Утечка персональных данных: кто за этим стоит и каковы их мотивы?

Утечка персональных данных – бич современности, который становится все более и более опасным с каждой последующей разработкой, ведущей человечество в лоно цифровых хранилищ. И если еще 15 лет назад, максимум что могло оказаться в свободном доступе – это номера мобильных телефонов и адреса электронной почты, то сегодня, в тот момент, когда большинство личных данных хранится в цифровом виде, мошенникам вполне могут достаться паспортные данные, адреса места жительства, прописки и даже платежные реквизиты, которые можно будет использовать без ведома владельца.

В связи с этим, а также на фоне внедрения практики повсеместного использования цифровой подписи, в современном мире проблема утечек личных данных встала наиболее остро.

А с чего все началось?

Аналитический центр InfoWatch в 2018 году сообщил о 270 случаях утечки конфиденциальной информации из различных компаний и организаций, при этом почти 40% пришлось на государственные и муниципальные организации.

Основной причиной таких инцидентов названа халатность персонала организаций и его  неграмотность в вопросах информационной безопасности, на долю которых пришлось почти 80% случаев. И лишь немногим больше 20% инцидентов произошло из-за внешнего вмешательства. Причем, согласно оценкам экспертов, эти внешние вмешательства были удачны только в небольших компаниях, например, микрофинансовых организациях, которые не могут себе позволить собственных разработок в сфере информационной безопасности или внедрения в свою цифровую инфраструктуру ПО других IT-компаний. Что уж тут скрывать, большинство из таких организаций и не ставят перед собой такие задачи.

В 2019 году о массовых утечках, вроде бы, забыли, но не тут то было. Гром грянул летом, когда Альфа-Банк, по праву гордящийся одной из лучших команд в сфере разработки программного обеспечения, упустил в сеть базу данных почти в 55 тыс пользователей. Кроме того, вместе с клиентами Альфа-Банка в сети оказались данные пользователей компании Хоум Кредит Финанс (ХКФ) и ОТП-банка.

Выявившая тогда утечку IT-компания DeviceLock сообщила, что в общей сложности в открытый доступ утекли личные данные  почти 1 млн. пользователей. Причем, помимо банковской информации, в «утекших» базах содержались номера мобильных, рабочих и домашних телефонов, адреса проживания и места работы а так же паспортные данные.

Виновниками же назначили бывших сотрудников IT-сектора Альфа-Банка, в котором осенью 2014 года произошло массовое обновление. Вот только вопрос, почему данные, помимо устаревшей информации, содержат еще и свежие сведения – так и остался без ответа.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, она же Роскомнадзор, в июне 2019 года только громко пожурила «виновников торжества», так и оставив инцидент без должного внимания и расследования. О чем все «игроки» пожалели уже к середине сентября.

Сезон массовых утечек

Вторую декаду сентября, впрочем как и сезон массовых утечек, открыла компания Дримкас, которая 16 сентября 2019 года потеряла в сети личные данные сразу 14 млн. наших сограждан. Масштаб трагедии осложнялся тем, что Дримкас – одна из ведущих российских компаний, которая предлагает решения по автоматизации торговли и бизнеса, то есть поставляет онлайн-кассы, фискальные регистраторы, и другую бизнес периферию.

На этот раз в сети оказались фискальные данные, прайс-листы предприятий и информация о заключенных сделках. Кроме того, не повезло пользователям мобильного приложения «Покупай-ка», которые «поделились» со всем миром своими номерами мобильных телефонов и домашними адресами.

Дримкас «отбрехались» мифической атакой на сервера, и, несмотря на критику специалистов из DeviceLock, которые во всеуслышание заявляли о неправдоподобности версии, «ушли в туман», но не надолго.

23 сентября инцидент повторился, а количество потерянных данных выросло до 76 млн. DeviceLock с гордо поднятой головой продемонстрировали всем желающим находящийся в открытом доступе в течение недели «Дримкас-кабинет», из которого и можно было получить информацию.

К началу октября специалисты по информационной безопасности всех компаний трудились в поте лица выискивая дыры и погрешности в своих системах, однако это не сработало и 3 октября о массовой утечке данных более чем 60 млн. пользователей сообщил уже Сбербанк, который к своему удивлению нахошел на одном из закрытых форумов предложение о продаже собственной базы владельцев кредитных карт.

Правда, после изучения базы, оказалось, что актуальных данных там всего 18 млн, а не 60 и все «выдохнули», так и не поняв каким образом реестр оказался в свободной продаже. Однако, эксперты сошлись во мнении, что база представляет собой выгрузку одного из серверов, на котором Сбер хранит данные о клиентах. При этом Сбербанк, как и ранее Дримкас, во весь голос заявляет о невозможности доступа к системе извне, тем самым подтверждая версию об умышленном сливе информации действующим сотрудником банка.

