Данные из банков утекают редко, но метко: опасность стать жертвой мошенников, получивших доступ к персональной информации, велика. Разбираем правила защиты.
Персональные данные — спорный термин. Под ним могут подразумеваться базы данных социальных сетей, списки сотрудников организаций, информация о клиентах интернет-магазинов и многое другое. И эти базы данных из разных компаний периодически «утекают».
В связи с этим у обычного человека возникают вопросы:
- Почему такие утечки случаются?
- Какая информация может «утекать»?
- Насколько эти утечки опасны для каждого из нас и что с этим делать?
Почему наши данные «утекают»
Утечки персональных данных из банков случаются намного реже, чем из небанковских организаций. Банки могут позволить себе ставить дорогостоящее программное обеспечение, которое сильно снижает риски утечек.Многие считают, что банки подвергаются только атакам извне и всему виной хакеры. На самом деле обойти защищенный информационный периметр банка сложно и потому безумно дорого. Особенно когда конечной целью является получение базы данных клиентов. Результаты расследований самых крупных инцидентов утечек говорят о том, что данные «утекают» именно по вине рядового персонала, который допускает ошибку либо осознанно продает информацию. Поэтому демонизировать «страшных хакеров» не стоит.
Какая информация может быть в утечках
Ценность любой «уплывшей» базы зависит от конкретных данных, которые в ней содержатся. Сведения о номерах карт или счетов клиентов в связке с Ф.И.О. по понятным причинам считаются очень ценными. Также в базе могут содержаться данные об остатках средств на счетах клиентов, что тоже полезно для реализации многих мошеннических действий в дальнейшем. А вот ценность базы, которая содержит, например, только контактные данные (почта и номер телефона), название банка и Ф.И.О. клиентов, будет на порядок ниже.Самую большую опасность несут «обогащенные» базы данных. Предположим, «утекли» данные из какого-нибудь банка и крупного интернет-магазина. Злоумышленник может дополнить общий «цифровой профиль» конкретного человека, используя данные двух баз, так как объект может одновременно находиться в обеих. В этом случае из одной базы можно получить контактную информацию, а из другой — платежную.
В чем опасность
Векторов атак, доступных злоумышленникам после получения на руки базы персональных данных, не так много, как может казаться. Ключевой тип атаки — социальная инженерия. Рассмотрим два самых частых сценария.1. Массовая фишинговая рассылка. Составляется письмо, внутри которого будет ссылка, ведущая на вредоносный ресурс (например, сайт, который просит ввести данные банковской карты или нечто подобное). Эффективность этого метода до сих пор составляет порядка 10–12%. Это довольно большая цифра при условии того, что все слышали про такой тип мошенничества. «Второе дыхание» у фишинга открылось в последний год благодаря пандемии.
2. Вишинг. Это «легендированный прозвон», задача которого — сделать так, чтобы жертва сама сообщила нужную злоумышленнику информацию. Для увеличения доверия к мошеннику используются персональные данные, полученные из той самой утечки. Соответственно, чем больше информации есть у злоумышленника, тем больше вероятность, что жертва поверит в «развод».
Полученные в результате фишинга и вишинга сведения могут быть использованы как для похищения денег со счетов, так и для оформления кредитов на жертву.
Пример из практики. В 2019 году один из моих клиентов случайно обнаружил у себя задолженность по платежам в нескольких кредитных организациях. Общая сумма долга составила более 350 тыс. рублей. Мошенники получили доступ к его персональным сведениям после утечки данных 900 тыс. человек клиентов Альфа-Банка, ОТП Банка и Хоум Кредит Банка в мае 2019 года. Все кредиты на клиента были оформлены в нескольких микрофинансовых организациях ровно через сутки после той самой утечки, причем он одновременно являлся клиентом ОТП Банка и Альфа-Банка.
Примечательно, что кусок базы, относящийся к Альфа-Банку, был составлен по жителям Северо-Западного федерального округа, в котором как раз и проживал мой клиент. В той утечке были паспортные данные, сведения о месте работы и номера телефонов. Для многих кредитных организаций этих данных вполне достаточно, чтобы оформить кредит дистанционно. В тех организациях, где необходимо прислать фото паспорта, злоумышленники пользуются сервисами, которые генерируют сканы паспортов. Туда достаточно ввести данные паспорта жертвы.
К сожалению, для моего клиента эта история закончилась печально: доказать, что кредиты были оформлены без его ведома, не удалось, и ему пришлось самостоятельно погашать задолженность.
Как с этим бороться?
Повлиять на уменьшение числа утечек мы с вами не можем никак. Со стороны государства недавно начались подвижки в эту сторону за счет ужесточения ответственности и увеличения штрафов. Также в Госдуме недавно предложили законопроект, который позволит гражданам заранее отказываться от любых кредитов и не платить по ним, если их все-таки оформят. Правда, об эффективности этого проекта говорить пока сложно. Например, не ясно, на какие именно финансовые организации будет распространяться запрет.Также всегда остается риск недобросовестных действий со стороны сотрудников этих финансовых организаций. И наконец, мошенники могут посредством того же вишинга получить доступ к учетным записям граждан на «Госуслугах» и снять запрет. В общем, такая мера может снизить число пострадавших, но полностью проблему не решит.
Что можете сделать лично вы?
Главный способ минимизировать возможный ущерб — быть внимательным. Нужно сразу же вешать трубку в случае звонка из любого банка. Лучше перезвонить самому на официальный номер и спросить, звонили ли вам из банка. В 99% случаев вам скажут, что никто не звонил. То же касается и писем. Всегда проверяйте ссылки специальными сервисами, хотя бы банальным VirusTotal, а лучше вовсе не переходите ни на какие сайты с подозрительным содержанием.И в целом повышайте свой уровень знаний в области цифровой гигиены. В современных реалиях это стало одним из важнейших навыков.