На форуме в DarkNet появилось объявление о продаже базы данных с информацией о счетах россиян в банке ВТБ, которая содержит до 50 млн записей. Проверка тестового фрагмента с ФИО, номером телефона и паспорта, который оказался в распоряжении «Известий», показала, что 11 из 14 упомянутых граждан действительно имеют счета в этой кредитной организации. Это один из крупнейших массивов персональных данных, когда-либо предлагаемых в DarkNet. По словам источника «Известий», близкого к ЦБ, продаваемая база не имеет отношения к утечке информации о покупателях маркетплейса Joom, которая появилась в открытом доступе ранее.
За 25 рублей
Объявление о продаже базы данных клиентов ВТБ появилось на форуме в DarkNet 14 августа. «Известия» связались с владельцем. По его словам, в распоряжении есть база данных объемом «30–50 млн» записей. Данные могут выгружаться напрямую, день в день. Стоимость одной записи — 25 рублей, заявил продавец.
В тестовом фрагменте, который есть в распоряжении «Известий», содержатся ФИО, номера телефонов и паспортов 14 клиентов. Система быстрых платежей по контактному номеру позволяет увидеть наличие счета в конкретном банке, а также имя, отчество и первую букву фамилии его владельца. 11 из 14 записей совпали с теми, что содержатся в тестовом фрагменте базы.
Ранее СМИ сообщали, что в открытом доступе распространяется файл с 31 тыс. данных карт ВТБ, держатели которых делали покупки в Joom. Позже маркетплейс признал, что данные банковских карт, попавшие в Сеть, совпадают с информацией из мартовской утечки, и заявил об отсутствии угрозы средствам клиентов. «Известия» ознакомились с фрагментом данных о клиентах из этой утечки. В нем содержатся среди прочего первые шесть и последние четыре цифры карты, а также год окончания действия. По формату это не похоже на новую информацию, предлагаемую к продаже в DarkNet. Продавец, с которым связались «Известия», платежных сведений не предлагал.
В октябре 2019 года, по сообщениям СМИ, в продаже в DarkNet появилась база с 60 млн записей о владельцах кредитных карт Сбербанка. Эту базу тогда назвали самой крупной и подробной системой сведений, попавших на черный рынок. Глава финансовой организации Герман Греф признал утечку информации сначала о 200 клиентах, а позже — о 5 тыс. Он подчеркнул, что все карты пострадавших перевыпущены.
По словам источника «Известий», близкого к ЦБ, в регуляторе и в самом ВТБ о появившемся объявлении знают. Продавец и ранее светился с предложениями информации о клиентах банка, отметил он, добавив, что с высокой долей вероятности это предложение и появление в открытом доступе базы Joom — параллельные истории.
В данном случае утечка может быть не от самого банка, считает собеседник «Известий». Он пояснил, что сейчас мошенники очень активно подбирают информацию из любых связанных источников: от партнеров, организаторов скидочных программ и так далее. В ЦБ не ответили на запрос «Известий» о появлении в DarkNet объявления о продаже базы данных в 50 млн строк со сведениями о клиентах ВТБ.
В ВТБ «Известиям» заявили, что проверяют информацию о появлении в DarkNet персональных данных клиентов банка. Проверка факта происходит в том числе с привлечением правоохранительных органов.
База, обнаруженная службой безопасности банка в продаже в интернете, содержит ФИО, телефонный номер, серию и номер паспорта, подтвердили в ВТБ. В банке пояснили, что угрозы сохранности средств клиентов нет: такой набор данных не позволяет злоумышленникам предпринимать какие-либо действия со счетами клиентов, однако может быть использован в схемах социальной инженерии.
— Просим наших клиентов со своей стороны соблюдать требования финансовой безопасности и не передавать третьим лицам, в том числе и по телефону, персональные данные карт, пароли, коды из SMS-сообщений и другую информацию, — напомнили в ВТБ.
Заявление злоумышленника о количестве записей в размере якобы 30–50 млн не может соответствовать действительности, так как даже общее число всех розничных клиентов ВТБ составляет 13,3 млн человек, подчеркнули в банке.
Набор данных
Предлагаемые продавцом сведения определенно не относятся к утечке Joom — там был другой набор данных, отметил основатель сервиса разведки утечек DLBI Ашот Оганесян. Он добавил, что определить, информация о клиентах какого банка продается в Сети и реальные ли это сведения, невозможно.
Если в тестовом фрагменте базы совпадает основная часть информации, то, скорее всего, утечка персональных данных произошла либо из самого банка, либо из компании, связанной с кредитной организацией, полагает руководитель аналитического центра компании Zecurion (специализируется на кибербезопасности) Владимир Ульянов. По его словам, это могут быть выгрузки из системы, где данные одного клиента повторяются несколько раз: например, если он трижды оставлял заявку на кредит с указанием собственных персональных сведений.
Скорее всего, продаваемая информация — это не компиляция нескольких баз данных, которые уже есть в открытом доступе, это отдельно выгруженные сведения, считает Владимир Ульянов.
— В подавляющем большинстве случаев данные утекают через инсайдеров — сотрудников организаций, которые имеют доступ к данным клиентов. Как правило, в финансовых организациях доступ одного служащего ограничен: например, он видит номер счета, но не видит денежный остаток. Тем не менее даже ограниченное количество данных в руках мошенников могут навредить человеку, — отметил Владимир Ульянов.
По его словам, зачастую обращение к клиенту определенного банка по имени и отчеству вкупе с применением психологии и социальной инженерии может привести к выводу денег.
Чем больше у злоумышленников информации о человеке, тем им легче достичь своей цели. Если клиенту сообщить информацию, которая известна только финансовой организации, добиться доверия становится гораздо проще, отметил ведущий эксперт «Лаборатории Касперского» Сергей Голованов. При этом он подчеркнул: даже подробных сведений (номера карты или счета, остатка денег) недостаточно, чтобы провести трансакцию.
— Мошенники пытаются выяснить одноразовый код из SMS или push-уведомления для подтверждения перевода. Поэтому пользователям важно оставаться бдительными, никогда не сообщать коды для подтверждения трансакции, не устанавливать по просьбе незнакомых людей программы на свои устройства, не переходить по ссылкам по их просьбе, — подчеркнул Сергей Голованов.
Он добавил, что в ответ на любой звонок лучше положить трубку и перезвонить в финансовую организацию по телефону, указанному на обратной стороне банковской карты.