О чем пойдет речь

• Какие данные белорусов больше всего интересуют интернет-преступников?
• Откуда мошенники берут информацию?
• Кто торгует «на рынке»?
• Что утекает реже всего?
• Сколько стоят данные белорусов?
• Как долго «живут» украденные данные?
• Чем грозит потеря данных?
• Что делать?
• Вместо итога

Фраза «Кто владеет информацией — тот владеет миром» претерпевает трансформацию: вне зависимости от того, кто оказывается под ударом — обычный пользователь или компания, — основная цель злоумышленников остается банальной и прагматичной — деньги, а власть над миром уже вторична.

И потому уже на этом этапе можно обозначить основное правило: «Никому не рассказывать о деньгах».

Какие данные белорусов больше всего интересуют интернет-преступников?

Разрозненная информация интересует злоумышленников меньше, чем ее комплекты или, правильнее, «связки». Очевидно, что одного имени пользователя от, например, почты недостаточно, чтобы что-то с этим сделать. Мы и так регулярно «светим» своими адресами: на визитках, сайтах, документах, в переписках и так далее. Номер телефона сам по себе имеет более высокую ценность, в том числе потому, что другие сопутствующие ему данные добыть проще, чем пароль от того же имейла.

Для злоумышленников, поясняет начальник отдела кибербезопасности А1 Александр Турло, интересны такие связки «обычных» пользователей:

• ФИО, номер телефона и e-mail;
• логины и пароли от сервисов;
• информация о транзакциях или банковских продуктах;
• данные о поведении — где работает человек, с кем связан, чем интересуется.

Такие данные позволяют проводить точечные атаки — от банального фишинга до сложной социальной инженерии. Более того, наличие фрагмента необходимой мошенникам информации может стать начальной точкой для получения недостающих данных с помощью все той же социальной инженерии. Это достаточно трудоемкий процесс, потому на черном рынке ценятся именно готовые «досье», которые становятся мощным инструментом воздействия.

Набор из имени и фамилии, номера телефона и e-mail, например, уже позволяет провести фишинговую атаку на пользователя, иногда достаточно и двух первых пунктов. Актуальный пример их использования — мошеннические схемы с «заменой домофонов», «заменой счетчиков», «спасением банковских вкладов» и «декларированием сбережений».

Предлог для звонка может быть и другим, так как главное — привлечь внимание жертвы. Затем в дело вступает все больше действующих лиц, которые раскручивают ее, пугая потерей денег, уголовной ответственностью, в том числе в отношении близких людей. И не обязательно речь о «высоких технологиях»: в таких сценариях жертву могут вынудить вынести деньги и отдать «курьеру». В «бесконтактном» варианте — все то же самое, но ключом к деньгам становятся коды из SMS, с помощью которых мошенники авторизуют перевод средств.

В последнее время встречаются новости об атаках с помощью как будто одной лишь электронной почты и фишинговых сайтов. Алгоритм снаружи выглядит просто: потенциальная жертва получает письмо от поддельной структуры, выдающей себя за ГАИ или иное подразделение МВД (чего стоит выдуманная «Национальная служба дорожного движения Республики Беларусь»!) — якобы за нарушение ПДД или с информацией о неоплаченных штрафах.

В письме — информация о не существующем в реальности штрафе, необходимости срочно погасить «задолженность» и ссылка на фишинговый сайт. Традиционно пугают дополнительной ответственностью за промедление или отказ действовать по предложенному алгоритму. Переход по такой ссылке чреват последствиями: возможна потеря денег, причем без участия пользователя — в автоматическом режиме (например, со счета, привязанного к Apple Pay).

Любая дополнительная информация предоставляет новые способы манипуляций жертвой. Потому, например, возможны «разводы» от имени друзей, которые просят в долг, создание точек соприкосновения на каких-то интересах и так далее. Причем неважно, рядовой ли это пользователь или сотрудник компании, ставшей целью.

Ведь бизнес также становится целью и жертвой мошенников, кое в чем есть сходство с атаками на «обычных» пользователей, но имеются и отличия.

Злоумышленников интересуют:

• сотрудники с доступом к финансам (бухгалтеры, финансисты);
• IT-администраторы;
• корпоративные системы в целом, в том числе почта и VPN-доступы;
• платежные реквизиты и сведения о контрагентах;
• договоры и цепочки поставок.

Как поясняет наш эксперт Александр, это все то, что дает возможность вмешаться в финансовые процессы компании или получить доступ к ее инфраструктуре. В результате утечка может привести не просто к разовым потерям, а к полному параличу работы, штрафам и разрушению репутации — это и есть основное отличие от атак на «обычных людей», которые чаще теряют личные накопления, где последствия локализованы.

Откуда мошенники берут информацию?

