До этого в открытом доступе появилась подробная налоговая база ещё 20 миллионов граждан России
Не успел затихнуть скандал с появлением в интернете в открытом доступе базы с персональными налоговыми данными аж двух десятков миллионов граждан России, то есть приблизительно трети всего экономически активного населения страны, как грянул новый.
В Сети, на заблокированном в России специализированном сайте (в остальных государствах, где работают другие провайдеры, доступ к нему, впрочем, открыт), появилось объявление о продаже «свежей базы крупного банка». Речь, как сообщают эксперты, идёт о 60 млн кредитных карт Сбербанка — как уже закрытых, так и действующих.
Как сообщил «Коммерсанту» основатель компании DeviceLock Ашот Оганесян, «это самая большая и подробная банковская база данных, которая когда-либо попадала с чёрного рынка, и размах действительно поражает. До этого, напомним, стало известно о том, что в течение целого года в интернете находилась огромная база данных с налоговыми сведениями миллионов граждан РФ. Причём владелец её находится на Украине.
И это вам даже не громкий прошлогодний скандал с утечкой информации о 50 млн пользователей Facebook. Помните? Тогда история вызвала целый международный скандал, потому что в дело, как это водится в США, вмешали политику, утверждая, что эти сведения повлияли на президентскую кампанию Трампа. Марк Цукерберг факт нехотя признал и пообещал усилить меры безопасности в своей соцсети.
Сбербанк утечку признал. ФНС причастность к сливу отрицает
Фото: Zamir Usmanov/Globallookpress
Сбербанк утечку признал, правда, не в тех масштабах, о которых сообщают расследователи:
Вечером 2 октября 2019 года Сбербанку стало известно о возможной утечке учётных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка. В настоящий момент производится служебное расследование, и о его итогах будет сообщено дополнительно. Основная версия инцидента — умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу её изолированности от внешней сети. Похищенная информация в любом случае никак не угрожает сохранности средств клиентов.
То есть всё-таки с большой долей вероятности это «проделки» кого-то из тех, кто имел доступ к секретной банковской информации.
А вот с данными граждан России получилось иначе: в Сети оказались, по утверждению британской исследовательской компании Comparitech, фамилии и имена, адреса, номера паспортов, организации, в которых они трудятся, телефоны, ИНН и суммы уплаченных налогов.
Эксперты не исключают, что если это добро попало в распоряжение злоумышленников, то они могут воспользоваться им для проведения всевозможных афер, включая, в частности, фишинговые атаки (это выманивание пин-кодов, паролей и прочих секретов), открытое хищение денег со счетов, ну и, само собой, получения доступа к прочим персональным данным.
В Федеральной налоговой службе между тем полагают, что опубликованный расследователями материал вполне тянет на провокацию.
Проверить подлинность якобы утёкших данных и существование ресурса, указанного в статье, невозможно в связи с отсутствием на него ссылки. Информация, изложенная в статье, может являться провокацией. ФНС России уже направила официальное письмо об инциденте в Организацию международного сотрудничества и развития,
— заявили в ФНС.
Фото: eleonimages / Shutterstock.com
Как отмечают в налоговом ведомстве, ни формат, ни структура данных, описанных в публикации, не соответствуют тому, как всё это хранится в реальных базах данных службы, а часть из них и вообще не имеет отношения к налоговой сфере.
Кто за этим стоит: украинские спецслужбы или хакеры?
История, впрочем, действительно выглядит в определённой мере странной. Сам Comparitech признаёт, что они не знают, кто именно владел этой базой. Точно известно лишь, что он дислоцируется на Украине. А вообще, саму утечку обнаружил независимый специалист в области кибербезопасности по имени Боб Дьяченко, обнаруживший эту базу в середине сентября, после чего он сообщил об этом владельцу, и уже через три дня доступ к ней был закрыт.
Как контактировал Дьяченко с собственником столь ценной информации, почему она вообще оказалась на Украине, и кто в принципе ей владел и по какому праву?
Раз речь в публикации идёт о двух больших группах наших сограждан (в первой — данные 14 миллионов за 2010-2016 годы, во второй — данные 6 млн человек за 2009-2015 годы), значит, было как минимум две передачи информации,
— рассуждает IT-специалист Василий Черкасов, занимающийся разработкой систем безопасности.
