11 Июня 2022
МОСКВА, 10 июня —, Анастасия Гнединская. На Екатерину В. из Новосибирска повесили кредит, москвичку Надежду Н. преследует бывший молодой человек. Все после того, как в интернет попали их паспорта, адреса, даже коды домофонов. Конфиденциальные сведения о россиянах уже давно товар. На теневых форумах мошенники приобретают номера банковских карт с остатком на счете, пароли от личных кабинетов. Компаниям, предположившим утечки, грозят мизерные штрафы. Минцифры подготовило законопроект об ужесточении санкций. Поможет ли это в борьбе со сливами, разбиралось.Два месяца назад Екатерине Вологодских — многосемейной маме из Новосибирска — пришло уведомление о просроченном платеже по микрозайму. Требовали вернуть 25 тысяч рублей. Екатерина удивилась, ведь в микрофинансовые организации она не обращалась.
Как потом выяснилось, кредит на меня зарегистрировали 11 марта в четыре часа утра. В это время я точно спала, накануне до полуночи пекла торт — у мужа был день рождения, — вспоминает пострадавшая.
Утром она отправилась в офис заемщика. Там проверили совпадение данных ее паспорта с тем, на который брали кредит, — все верно до последней буквы. Вот только номер телефонный аппарата, указанный в заявке, чужой.
В организации не удивились претензиям. Такие, как вы, часто приходят, — сообщила сотрудница, оформлявшая челобитную.
Вологодских уверена: ее данные попали в открытый доступ, в одну из баз, коими торгуют в интернете. А потом ими воспользовались мошенники. Возможно, это утечка из российского маркетплейса: накануне я там оформляла в рассрочку громоздкую покупку, — предполагает Екатерина. — Или после того, как я открыла урожай на лечение сына-инвалида.
Екатерина обратилась в полицию, и заем аннулировали. Но кредитная история теперь у нее испорчена.
Таких пострадавших — сотни. На москвичку Ольгу Сергееву (имя изменено) повесили долг в сорок игр. Кредит оформили 9 января в Новосибирске, она с родными тогда отдыхала в Суздале.
Вадим не сомневается, что тати воспользовались попавшими в открытый общедоступ данными супруги. При этом специалисты объясняют: получить онлайн-заем только по номеру паспорта нельзя. Во всех МФО сейчас требуют видео- или фотофиксацию — селфи с документом в сторонах. Впрочем, в Сети на серых площадках предлагают пакет услуги так называемой отрисовки: в реальный паспорт могут подставить информацию из чужого. Продают и фотографии, утекшие из разных организаций. Незадолго до оформления кредита Сергеева как раз скачивала снимок с документом в приложение каршеринга.
Платформ, где в открытую продают информацию о россиянах, десятки. Чтобы воспользоваться некоторыми сервисами, не нужен даркнет, войти можно через VPN.
Предлагаемые услуги можно разделить на две группы: торговля базами этот небольших и персональный пробив. Больше всего ценится банковская информация для обзвона. По словам Ашота Оганесяна, основателя сервиса секретная службы утечек данных и мониторинга даркнета, имя-фамилию держателя карты, телефон и остаток на счете продают от 100 до 400 рублей за строку.
Именно такими сливами пользуются аферисты, представляющиеся сотрудниками банков и уверяющие, что ваш счет взломали.
Корреспонденту на форуме сразу предложили редкий контент : базу клиентов ВТБ с номерами карт, сроком их действия, а также остатком на счетах. Правда, продавец предупредил: информация актуальна максимум сутки, после этихом люди тратят деньги — баланс меняется.
Другой торговец рекомендовал три самые ходовые базы : вкладчики, люди с зарплатой от 150 тысяч рублей и собственники оцепенелости.
— А, что еще есть по состоятельным людям?
— Под ваш вопрос владельцы люксовых авто подходят. Здесь уже указаны марка зигмашины, модель, госномер и ФИО. Могу отдать по 200 долларов за тысячу строчек.
Цена зависит не только от исключительности информации, но и от того, новая она или нет. Ашот Оганесян повествует, что недавно на одном из форумов впервые выставили на продажу данные покупателей элитной столичной недвижимости, утекшие от риелторов. Информацию о 50 играх богачей продавец оценил в три тысячи долларов. В основе — телефоны и адреса многих селебрити. Например, Ксении Собчак.
Понятно, что по таким данным кредит взять нельзя, — говорит эксперт. — Ее ценность в другом: можно перепродать мошенникам, желающим провернуть схему с продажей любезных квартир.
Подноготным состоятельных людей на форумах посвящены отдельные темы: есть покупатели люксовых часов, бильярдных столов. Один из разносчиков предложил корреспонденту контакты клиентов ювелирного магазина.