В кино доступ к информации обычно представлен в формате хакерской атаки со множеством окутанных проводами мониторов и с беспорядочным клацанием по клавиатуре. Однако в реальности картина отличается, чаще, по словам Александра Турло, это:

• утечки из баз данных сервисов, интернет-магазинов, банков, государственных систем;
• фишинговые письма и сообщения;
• звонки от «службы безопасности»;
• сбор информации из открытых источников (соцсети, сайты);
• атаки через подрядчиков (так называемые «supply chain атаки», атаки на цепочку поставок);
• вредоносные программы, которые воруют пароли и cookies.

На практике чаще злоумышленники не взламывают систему, а получают доступ через слабое звено — человека.

Это может быть многоэтапный процесс, который начинается с утечки данных от личной почты, в которой, например, сохранены имя пользователя и пароль от корпоративной сети. Либо отправка сообщения на рабочую почту с очередным требованием «срочно сменить пароль» (само собой, указав «старый»).

Также мы нередко слышим истории о письмах и сообщениях в мессенджерах от «руководителей»: они могут попросить «напомнить» или передать важную информацию, которую затем используют для доступа ко внутренней инфраструктуре. А то и просто требуют перечислить деньги на «специальный счет». Аналогично мошенники действуют от имени служб безопасности — не только вашей компании, но и сторонней организации.

Есть и вариант классических дыр в кибербезопасности: слабые пароли, незакрытые уязвимости программного обеспечения или излишняя открытость информационных систем извне. Например, это может быть незашифрованная клиентская база, подключенная напрямую к интернет-магазину на каком-нибудь базовом движке. Или компания ведет избыточный сбор данных о пользователях (что само по себе нарушение), не обеспечивая ее должную защиту (и это тоже наказуемо).

И не исключены ситуации, когда сотрудники компаний без участия киберпреступников «выносят» важную информацию вовне: например, пересылают по почте или через мессенджеры базы данных, хранят их на общедоступных сервисах обмена файлами.

Чуть более сложные с точки зрения среднего пользователя схемы включают атаки на цепочку поставок: компания заказывает тот же интернет-магазин, исполнитель создает его, в том числе на аутсорсе, однако из-за низкой компетенции или вследствие атаки интегрирует изначально скомпрометированный продукт — он становится точкой входа в как будто защищенную IT-инфраструктуру. И, наконец, вредоносное ПО, ворующее пароли и системные файлы, которые помогают обойти системы безопасности.

Кто торгует «на рынке»?

Роли четко распределены, это развитая индустрия, говорит эксперт А1:

• одни группы добывают доступы,
• другие проводят атаки,
• третьи агрегируют базы,
• четвертые продают данные,
• пятые используют их для мошенничества.

В первую и вторую группы можно записать условных хакеров, которые добывают информацию прямыми действиями, взламывая информационные системы или находя в них бреши. Это могут быть как квалифицированные IT-специалисты, так и «мамкины хакеры», использующие доступные средства взлома без понимания принципов их работы.

Брокеры данных собирают полученную информацию воедино — в те самые «комплекты» или досье, а затем передают их продавцам или сбывают базы самостоятельно последнему звену — мошенникам.

Практически на каждом этапе есть обходные пути, снижающие порог входа в индустрию, что и приводит к натуральным эпидемиям киберпреступлений: в даркнете можно найти программы или специализированные сервисы для «работы», в аренду сдают программы-вымогатели, фишинговые платформы и так далее.

Что утекает реже всего?

Пойдем от обратного: чаще утекает та информация, которую проще монетизировать, потому не все данные, даже если они кажутся важными, будут востребованы. Кроме того, некоторые типы информации защищают особенно тщательно. И наконец, некоторые типы данных сложно использовать с технической точки зрения. Потому, по словам эксперта, реже всего в утечках встречаются:

• полные данные банковских карт вместе с CVV;
• биометрические данные в «рабочем» виде;
• информация без контекста (например, только один e-mail).

В случае с банковскими картами самый «простой» способ получить весь комплект — фамилию и имя, номер, дату окончания действия и CVV — физический доступ к карточке. Причина в том, что CVV хранить после проведения транзакции обычно запрещено, а вся информация о карте тщательно шифруется.

Кроме того, онлайновые платежи требуют ввода дополнительного проверочного кода из СМС в рамках многофакторной аутентификации. По этой причине мошенники связываются с жертвами напрямую и «ведут» их до проведения платежа, попутно выуживая недостающую информацию с помощью задушевных бесед, фишинговых сайтов или программ удаленного доступа, получая с их помощью те самые имя и фамилию, номер, дату окончания действия карты и CVV.

Биометрические данные, в свою очередь, не только шифруются, но еще и оптимизированы для работы в конкретном сервисе: обычно нельзя скопировать данные лица или отпечатков пальцев для универсального применения, ведь это не реальное фото лица или рисунка подушечки пальцев. Да и слишком затратно для мошенников, особенно на фоне других доступных способов. По крайней мере, пока что.