«По всей видимости, утечки (если всё так, как указывают авторы) — это не просто утечки, а сливы, то есть перепродажа сведений, похищенных хакерами или же проданных кем-то изнутри ведомств. То, что ФНС отрицает свою причастность к утечке, логично, и, в общем-то, вполне может быть, что информация реально ушла не от них, а, например, из банковской сферы — кредитных клиентов, там ведь требуется примерно такой же набор личных сведений о человеке», — уточнил эксперт.
По словам Черкасова, тот ресурс, на котором вроде как находилась информация, — это, по сути, поисковик, использующий технологию облачного сервиса, с его помощью осуществляется сбор данных и их обработка для пользователей, желающих получать статистику и аналитику по заданным ими параметрам.
А попасть на ту же Украину — хотя, по большому счёту, вообще не важно, в какой именно стране находится собственник, и я вполне допускаю совпадения — база персональных данных могла путём копирования для дальнейшей перепродажи, — продолжил экспрет. — В принципе, можно поискать и конспирологические версии типа работы украинских спецслужб, но, полагаю, они действовали бы тоньше.
Фото: Andrey Nekrasov/Globallookpress
Здесь, предполагает он, всё больше похоже на методы хакеров, поставляющих украденные базы для так называемого Даркнета, теневой стороны всемирной паутины, где происходят незаконные сделки. А Украина как место дислокации владельца могла быть выбрана по одной весомой причине — ввиду отсутствия взаимодействия между правоохранительными органами на межгосударственном уровне.
Как воруют базы данных и чем это грозит тем, кто в них оказался
На самом деле, каждый желающий хоть сию секунду может поэкспериментировать: задать в поисковике фразу «купить базу персональных данных» и в ответ получить обширный перечень торговцев информацией. Есть и группы в социальных сетях, которые уже в своём названии указывают на то, что они занимаются именно этим. Некоторые пользователи скрываются под псевдонимами, а иные действуют вполне открыто.
Вот, допустим, буквально сегодня в одном из таких пабликов появилось сообщение, размещённое некоей Еленой из Санкт-Петербурга:
«Каждый день — свежие выгрузки вновь зарегистрированных ООО и ИП из ФНС, а также различные базы, банки, 2018-19 годы, физические и юридические лица, данные по КАСКО, ОСАГО, ВИП-персонам, ГИБДД, миллиардерам, операторам, провайдерам, должникам, состоятельным людям, их электронные адреса. Пишите в личных сообщениях. Обращайтесь я всегда на связи! Действуют гибкие скидки. Пишите, подберём любую базу по вашим критериям», — призывает 37-летняя жительница северной столицы.
Подобная смелость, однако, имеет своё логическое объяснение: в России нет как таковой уголовной или хотя бы административной ответственности конкретно за саму утечку — наказывается только нарушение требований к мерам безопасности, которые стали её причиной, и только.
Да, существует статья 137 УК РФ, предусматривающая до двух лет лишения свободы (для частного лица) за «Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну», вот только её применяют больше по отношению к должностным лицам или тем, кто выкладывает компромат, скажем, в интернете. И главный момент — должен быть пострадавший, то есть тот, против кого совершено преступление, — объясняет наш эксперт Василий Черкасов. — А где он, этот субъект в конкретном случае? Его нет. К тому же все эти ребята используют «облачные сервисы», которые как раз и регистрируются где угодно. Хотя при желании, думаю, наши правоохранители могли бы открыть несколько сотен уголовных дел и провести «контрольные закупки». Другой вопрос, что это серьёзные заморочки, сбор доказательств и прочее.
Он не сомневается, что за сливами нередко стоят бывшие или действующие сотрудники «ответственных хранителей» — структур, занимающихся сбором персональных данных.
Фото: Jochen Tack /Globallookpress
Теперь о том, чем может грозить попадание к злоумышленникам этих сведений.
Это при наличии такого набора, приводится в публикации Comparitech, позволяет аферистам оформить кредит в банке или микрофинансовой организации, нагрузить чужими долгами или даже зарегистрировать фирму, совершать нелегальные сделки по недвижимости, получить доступ к банковским картам и счетам, регистрироваться на различных сайтах, например, для онлайн-игр, шантажировать, делать подставы от имени жертвы, ну и наиболее часто случающееся — навязывать услуги или действовать по схеме упоминавшегося выше фишинга.
