сотовыми операторами, закрепляя определённый номер только за собой.

Чтобы вывести на чистую воду неблагонадёжного сотрудника, в банковских базах создаются специальные приманки с лакомой информацией для мошенников. При попытке получить доступ к этой информации служба безопасности сразу отреагирует. Для защиты от хакерских атак банки выделяют дополнительные бюджеты, закупают специальное оборудование и программы.