Тень открытых дверей: как вербуют сотрудников банков для слива данных
В русскоязычном сегменте даркнета работают 73 сервиса по вербовке инсайдеров в банках, которые ежедневно сливают конфиденциальную информацию о счетах клиентов. Об этом «Известиям» рассказал независимый исследователь даркнета Антон Ставер. Подтвердили факт специалисты по кибербезопасности. Чаще всего заказчиками выступают конкуренты, ревнивые супруги, хакеры и мошенники. Последние нередко просят подобрать себе список жертв по балансу счета.
Непристойное предложение
Теневой рынок России и СНГ, связанный с получением конфиденциальной информации, в последние годы сильно разросся и вследствие этого обзавелся развитой инфраструктурой. В частности, появились специальные сервисы, которые занимаются вербовкой персонала в банках. Таких сервисов, по подсчету независимого исследователя даркнета Антона Ставера, около 73. Однако работающие в них вербовщики могут одновременно заниматься также поиском сотрудников в сотовых компаниях и других учреждениях, которые имеют доступ к персональной информации.
— Большое количество групп, предоставляющих такие услуги, обусловлено тем объемом работы, которая на них сваливается, — объяснил он. — У нас их действительно много. Конечно, следует сделать поправку на то, что в даркнете один человек может создать сразу несколько сервисов и заниматься их пиаром под разными названиями. Но можно предположить, что он вытянет управление максимум тремя. Не стоит забывать, что в даркнете важным является понятие репутации, поэтому в большинстве случаев люди раскручивают только одно представительство.
По словам Антона Ставера, поправка, описанная выше, может сократить количество сервисов по вербовке максимум наполовину. Но в реальности их число, скорее всего, равно 50, что в любом случае много.
Если заказов на получение конфиденциальной информации мало, то наем инсайдера в банке происходит лично «пробивщиком». Однако, по словам эксперта, сейчас количество таких «просьб» в некоторых сервисах доходит до 50 в день, то есть их хватает для содержания целой индустрии. Поэтому вербовкой занимаются специализированные структуры.
Эту информацию подтверждает Павел Крылов, руководитель направления SecureBank/SecurePortal Group-IB — компании, которая специализируется на расследовании киберпреступлений и мошенничеств с использованием высоких технологий.
— Мошеннические схемы с использованием персональных данных сейчас успешны и эффективны, поэтому злоумышленники активно ищут инсайдеров в банках, — рассказал он. — Преступные группы, в том числе и в местах лишения свободы, могут эту информацию монетизировать, пользуясь возможностями по хищению и выводу денег. Организации зачастую не хотят тратиться на средства и работу по защите этих данных, а также экономят на зарплатах сотрудников. В результате появляется целый пласт служащих, которые мало мотивированы, да еще и видят, что информацию никто не защищает. И ее легко и относительно безопасно можно продать.
В отличие от самих «пробивщиков», которые открыто размещают свои объявления на форумах даркнета и в Telegram, вербовщики — это более засекреченная «каста». Они рассказывают о себе лишь в специализированных чатах либо рекламируя свои услуги сообщениями напрямую заказчику.
Цена вопроса
По информации Антона Ставера, вербовщик получает от «пробивщика» в среднем 15 тыс. за каждого сотрудника. В задании указываются критерии поиска — например, позиция в организации. Дальше заказчик просто ждет, пока вербовщик скинет ему в Telegram или Jabber контакты готового к работе сотрудника. Ожидание в среднем длится 5–7 суток.
Стоимость вербовки колеблется от 7 тыс. до 100 тыс. рублей и зависит от сложности задачи. Если служба безопасности банка работает эффективно, цена будет намного выше.
«Наем» сотрудника происходит обычно через социальные сети, мессенджеры, личные контакты, LinkedIn. Однако до сих пор существуют и вербовщики, которые работают вживую.