Понятно, что каждая из схем требует проработки и привлечения дополнительных ресурсов и информации, но если игра стоит свеч, разве кто-то в состоянии гарантировать, что такого не произойдёт, верно?
Кстати
За рубежом к теме утечки персональных и платёжных данных относятся очень серьёзно. По данным доклада компании InfoWatch, в 2017-м было зафиксировано почти четыре десятка таких случаев, за которые государственные и коммерческие структуры заплатили около $45 млн в виде штрафных санкций, а в 2018-м число выявленных инцидентов выросло почти в полтора раза, и объём наказаний в денежном эквиваленте поднялся уже до более чем $320 млн. При этом самым крупным инцидентом называется утечка персональных данных компании Uber, заплатившей $148 млн за «сбежавшие» налево сведения о свыше чем 57 миллионах клиентов и водителей.
Крупные случаи утечки данных в России в 2019 году
Апрель:
В Даркнете появилось предложение о продаже базы данных свыше ста тысяч бывших банковских клиентов, которым было отказано в обслуживании во втором полугодии 2017-го в соответствии с федеральным законом «О противодействии отмыванию доходов, полученных преступным путём, и финансированию терроризма»: и частным лицам, и индивидуальным предпринимателям, и компаниям.
Центробанк, который является государственным регулятором, отверг свою причастность к случившемуся. Тем не менее эксперты считают, что утечка произошла в цепочке контактов между ЦБ, банками и Росфинмониторингом.
Июнь:
Утечка данных почти миллиона клиентов из трёх крупных отечественных банков. Тогда в интернете оказались в открытом доступе фамилии и имена, паспортные данные, телефоны, адреса регистрации и места работы.
Есть версия, что слить информацию могли уволенные сотрудники одной из этих кредитно-финансовых организаций, а остальные две выступали в качестве её партнёров.
Сентябрь:
На чёрном рынке выставлена на продажу база данных по 60 млн кредитных карт Сбербанка, и такого хищения, утверждают эксперты, в России не было ещё никогда. Источником утечки, предполагает сам крупнейший государственный банк РФ, мог стать один из сотрудников.
Источник
25.12.2013, Ср, 17:12, Мск
, Текст: Антон Труханов
Украденные хакерами финансовые данные сегодня в изобилии представлены на черном рынке и продаются довольно дешево. Так, номера кредитных карт с CVV-кодами можно купить за $10–20, а архивы с личными данными стоят от $25.
Недавно группа исследователей в сфере кибербезопасности опубликовала новый отчет, в котором приводятся нынешние расценки хакеров на различные услуги, включая продажу украденных номеров кредитных карт, поддельные документы, DDoS-атаки и кражу личных данных. Данное исследование провели Джо Стюарт (Joe Stewart) из Dell SecureWorks и независимый эксперт Дэвид Шир (David Shear).
Основной вывод исследования – краденные личные данные и кибератаки стоят значительно дешевле, чем многие думают. Также эксперты отмечают, что со времени проведения предыдущего исследования в 2011 г. ситуация на «подпольном хакерском рынке» особенно не изменилась, а цены на некоторые услуги даже упали. В частности, теперь дешевле обходится приобретение данных банковских онлайн-аккаунтов и архивов с полными личными данными.
Архивы обычно включают такие персональные данные, как полное имя человека, его адрес, телефонные номера, адреса электронной почты, дата рождения, номер социального страхования, а также некоторая банковская информация, например логин от онлайн-банкинга. Если раньше такие архивы продавались на черном рынке за $40–60, то теперь их цена опустилась примерно до $25 в США и $30–40 за рубежом, отмечают исследователи. Основная причина такого падения цен – значительное увеличение предложения. На сегодня на черном рынке покупателям доступно намного больше украденных номеров карт и других личных данных.
При этом номера банковских карт сами по себе (включая и CVV-коды) продаются очень дешево. Так, кредитные карты США стоят около $10 и ниже, а за дополнительную плату можно получить и данные с магнитной полосы карты. Карты из других стран продаются дороже – около $20. В целом иностранные данные украденных банковских карт, аккаунтов и другая финансовая информация почти всегда заметно дороже по сравнению с такими же данными для банков в США. Исследователи не объясняют, чем это вызвано.
Также очень недорого можно купить данные логин-пароль от банковского онлайн-счета. Такая информация для счетов с балансом от $70 тыс. до $150 тыс. стоит около $300 или дешевле, в зависимости от банка и страны.