Спустя еще неделю эпопея продолжается и 20 октября об утечке сообщает уже небольшая микрофинансовая организация GreenMoney, потерявшая в интернете около миллиона кредитных историй своих пользователей. И в этот раз причиной становится, якобы, ошибка в конфигурации сервера, из-за которой данные были некоторое время доступны для скачивания. Но ясности снова никакой…

Как и в 2018-м, последним, 5 ноября, пал Альфа-Банк, потери которого составили данные около 7 тыс. клиентов. Однако, как уже говорилось выше, обладая одним из самых мощных отделов безопасности, Альфа-Банк быстро выявил, что причиной утечки мог стать только человеческий фактор. А спустя всего сутки, специалисты Лаборатории Касперского наконец-то установили причину творящегося хаоса.

А ларчик просто открывался

История не имеет сослагательного наклонения, но если бы тогда, еще в середине сентября все обратили внимание на показанный спецами из DeviceLock открытый доступ в корпоративную систему Дримкас, возможно, ничего бы и не произошло. Однако один момент отвлек всех от этой демонстрации.

Буквально на следующий день после утечки из Дримкас, о хакерской атаке на свой портал сообщила Федеральная служба государственной статистики – Россттат, в которой утверждали, что работоспособность сайта была нарушена из-за многочисленных DDoS-атак. Это и послужило ложным следом для всех информационных безопасников.

На самом же деле, DDoS-атаки на государственные и муниципальные порталы – дело регулярное. А значит, можно утверждать, что речь идет о разных группах злоумышленников, одна из которых терроризировала государственные порталы, с неизвестными нам целями, а другая – целенаправленно охотилась за личными данными.

Думать именно о таком развитии событий позволяет заявление специалистов из Лаборатории Касперского, в итоге, определивших причину массовых утечек. И если им верить, то механизм во всех случаях был абсолютно одинаков и заключался в одной из разновидностей социальной инженерии, основанной на незнании пользователями основ сетевой безопасности. Да, речь идет именно о фишинговых атаках*.

Сотрудникам банков и крупных корпораций просто разослали «обязательное» тестирование для прохождения очередной аттестации, за хорошие результаты которого полагалась вполне ощутимая денежная премия.

Не особо вчитываясь ни в адрес отправителя, ни в адресную строку браузера, сотрудники организаций регистрировались на фальшивых корпоративных порталах, тем самым предоставляя мошенникам доступ к своей служебной почте и корпоративным ресурсам, откуда и выкачивались данные.

Причем, ни одного сотрудника за все это время полученные письма не удивили, потому как в крупных компаниях различные аттестации проходят чуть ли не по несколько раз в месяц. В итоге, по оценкам экспертов, таким образом, было взломано несколько тысяч аккаунтов сотрудников, которые теперь необходимо «ликвидировать».

В конечном счете, основными жертвами стали финансовые организации, а причиной массовых утечек – пресловутый человеческий фактор. Кстати, еще в 2018 году эксперты компании InfoWatch «говорили» о том, что почти в 80% случаев в подобных утечках виноват именно рядовой сотрудник, халатно относящийся к своим обязанностям и абсолютно безграмотный в плане информационной безопасности.

Можно ли назвать все произошедшее одной цепью событий, за которыми стоит организованная группа? Конечно же да, но только косвенно. В момент, когда ничего не подозревающие сотрудники стали массово пользоваться фишинговыми ссылками, а в прессу начала просачиваться информация о первых утечках, никто не мешал нечистым на руку работникам поиметь с этого свой гешефт. Хотя бы потому, что они и так этим занимались, а тут такой момент «увести» базы для продажи, ведь они знают им цену.

Такие базы данных пользуются высоким спросом у околокриминальных сегментов серого интернета, в том числе хакеров и телефонных мошенников, а также неплохо продаются всевозможным рекламным агентствам, маркетинговым компаниям, другим финансовым организациям и даже некоторым редакциям. Стоимость таких баз, в зависимости от их актуальности, полноты представленной в них информации, количества строк, как правило начинается от нескольких тысяч долларов.

С другой стороны, видеть в этом спланированную акцию, уши которой торчат откуда то из рядов организованной преступности – точно не стоит. Скорее, ситуация напоминает обычный снежный ком, громко катившийся по склону и увлекающий за собой все, что можно было увлечь. При этом преследуя самые банальные мотивы – получение личных данных, которые вполне можно конвертировать в кэш.

*Фи́шинг (анг. phishing от fishing «рыбная ловля, выуживание») — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователя – его логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.