Найти тему
Excel, Google: автоматизируй это
1220 подписчиков

Кто сливает ваши банковские данные?

284
5 мин
Оглавление

Очень неприятно, когда те, кому мы доверились, злоупотребляют доверием. Сегодня я расскажу про банки - на каких этапах может быть утечка.

Не так давно писал статью об утечке в ДОМ.РФ, которую я обнаружил: https://zen.yandex.ru/media/excel/kak-ia-zapolnil-zaiavku-na-kredit-i-mne-stali-zvonit-moshenniki-608fee1c87bf2977fc0853ad - почитайте, если пропустили.

Сегодня на Хабре прочитал статью от Домклик, как они расследовали утечку данных у себя. Статья (все ссылки будут в конце текста) мне понравилась - достаточно методично и просто. Попробую изложить вам основные тезисы, заодно со своими мыслями, чтобы уйти от структуры Домклик. В статье шла речь об утечках при заполнении заявки на кредит. И я соглаен пойти по этому сценарию: заполнение заявки на кредит один из самых длинных процессов, в котором передается большое количество весьма приватной информации.

Пойду последовательно по месту возникновения угрозы, некоторые моменты могут показаться параноидальными 😉 - они включены в список для полноты.

Структура методов кибер-защиты, разработанная по заказу амеркинского агентсво по нацбезопасности (АНБ).
Структура методов кибер-защиты, разработанная по заказу амеркинского агентсво по нацбезопасности (АНБ).

Кстати, для тех кто знает английский язык, есть отличная модель (фреймворк) описания методов и практик кибер-защиты, разработанная по заказу амеркинского агентсво по нацбезопасности (АНБ). Ссылка в конце статьи.

При вводе данных, в месте нахождения пользователя

  • Камера наблюдения за спиной, которая пишет экран и клавиатуру, или экран мобильного телефона. Кстати, современные технологии позволяют "считать" нажатие клавиш даже не видя экран полностью, только по движению рук, а некоторые вещи и по звуку. Также бывают "жучки" в клавиатуре, перехватывающие все введенное.
    Как предотвратить? Убедиться в отсутствии лишних камер и чужих людей, подглядывающих в экран. Не использовать внешнюю клавиатуру, если есть сомнения относительно "жучков".

При вводе данных, на устройстве пользователя

Здесь прямо раздолье для хакеров:

  • Вредоносное ПО может вести запись экрана и введенных данных, и передавать на удаленный сервер.
    Как предотвратить? Пользоваться надежным антивирусом, регулярно обновлять его.
  • Вполне легальное ПО тоже может передавать данные на сервера разработчиков для "улучшения пользовательского опыта". Windows, Chrome, Android, IOS - все это делают в том или ином масштабе.
    Как предовтратить? В настройках приложений и ОС запретить отправку данных. Установить файрволл, который обеспечит контроль над сетевым траффиком - что и куда отправляется.
  • Надстройки и плагины браузеров. Откройте свой хром - сколько у вас надстроек установлено? Какой-нибудь бесплатный ВПН или обход блокировок, резалка рекламы, менеджер паролей, поиск лучших цен? Все эти надстройки имеют доступ ко всем страницам в вашем браузере, и истории злоупотребления этим доступом нередки (в конце статьи дам ссылку на один из таких примеров).
    Как предотвратить? Удалить лишние надстройки и плагины. Если надстройки жизнено нужны для работы, конфиденциальные данные можно заполнять в отдельном специальном браузере, или на крайний случай, в основном браузере в режиме "Инкогнито" - в этом режиме по-умолчанию все надстройки блокируются.
  • Подгружаемые скрипты, использующиеся сайтом банка. Например, аналитика, веб-визор, чат-боты и другие. Почти всегда эти скрипты лежат на внешних серверах и передают на них данные.
    Как предотвратить? С помощью файрвола ограничить адреса, куда могут передаваться данные.

При передаче данных по сети

  • Почти все современные веб-сайты используют достаточно надежные схемы шифрования данных при передачи по сети. Исключение - незащищенные соединения, о чем браузер скорее всего вам покажет ("Not secure" в адресной строке).
    Как предотвратить? Если сайт показывается как "небезопасный", а еще хуже, если проблемы с сертификатом, бегите! Бегите с этого сайта, большая вероятность, что ваши данные куда-нибудь утекут, если будете что-либо заполнять.
-3
  • Перехват защищенного соединения тоже возможен. Атака называется man in the middle (человек посередине) - при такой атаке злоумышленник пропускает через себя все данные, расшифровывает их, и передает дальше по адресу назначения. А с расшифрованными данными он может делать что угодно. Конечно, чтобы такая атака была возможна, ему нужно каким-либо образом внедрить свой сертификат в список доверенных на вашем компьютере, тогда он сможет подписывать им отправляемые от себя данные, и выдавать за данные от сайта. Скорее всего, злоумышленник "с улицы" не сможет внедрить сертификат на ваш компьютер (а если сможет - он уже установил вредоносное ПО, нужно начинать с шага 1). Зато это могут сделать администраторы компании, в которой вы работаете. Часто системы предовтращения утечек данных (DLP) внедряют свой сертификат.
    Как предотвратить? Для личных задач использовать личное оборудование.

В банке

К сожалению, дальше мы не можем контроллировать, что происходит с данными, и предотвратить утечку можем только избегая контактов с банком, где есть описанные недостатки.

Открытый Elasticsearch Сбербанка (со слов Сбербанка это фэйковые данные).
Открытый Elasticsearch Сбербанка (со слов Сбербанка это фэйковые данные).
  • Неправильно сконфигурированные базы данных и инструменты. В открытом доступе часто находят базы данных MongoDB, SQL, Elastic Search. Если они сконфигурированы неправильно, доступ к данным может получить кто угодно. На скриншоте выше показаны данные из сервиса Elasticsearch (Сбер отрицает утечку: "Данные, размещенные на сервере Elasticsearch, являются фейковыми, они не принадлежат клиентам Сбербанка.")
  • Неправильно сконфигурированный веб-сайт может предоставить доступ даже к данным в защищенных базах (как в примере с ДОМ.РФ)
  • Сотрудники банка могут иметь доступ к данным и могут "сливать" их на сторону.

Вне банка

Ваши данные банк скорее всего будет куда-нибудь передавать дальше. В каждом случае утечки также возможны:

  • Бюро кредитных историй (будет запрашивать информацию по вашим данным, будет передавать информацию о ваших кредитах)
  • ЦБ, Налоговая, а по особым случаям и Полиция тоже имеют доступ к данным о вас.
  • Получаете смс-уведомления? Значит ваши данные прошли еще через одного-двух посредников: смс-шлюз (компания предоставляющая услуги отправки смс) и сотовый оператор.

Наверняка есть и другие возможные пути утечек.

Заключение

Волков бояться - в лес не ходить. В современном мире невозможно полностью обезопасить себя от утечек. Но, соблюдая определенную цифровую гигиену, можно постараться минимизировать вероятность утечек и губительные последствия от них.

Ссылки:

Взгляните на эти темы
Экономика
Гаджеты и электроника
Найти тему
Технологии и IT
Недвижимость
Валюты: курсы и прогнозы
Финансовая грамотность
Экономное питание
Самозанятость
Энергетика и электросети
Экономическая аналитика
Инвестиции
Банковские услуги
Бизнес и предпринимательство
Рынок труда
Цифровая экономика
Промышленность
Товары и цены
Налоги и вычеты
Льготы и пособия
Центральный банк
Экономика
10,02 млн интересуются