Помимо этого, недорого стоит и доступ к ботнетам. Так, за управление сетью в 1 тыс. зараженных вредоносным ПО компьютеров нужно заплатить около $20. Для 15 тыс. машин-ботов цена составляет $250.
Благодаря интернету мир стал глобальным, поэтому проблемы, которые есть у банков в Европе или США, в той же мере актуальны и для России, считает Андрей Грачев, директор департамента карточных и дистанционных технологий «Росбанка». «Для мошенников наибольший интерес представляют те данные клиентов банков, которые можно монетизировать с минимальным риском с учетом особенностей местного законодательства и полицейской практики. Распространение ботнетов – сетей зараженных вирусами компьютеров, управляемых из единого центра, – сделало возможным автоматизированный сбор определенных категорий данных, например реквизитов карт, используемых для оплаты в интернет-магазинах. В то же время массовое внедрение технологии безопасных покупок 3D Secure и смс-информирования существенно снизили ценность этих данных, так как в большинстве случаев несанкционировнную операцию по таким картам можно провести только один раз», – сказал эксперт.
«Эккаунты к системам ДБО физических лиц также в общем случае не представляют значительной ценности для мошенников, так как обычно банки требуют подтверждения операций перевода денежных средств дополнительными одноразовыми кодами. В случае же совершения нетипичных для клиента операций либо превышения установленного лимита на перевод банковские системы риск-мониторинга откладывают исполнение подобных транзакций до получения подтверждения от клиента способом, не связанным с использованием систем ДБО, например, через клиентского менеджера. Открытие счетов в банках – а без этого невозможно сделать перевод между счетами – при необходимости хорошо отслеживается правоохранительными органами. Именно поэтому те данные, которые доступны через интернет, так дешевы – их невозможно либо небезопасно эффективно монетизировать», – объяснил Андрей Грачев.
- Как запустить платформу дистанционного обучения по технологии Kubernetes на своих серверах за 30 мин?
Источник
Девушка по имени Виктория отправила мне свой прейскурант в личном сообщении на Discord: «Продажа счетов PayPal, кредитных карт и подарочных карт Amazon. Прайс-лист ниже. Пожалуйста, не связывайтесь со мной, если ваши намерения не серьезны. Могу предоставить доказательства и гарантии. Доступен возврат».
Каждая позиция предлагается с огромной скидкой на ее реальную стоимость. Подарочная карта предположительно на $200 стоит $25, на $1 тысячу — $80. Украденные кредитные карты предоставляются с «полной информацией о том, как их использовать, включая номера безопасности и CVV», «они могут применяться в ЕС, США или Великобритании».
Виктория говорит, что в большинстве случаев она берет предоплату в 50%. Выбрав нужный товар, клиент переводит 50% его стоимости на биткоин-кошелек девушки. После получения заказа, он отправляет оставшиеся деньги.
Discord была основана в 2015 году как платформа для общения геймеров в голосовых и текстовых чатах. Как и в Slack, любой пользователь может создать форум и пригласить в него кого угодно. За прошедшие годы Discord стала менее специализированной площадкой: в ней появились обсуждения всего на свете — от баскетбола до политики. Число пользователей по всему миру сейчас превышает 250 млн человек. В Discord нет обязательной проверки личности, а анонимность нередко привлекает опасную активность. В частности, есть доказательства, что некоторые пользователи совершают на Discord самые разные финансовые преступления.
Виктория, утверждающая, что ей 20 лет, говорит, что работает посредником для другого хакера, который активно действует в даркнете. По сути, ее задача заключается в доставке товаров хакера на рынок Discord. Итак, Виктория публикует объявления на форумах Discord с такими названиями, как Plug Central, House of Cards и E-Walmart, и все они заполнены подобными ей людьми, рекламирующими свои услуги.
При подготовке этого материала OneZero получил доступ к шести таким обсуждениям и поговорил с семью продавцами, работающими на черном рынке Discord. Хотя OneZero не смог проверить каждую описанную транзакцию, редакция общалась с лицами, которые предоставили доказательства своих незаконных покупок.