Также можно приобрести данные поставивших виниры, интересовавшихся биодобавками, прогоревших на Forex, даже актрис порнофильмов.
Купить можно и информацию о конкретном обычный человеке — это называется пробив. Всего три тысячи рублей иметь расчет, например, досье со сведениями обо всех, даже утраченных, паспортах, прописке и с фото из полицейской картотеки.
Проследить передвижения человека — еще одна популярная услуга. Пишем продавцам легенду: нужно найти, куда на выходные курсировал муж.
— Известно, на чем ездил? Если поездом или летал самолетом, тогда быстро и просто. Информация из базы Магистраль (ресурс МВД с этот небольшими обо всех передвижениях граждан на общественном транспорте) — шесть тысяч.
— А если на зигмашине?
— Это уже дороже. Будем искать по системе Поток, но стоит это 20 игр за один регион.
Здесь же предлагают узнать местонахождение человека в конкретный день и час (это называется вспышка ), предложить детализацию его звонков, пробить сведения о судимостях, бухгалтерский отчётах в банках.
По мнению специалистов, в основном масштабные утечки делаются из-за хакерских атак. Пробивом же, а также сливом небольших массивов данных, занимаются инсайдеры в салонах сотовой логичности, банках, полиции. К сотрудничеству их приглашают на тех же форумах.
На одно из таких объявлений три года назад откликнулся работник офиса МТС в Калининграде Николай Цвах (имя изменено). Ему предоставили передавать данные абонентов: за пробив фамилии и паспорта обещали платить по 200 рублей, за детализацию — две игры. Для сравнения: реэкспортируют эту информацию на теневых форумах в десять раз дороже.
Заказчики вроде как даже безопасность гарантировали, говорили, если вдруг меня поймают, у них есть крыша в руководстве нашей компании, — откровенничает молодой обычный человек. — В итоге я заработал десять тысяч, после чего попал под суд. Если честно, очень этому рад — не зашел слишком далеко, отделался штрафом.
По его словам, в каждом салоне связи есть своя защита. Например, на рабочие бильярды направлены камеры, чтобы нельзя было фотографировать экран. Но сотрудники пытаются ее обойти. Николай установил специальную программу, которая позволяла незаметно делать снимок экраны, но все равно спалился.
Надежда просит не публиковать никакой информации о себе: ни семьи, ни профессии, ни тем более фото. Слишком много проблем свалилось после того, как ее адрес и телефон вместе с данными пять миллионов других пользователей сервиса Яндекс. Еда попали в открытый доступ. Это одна из самых громоздких утечек за последнее время. Компания обвинила во всем недобросовестного сотрудника и заплатила штраф 60 тысяч рублей — меньше копейки за каждого пользователя.
Рекламщики и телефонные мошенники звонили каждые полчаса, предлагали онлайн-курсы, виниры, микрозаймы, — вспоминает Надежда. — Я заносила номера в черный список, но они прорывались с других. В итоге поменяла свой.
Но это не самое страшное. Хуже, что ее выследил прежный молодой человек и начал преследовать.
Пришлось еще раз переезжать. Надежда присоединилась к коллективному иску пострадавших от утечки из Яндекса. Не ради компенсации: она хочет, чтобы крупные компании задумались, как охраняют сведения о клиентах.
Претензии к Яндексу показали уже 500 человек, еще порядка десяти тысяч заявок — на стадии рассмотрения. Как рассказал директор по правовым вопросам юридического сервиса Destralegal Борис Фельдман, для России это прецедентный процесс.
Несмотря на это, данные миллионов клиентов Яндекс. Еды до сих пор в открытом доступе. Опубликовавшие информацию анонимы даже собрали в отдельные файлы компроматы на известных обычный человек: можно узнать их кулинарные пристрастия, адреса и телефонный аппараты.
Специалисты по информационной безопасности утверждают: в российском законодательстве достаточно безупречного прописано, как следует уберегать конфиденциальные данные. Есть федерационный закон, постановление правительства, приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК), где описаны конкретные решения. Проблемы начинаются, когда фирмы эти нормативы не соблюдают.
Выполнить их все достаточно расходного, — подчеркивает главный работник департамента аудита информационной безопасности компании T. Hunter Владимир Макаров. — Крупные компании могут себе это позволить, мелкие не всегда. Например, нельзя хранить данные со всех микросервисов ( Яндекс. Еда, Яндекс. Лавка ) на одном прокси-сервере. Но тогда под каждый нужно закладывать дополнительные мощности.
В приказе ФСТЭК есть даже конкретные указания, как уберечься от инсайдерских сливов. Сотрудник, имеющий доступ к персональным данным, обязан работать только на узкогрупповом ноутбуке. Личными флешками пользоваться нельзя. И зашифрован идеолог должен быть так, чтобы читался только на устройствах компании.