Информация без контекста мало кому нужна. Вы можете отдать мошенникам номер своего телефона, но без дополнительных данных это бесполезный набор цифр. А вот если предпринять усилия, идентифицировать человека, собрать о нем всю подноготную и заставить поверить в срочную замену домофона…

Сколько стоят данные белорусов?

Александр из А1 не берется называть точные цифры, в данном случае будем оперировать понятием «ценность», а не «стоимость». И она зависит от качества и полноты информации:

Для физических лиц:

• контактные данные (например, e-mail и телефон) оцениваются значительно ниже, чем расширенные профили с дополнительной информацией;
• полный профиль пользователя представляет ощутимо большую ценность, чем отдельные фрагменты данных;
• доступ к финансовым аккаунтам относится к наиболее высоко оцениваемым категориям.

Для компаний:

• доступ к корпоративной почте может иметь существенную ценность в зависимости от уровня доступа и роли сотрудника;
• доступ к внутренней инфраструктуре организации является одной из самых ценных категорий данных.

При этом действует общее правило: чем больше объем данных, тем ниже удельная стоимость единицы (это привычный опт), однако суммарная ценность таких массивов остается высокой, поясняет эксперт. Также на оценку сильно влияет страна происхождения и потенциальная применимость этих данных.

И потому важен еще один аспект.

Как долго «живут» украденные данные?

Данные быстро устаревают, однако это не повод расслабляться, даже устаревшая информация часто используется повторно — например, для массовых попыток входа или фишинга.

• ФИО меняются очень редко;
• электронная почта и телефон могут использоваться годами и десятилетиями;
• пароли актуальны от нескольких дней до месяцев (и давайте признаемся — бывает, что бесконечно долго);
• банковские данные — часы или дни;
• корпоративные доступы — часы или недели.

С первым пунктом все очевидно, со вторым — люди обычно заводят и номер телефона, и почту, если это не корпоративные данные, «навсегда». Потому слитые базы с такой информацией остаются актуальными чрезвычайно долго, а в привязке к ФИО их ценность растет.

Пароли мы тоже меняем редко — обычно когда уже петух клюнул: например, мы узнали, что тайное сочетание символов уже не такое и тайное или сервис потребовал сменить пароль по каким-то еще причинам. Таким образом, утекший пароль ценен до момента, когда станет известно, что он скомпрометирован, либо есть предположение, что он регулярно меняется. Наличие двухфакторной аутентификации заметно снижает ценность паролей даже в связке с именем пользователя, когда речь о конкретном сервисе (однако остается брешь в виде одинакового пароля «для всего»).

Банковские данные могут быть актуальны до момента, когда возникнет опасение, что они скомпрометированы; многое зависит от поведения владельца карты, антифрод-системы банка и активности мошенников.

Грамотно выстроенная корпоративная система так же, как и банковская, имеет высокую степень защищенности, потому данные об уязвимостях в ней ценны, но имеют небольшой срок жизни.

Чем грозит потеря данных?

Прямо или опосредованно что обычные пользователи, что бизнес потеряют деньги — если утечка останется незамеченной, а взлом в том или ином виде случится. Однако когда «частник» рискует своими средствами или ресурсами, для бизнеса потери могут быть выше. Коротко последствия будут выглядеть так.

Для обычных пользователей:

• потеря денег;
• взлом аккаунтов;
• персонализированное мошенничество в перспективе.

Для бизнеса:

• прямые финансовые потери;
• остановка операций;
• утечка коммерческой тайны;
• штрафы и репутационные риски.

Что делать?

Есть набор базовых правил, которые позволят снизить риски:

Для пользователей:

• включить двухфакторную аутентификацию;
• использовать уникальные пароли;
• внимательно относиться к письмам и звонкам.

Отметим, что двухфакторная аутентификация является одним из наиболее эффективных доступных способов защиты: даже в случае, если пароль утек «на сторону», воспользоваться им для перехвата учетной записи той же почты не получится. А работает она по принципу проверочного кода при онлайн-платежах: пока не введена дополнительная комбинация символов или не нажата кнопка, процесс дальше ввода пароля не пойдет. Уникальные для разных сервисов пароли, в свою очередь, снижают вероятность взлома всех учетных записей за один присест.

Что касается звонков, сообщений и писем, можно вернуться в самое начало текста, к правилу «Никому не рассказывать о деньгах». Да и вообще ни о чем, особенно если от вас требуют чего-то очень быстро и пугают последствиями: всегда нужно остановиться, выдохнуть и перепроверить, позвонить другу, коллеге, да хоть тому же начальнику, который попросил срочно перечислить деньги на карту.

Для компаний важно:

• внедрять подход нулевого доверия при построении систем и сетей;
• контролировать доступы;
• проверять подрядчиков;
• обеспечивать постоянный мониторинг киберинцидентов (Центр кибербезопасности с режимом работы 24 на 7).

Подробней об алгоритмах для компаний вы можете прочитать в нашем другом материале.

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро

Перепечатка текста и фотографий Onlíner без разрешения редакции запрещена. ng@onliner.by