Сергей Голованов. Ведущий антивирусный эксперт «Лаборатории Касперского». Занимается расследованием киберинцидентов в банковской сфере и случаев кибершпионажа. Специализируется на безопасности встраиваемых систем, угрозах для macOS и Unix, ботнетах и анализе деятельности преступных группировок.
Банки обращаются к нам, когда необходимо выяснить, откуда произошла утечка. Если виноват сотрудник, внутренняя служба безопасности банка, как правило, сама находит злоумышленника. Когда же причиной утечки стал несанкционированный доступ к системе третьих лиц (случаи хакерских атак на внутрибанковские системы или карты клиентов), банк часто обращается за помощью к специалистам по кибербезопасности.
- То есть банки часто пытаются справиться с утечками собственными силами?
- Да, каждый банк проводит внутреннее расследование. Когда оно заходит в тупик, банк приглашает сторонних экспертов. Далеко не о всех утечках становится известно публично.
- Как мошенники используют полученные данные?
- Существуют две наиболее распространённые схемы:
Мошенники в даркнете продают за определённую сумму информацию о конкретном клиенте банка. Чаще всего такие данные сливают неблагонадёжные сотрудники банков.
Преступники продают целые базы данных с информацией о большом количестве карт клиентов того или иного банка. За утечками баз данных обычно стоят хакеры. Такая схема известна давно — с тех пор, как в конце 90-х люди стали отказываться от наличных денег. Уже тогда злоумышленники создавали подпольные рынки для продажи информации о банковских картах. Одному банку сложно бороться с такой проблемой, ему на помощь приходит и центральный банк, и международные платёжные системы.
Тенденция последнего года — использовать персональные данные для обзвона клиентов, чтобы с помощью социальной инженерии выведать ключевую информацию для получения доступа к деньгам жертвы.
Ещё пять лет назад такие методы мошенничества сложно было представить, а в 2019 году они стали обретать массовый характер. ФИО, телефонный номер, данные паспорта — всё это используют для того, чтобы войти в доверие к жертве и выведать ключевую информацию для доступа к счёту.
«Мошенники собирают данные из подарочных сертификатов»
В целом существует три основных пути, по которым мошенники получают доступ к персональным данным:
— Сотрудничают с работником банка, который за деньги передаёт информацию о своих клиентах.
— Узнают данные через сторонние агрегаторы. Агрегаторы собирают информацию из подарочных сертификатов и анкет, которые заполняют посетители магазинов. В таком случае банк даже может не знать об утечке данных своих клиентов.
— Хакерские атаки. Могут проникать напрямую в банковскую систему или через мобильные телефоны клиентов.
«Удобство для клиентов превратилось в удобство для хакеров»
- Банки — большие организации с серьёзными финансовыми возможностями. Неужели до сих пор они не могут разработать системы защиты, недоступные для хакеров?
- Свежий пример. Существует огромный международной банк, который работает по всему миру. Он очень старый, опыт борьбы с хакерскими атаками — огромный. Но у него есть два центра влияния: департамент безопасности и департамент бизнеса.
Две эти силы столкнулись, и безопасность дала слабину: одна из программ по привлечению новых клиентов ослабила защищенность всей системы.
Смысл в том, что удобство для клиентов превратилось в удобство для хакеров. В системе появилась уязвимость, через которую хакеры смогли выгружать данные. Здесь, как в борьбе брони и снаряда — преимущество находится то у одного, то у другого.
- Предположим, банк «потерял» данные клиентов. Своими силами справиться не удалось. Обратились за помощь к вам. Что дальше?
- Представим ситуацию. Большой банк с большим количеством отделений в разных стран. Один из сотрудников обнаружил утечку. Он мог заметить что-то подозрительное на своём рабочем месте или узнать о сливе из СМИ. Об утечке докладывают в главный офис, а руководство поручает команде из службы безопасности разобраться в инциденте. Команда проводит внутреннее расследование. Причин утечек может быть множество: ошибка в системе, действия обиженного сотрудника, хакерская атака. Когда службе безопасности не удаётся выяснить причины инцидента, приглашают эксперта.
Специалист по кибербезопасности прилетает на место происшествия. В банке собирается так называемая «ситуационная комната» по расследованию. Состав участников комиссии зависит от местного законодательства. Туда обычно входят представители пострадавшего банка, центробанка и правоохранительных органов. Там же собирают всю информацию об инциденте и составляют специальные отчёты для всех заинтересованных инстанций. В Европе довольно жёсткая политика в отношении персональных данных, GDPR. По закону европейский банк в течение 72 часов обязан уведомить банковский регулятор об инциденте.
Если нам удаётся обнаружить компьютер, с которого произошла утечка, его опечатывают, фотографируют, изымают жёсткие диски. Все вещдоки передают правоохранительным органам. В конце составляется финальный отчёт с рекомендациями, как предотвратить подобные ситуации. Копию отчёта получает и регулятор, который передаёт его другим банкам во избежание схожих проблем.
Злоумышленники научились монетизировать данные о клиентах банков
- Допустим, банк с вашей помощью нашёл источник утечки. Но данные ведь уже «утекли» в сеть. Возможно заблокировать доступ к ним или отследить мошенников?
- Наша основная цель — разобраться в конкретном инциденте: как, когда и с какого компьютера произошёл слив. Дальше банк сам решает, что делать. На его решение влияет размер бюджета, политика безопасности, конкретные решения руководства, советы центробанка.
Бывают ситуации, когда человек самостоятельно находит информацию о себе и своей банковской карте в сети. В таком случае он может написать в банк заявление на перевыпуск карты.
По закону многих стран банки обязаны уведомлять клиентов об утечках информации. Они сами оплачивают замену карт или страхуют риски, что данные будут использованы в незаконных целях.
- В последнее время случаев утечек персональных данных действительно стало гораздо больше?
- В 2019 году у нас резко увеличилось количество выездов по данному вопросу. Это связано с тем, что злоумышленники научились монетизировать данные. Утечки случались и раньше, но проблема не была масштабная. За последний год они научились активно использовать обзвоны и методы социальной инженерии. 2019-й можно смело назвать годом социальной инженерии.
- Это мировая история?
- Да. Но в разных странах она имеет национальные особенности.
Например, европейские банки получают за утечки огромные штрафы. Поэтому злоумышленники шантажируют банки и требуют выкуп, угрожая публикацией персональных данных клиентов.
В некоторых странах идёт охота не за физическими, а за юридическими лицами. Мошенник звонит бухгалтеру компании, представляется одним из руководителей и просит срочно перевести деньги с текущего счёта на другой. Испуганный бухгалтер делает перевод с корпоративного счёта, и деньги исчезают.
В России и Беларуси больше всего распространён массовый обзвон по телефонным номерам клиентов того или иного банка. Цель — выведать у слабо информированного человека дополнительную информацию о его счетах и убедить его провести транзакцию.
- Учитывая масштаб проблемы, что делают банки, чтобы предотвратить утечки и манипуляции с данными клиентов?
- Пытаются защищаться. Но всё зависит от конкретного инцидента. Например, чтобы избежать подделок преступниками номеров колл-центра, банки заключают прямые договоры с сотовыми операторами, закрепляя определённый номер только за собой.
Чтобы вывести на чистую воду неблагонадёжного сотрудника, в банковских базах создаются специальные приманки с лакомой информацией для мошенников. При попытке получить доступ к этой информации служба безопасности сразу отреагирует. Для защиты от хакерских атак банки выделяют дополнительные бюджеты, закупают специальное оборудование и программы.