— Эти люди подходят к сотрудникам банков, например, в курилках, и предлагают им подзаработать, — поделился Антон Ставер. — В своем выборе они ориентируются на бейдж работника. Обычно это общительные и харизматичные парни 21–25 лет. Я давно занимаюсь выявлением инсайдеров в организациях по всему миру. В моей практике был случай, когда такой вербовщик — бывший банковский служащий — просто приходил к своему офису, останавливал действующих сотрудников и предлагал деньги за пробив.
Однако гораздо чаще сообщения присылают просто через Telegram. Одно из них поступило и корреспонденту «Известий». Для того чтобы убедиться в его рабочем статусе, журналист представился сотрудником Сбербанка из Москвы с доступом к информации о паспортных данных, номеру карты и мобильному телефону клиента. Вербовщик уточнил, есть ли у будущего инсайдера доступ к информации об остатках по счетам.
За каждый пробив такой информации корреспонденту было обещано 2 тыс. рублей, но с примечанием, что этот заработок может быть нерегулярным — от двух запросов в неделю до десяти в день.
«Рынок плавающий, — написал вербовщик, — всё зависит от количества клиентов. Бывает так, что придется один счет каждый день по два раза пробивать на остаток, ждать, пока туда упадут деньги, и сообщать мне».
После этого корреспондент договорилась подробнее узнать об условиях вечером, но так и не написала повторно. Однако через полторы недели вербовщик сам вышел на связь с предложением посмотреть баланс.
Ревнивые супруги и хакеры
Точное количество сервисов по вербовке назвать сложно, полагает руководитель группы исследования киберпреступности Group-IB Дмитрий Шестаков. Одни злоумышленники точечно ищут людей, которые работают в определенных банках. Другие — хантят сотрудников любых финансовых учреждений.
— Существуют услуги предоставления части базы банка по выборке. Например, есть некий злоумышленник, желающий узнать ФИО VIP-клиентов, у которых на балансах более 1 млн рублей. Он просит через сервис пробива сделать выгрузку выборки с персональными данными. Потом по клиенту могут работать социнженеры, для того чтобы вывести деньги. Второй вариант запроса — кодовое слово. То есть у злоумышленника уже есть данные какой-то карты и ему надо вывести деньги, но не хватает кодового слова.
Кроме мошенников, подобными услугами пользуются представители конкурентных организаций, ревнивые супруги и хакеры. Они являются основными покупателями на этом рынке. В штате у пробив-сервиса, по словам Антона Ставера, может быть от 5 до 30 сотрудников. Притом в некоторых особо популярных банках вербуются сразу нескольких человек, чтобы распределить нагрузку. Сервисы стараются не нагружать одного сотрудника более чем двумя заказами в день.
По словам ведущего антивирусного эксперта «Лаборатории Касперского» Сергея Голованова, в последние несколько лет спрос на услуги и сервисы по обеспечению защиты финансовых организаций стабильно высок.
— Мы проводим анализ сети, содержимого журналов, жестких дисков, запросов к базам данных, — рассказал он «Известиям». — Это позволяет отвечать на вопросы, откуда, как и когда были получены украденные данные, под какими учетными записями был доступ, с каких устройств. Понять, был ли это инсайдер или нет, обычно пытается сама организация на основании информации, полученной от технических экспертов. В последнее время участились обращения из финансовых организаций с просьбой провести пентесты (тестирование на проникновение. — «Известия»).
«Известия» отправили в топ-30 банков запрос, обладают ли они информацией по возможной вербовке их сотрудников и были ли в 2019 году зафиксированы случаи утечек. В Сбербанке от комментариев отказались. В ВТБ сообщили лишь, что постоянно проводят работу по предотвращению случаев утечек данных.
— Осуществляется разграничение прав доступа к информации, ведется учет работников, имеющих доступ к защищаемой информации, используются технические средства контроля потенциальных каналов утечки. Уделяется повышенное внимание контролю над действиями работников, ознакомившихся с конфиденциальными данными, в том числе IT-специалистов, — заверили в банке.
В Центробанке, а также в остальных банках из топ-30 на запрос «Известий» не ответили.