Брайан Кребс, эксперт по кибербезопасности, говорит, что этот вид мелких интернет-преступлений «слишком легок». «Вероятно, никогда раньше не было так много ресурсов, доступных тем, кто хотел бы заниматься этим видом мошенничества. И все большее число людей ежедневно заходит в интернет, не имея ни малейшего представления о том, насколько легко они могут стать жертвами киберпреступников», — отмечает Кребс.
На форумы Discord с крадеными картами можно попасть по приглашению в один клик, они находятся в таких каталогах, как Disboard, под тегами carding, dark web и black market. Виктория говорит, что Discord является идеальным местом для незаконной деятельности, потому что к нему легко получить доступ, и он сохраняет анонимность пользователей.
У каждого продавца, с которым общался OneZero, есть своя ниша на черном рынке Discord. Один из них специализируется на переводах PayPal: взломав учетную запись, он переводит деньги на новый фиктивный счет, а затем — на свой старый, более устоявшийся счет, что, по его словам, создает видимость законности транзакции. После этого он переводит деньги клиенту. «Нужно быть быстрым и делать перевод как минимум дважды», — объясняет он.
Как только владелец взломанного аккаунта восстанавливает свою учетную запись и сообщает об украденных средствах, PayPal берет возмещение с фиктивного счета, а не с того, где был завершен перевод, продолжает собеседник OneZero. Это, по его словам, дает фиктивному счету «отрицательный» баланс. «Владелец счета обычно получает свои деньги обратно. Так что все в порядке», — заключает продавец.
В ответ на запрос представитель PayPal сказал: «Безопасность информации и денег на счетах наших клиентов всегда является главным приоритетом для PayPal. Компания принимает все меры, в том числе сотрудничает с правоохранительными органами и отраслевыми партнерами, чтобы обеспечить безопасность учетных записей клиентов».
«[Мои клиенты] заинтересованы в покупке [этих услуг], но они не знают, как получить доступ к даркнету», — говорит собеседник OneZero в ответ на вопрос, почему он работает на Discord. Он также продает краденые подарочные карты и зарабатывает «около $2 тысяч в неделю». (По его словам, сейчас самым большим спросом пользуются именно подарочные карты, потому что «люди хотят их на Рождество».)
Другой продавец Discord называет себя «возместителем». Он утверждает, что звонит в компании наподобие Apple и убеждает их, что недавно купленный гаджет не пришел или пропал из коробки и требует вернуть деньги на счет своего клиента. С клиентов он, в свою очередь, требует фиксированную плату, а также базовые личные данные. «В большинстве магазинов вероятность возврата составляет от 85% до 99%», — утверждает он.
Один форум Discord полностью посвящен услугам по мошенническому возврату товаров в самые разные магазины. «Спасибо за заказ по Bloomingdale!» — гласит сообщение одного из предполагаемых клиентов, который добавил скриншот возмещения в размере $1639, которое, по его словам, он получил от гиганта розничной торговли.
Каждый продавец, с которым разговаривал OneZero, предупреждал, что покупка нелегальных товаров на Discord — опасная игра. Они отмечали, что обман клиентов является обычным явлением в этом бизнесе, — иногда продавцы забирают деньги, не предоставляя обещанный товар.«Мошенничество повсюду, есть целые форумы, предназначенные исключительно для поимки недобросовестных продавцов», — говорит Виктория.
Администраторы этих форумов отмечают, что пытаются внедрить системы проверки. Например, на одном из них есть два канала: для проверенных и непроверенных продавцов. Чтобы получить доступ к первому каналу, нужно пройти тщательную проверку, которую проводят администраторы. Хакеры также предоставляют гарантии — скриншоты с товарами, предыдущими продажами или положительными отзывами от клиентов — чтобы потенциальные покупатели знали, что их не обманут.
В Discord заявили, что они категорически против незаконной деятельности на своей платформе. Представитель компании подчеркнул, что Discord «быстро принимает меры, когда ей становится известно об этом, в том числе удаляет контент и учетные записи. Мы используем комбинацию проактивных и реактивных инструментов, чтобы удерживать деятельность, которая нарушает наши правила, за пределами платформы».
Но еще предстоит выяснить, насколько эффективны эти контрмеры на практике. Хакер, который якобы взламывает учетные записи PayPal, говорит, что, хоть он и был «забанен довольно много раз», он может загрузить витрину своего магазина с временным адресом электронной почты и новым именем пользователя за «пять минут».
Источник.
Фото на обложке: Glenn Harvey
Источник