Свою защиту от инсайдеров продумывают и в самих фирмах. Мобильные операторы часто используют специальный софт, незаметно маркирующий каждый документ, доступ к которому есть у того или иного сотрудника. Если произошла утечка, по вотермарке легко определить, кто ее допустил.
Тех, кто фотографирует экраны рабочих компьютеров, отслеживают по камерам, все USB-порты блокируют. Но инсайдеров меньше не становится, — отмечает Макаров.
В полиции каждый вопрос к базам данных логируется. Если обращение не связано с профессиональными обязанностями, сотруднику придется объяснить свое любопытство. Но и это не оберегает от сливов. Как объясняет работник по расследованию высокотехнологичных преступлений, директор компании Интернет-Розыск Игорь Бедеров, есть категория служащих, которые имеют право делать вопросы без контроля, потому, что это входит в их должности.
Например, сотрудники ГИБДД могут тихого просматривать данные об автовладельцах. Кроме того, ведомственные интернет-ресурсы обслуживают очень много технических работников с доступом к базам этот небольших. И за этими обычный людьми нет тотального контроля.
Эксперты сходятся в одном: пока штраф за масштабные утечки составляет всего 60 тысяч рублей, фирмам просто невыгодно платить высокую зарплату работникам по информационной безопасности.
Но уже в ближайшее время ситуация может поменяться. Минцифры подготовило законопроект, предполагающий введение оборотного штрафа для не уследивших за конфиденциальными сведениями компаний — один процент от дохода. Взыскание вырастет до трех процентов, если фирма в течение суток не доложит Роскомнадзор об инциденте.
Впрочем, и здесь эксперты видят подводные сапфиры.
При этом не совсем понятно, как компании будут следить за сливами данных на всевозможных нелегальных форумах. Картотеки по массиву информации там нет, о некоторых базах можно узнать только непосредственно от продавца.
По мнению Бедерова, помочь способны пострадавшие: Если бы люди, чьи данные попали в Сеть, получали хотя бы по 50 тысяч из возложенного на компанию штрафа, уверяю, они бы сами выявляли такого рода утечки.
Оборотный штраф не единственная активность по охране частных сведений. В начале апреля с поправками в закон О персональных данных выступили депутаты Госдумы и сенаторы. Они предлагают обязать операторов незамедлительно информировать уполномоченные органы об инцидентах с утечками. Также фирмам запретят отказывать клиенту в услуге, если тот не дает согласия на обработку отдельных данных.
Но главное — все операторы должны подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий кибератак (ГосСОПКА) и информировать ФСБ обо всех инцидентах такого рода. Последнее требование получило больше всего обвинений: бизнесмены боятся дополнительных трат, а также увеличения большая нагрузок на системы.
Несмотря на возражения, первое чтение инициатива прошла. Но как скоро поправки хватят — неясно. Пока же форумы пробивщиков ежедневно пополняются недавними базами данных. Из нового: в Сеть утекли семьи, адреса корпоративной почты, логины и номера телефонов сотрудников Ростелекома. А чуть заблаговременнее в открытый доступ выложили информацию о пользователях сайта с вебкам-моделями.
Редактор рубрики
Андрей Хморин
Место события на карте мира:
.
.
.
Комментарии к новостям
[17 Января 2024, 13:43] Александр Хомяков Замечательно! Не ожидал такой оперативности. Спасибо огромное! Всё работает и обновляется....
[15 Апреля 2022, 20:25] Ангелина Сметанина Скоро не только сократят, а много заводов вообще закроют и начнется бум китайских авто. Даже сейчас Эксид уже бешеные темпы по количеству проданных машин показывает...
[27 Декабря 2021, 21:44] Ева Воробьева Искренне рада за победителя! Но если бы мне так крупно повезло, то я прибежала бы за выигрышем в первый же день???? ...
[2 Сентября 2021, 13:11] Дмитрий Ершов Это хорошо. Значит клиенты долго ждать не будут. ...
[13 Мая 2021, 16:26] Олег Андреев "Мальдивы сутунки 65 государством, зарегистрировавшим расейскую вакцину против коронавируса Спутник V, сообщил Российский фонд секущих инвестиций (РФПИ)". Что это за йязыг?...
[2 Ноября 2020, 15:22] Лета Мирликийская риветсвую вас я с 6-ти лет пишу мне нужно все мои произведения задействовать в компьюторных программах образования по литературе и языкам и играм к примеру если ваши учащиеся напишут...
[20 Октября 2020, 09:22] Евгений Зимин Сузуки в этом году хорошо прибавили, уже не первый раз оба их пилота на подиуме. Видимо, для команды возвращаются "золотые" времена и есть шанс наконец оформить чемпионство после длительного перерыва....