В 2024 году мошенники похитили с банковских счетов россиян рекордные 27,5 млрд рублей – на 74,4% больше, чем в 2023 году. Одна из причин такого роста – регулярное попадание персональных данных клиентов в открытый доступ. О том, как именно преступники используют похищенные данные, почему даже крупные банки остаются уязвимыми, и есть ли сегодня реальный способ защититься от утечек, рассказал совладелец и генеральный директор компании-разработчика в сфере информационной безопасности «ЭВРИТЕГ» Сергей Тимошенко.
ФИО, адрес, номер телефона или серия паспорта – сегодня этой информации вполне достаточно, чтобы «похитить» цифровую личность и использовать ее в преступных целях. Причем порой доступ к этой информации мошенники получают не от самих граждан, а из уже слитых баз данных.
Для компаний такие инциденты оборачиваются не только финансовыми потерями – по новому законодательству штрафы за утечку ПДн могут составить до 500 миллионов рублей – но и серьезными ударами по репутации. Для клиентов же последствия могут варьироваться от оформления кредитов на их имя до полного обнуления банковских счетов.
Как мошенники используют персональные данные
Персональные данные – это не просто телефон и паспортные данные. Это ключ к финансовой и цифровой идентичности человека. Поэтому, получив даже ограниченный набор информации, злоумышленники могут, например, подделать кредитную заявку и оформить заем в микрофинансовой организации.
Так, в 2024 году в Санкт-Петербурге задержали мошенников, которые приобретали неактивные SIM-карты, проверяли номера на наличие аккаунтов на «Госуслугах» и с помощью SMS-авторизации получали доступ к личным кабинетам граждан. Затем они оформляли кредиты, выводя деньги на свои счета.
На фоне повышенной активности мошенников в этом направлении, вырос интерес к так называемым самозапретам на кредиты – когда человек добровольно запрещает их выдачу на свое имя. Так, по данным Объединенного кредитного бюро (ОКБ), в первый месяц после запуска услуги почти 8 млн россиян установили такие ограничения. Однако мошенники продолжают искать обходные пути. Например, представляются сотрудниками «Госуслуг» банков или бюро кредитных историй, и убеждают, что самозапрет был установлен ошибочно или что его нужно срочно снять. Для этого предлагают перейти по специально подготовленной фишинговой ссылке, после чего на устройство жертвы может быть установлено вредоносное ПО. Такой вирус позволяет хакерам получить доступ к SMS-сообщениям, в том числе к одноразовым кодам для входа на портал «Госуслуги» и в мобильные банковские приложения.
Если преступник получил хотя бы часть персональных данных, он может попробовать подобрать пароль или прибегнуть к методам социальной инженерии, рассылая фишинговые письма от «службы безопасности банка» или совершая звонки с, казалось бы, подлинного номера кредитной организации.
Типичная схема – сообщение о «подозрительной активности» с просьбой подтвердить вход. В других ситуациях жертву убеждают, что мошенники уже получили доступ к средствам, и чтобы их спасти, нужно срочно перевести деньги на специальный «безопасный» счет. Убедительности добавляет то, что в разговоре преступники используют реальные данные (ФИО, последние цифры карты, дата рождения). То есть все эти схемы работают именно потому, что какие-то персональные данные уже когда-то утекли в открытый доступ.
Как персональные данные попадают в сеть
На первый взгляд кажется, что информация в банках должна быть надежно защищена. И действительно, финансовые организации активно инвестируют в информационную безопасность: внедряют антифрод-системы, отслеживают аномалии, блокируют подозрительную активность. Эти усилия приносят определенные результаты. Так, в 2024 году из финансовых организаций утекло на 58,8% меньше данных, чем в 2023 году. Тем не менее речь все равно идет о десятках миллионов (68 млн) записей только за прошлый год.
Причина в том, что помимо внешних угроз – хакерских атак, DDoS-нападений и вирусов, есть также внутренние – те, что связаны с человеческим фактором. Сотрудники могут действовать по-разному. Один из многочисленных сценариев, приводящих к утечкам данных, — ошибка персонала. Например, сотрудник по невнимательности прикрепляет не тот файл в письме контрагенту. Или скачивает файлы с чувствительной информацией на флешку, чтобы «поработать из дома», и теряет носитель. А иногда просто проходит по фишинговой ссылке и сам передаёт злоумышленникам доступ к системе.
К утечкам также порой приводят злонамеренные действия персонала. Например, сотрудники, имеющие доступ к клиентским данным, могут сознательно продавать базы на черном рынке. Показателен пример августа 2024 года, именно тогда в Челябинской области суд вынес приговор бывшему сотруднику «Озон Банка», который продавал персональные данные клиентов организации за биткоины.
Часто такие ситуации возможны именно потому, что сотрудники имеют слишком обширные права доступа. И даже если для работы требуется видеть только одну строку данных – и то не полностью, а, например, только последние четыре цифры номера телефона, сотрудник может иметь полный доступ к базе. А это увеличивает риск утечек.
Что можно было бы изменить в подходах к защите данных
Чтобы действительно изменить ситуацию, необходимо пересматривать сами принципы защиты информации. Полагаться исключительно на классические решения больше нельзя – их уже недостаточно. Если сотрудник решит слить данные, он наверняка найдёт способ обойти систему: например, просто сфотографирует экран компьютера телефоном и отправит снимок через личный мессенджер. Да, сегодня существуют технологии, которые позволяют отследить источник даже по фрагменту такого изображения, но сама утечка будет уже свершившимся фактом.
Один из подходов, которые могли бы внедрить банки, позволяющий минимизировать риски утечек, – модель «нулевого доверия» (Zero Trust). Эта концепция основывается на простом принципе: никому нельзя доверять по умолчанию. Даже если пользователь находится в корпоративной сети, имеет логин и пароль, доступ к данным должен предоставляться только после одобрения системой. Это особенно актуально для предотвращения инсайдерских атак, когда вредоносные действия совершает сотрудник с расширенными правами доступа.
Не менее важно обеспечить постоянный контроль за тем, кто и как взаимодействует с чувствительными данными. Если, например, сотрудник начинает выгружать клиентскую базу в нерабочее время, система должна моментально отреагировать. Автоматизация распознавания и блокировки таких аномалий позволяет своевременно пресекать потенциальные утечки, ведь в подобных случаях любое промедление может стоить слишком дорого.
Дополнительно стоит разворачивать базы данных в изолированных защищённых средах. Это позволяет ограничить риски копирования, экспорта и несанкционированного распространения информации, поскольку данные остаются внутри контролируемого периметра. И, вероятно, самая главная мера – внедрение современных комплексных решений защиты, таких как “Платформы безопасности данных” (Data Security Platform, или DSP). Они не только классифицируют данные по степени важности, но и управляют доступом, отслеживают действия пользователей в реальном времени и мгновенно реагируют на подозрительную активность.
Получается, что несмотря на то, что главной угрозой безопасности данных все еще остается человек, технологии позволяют минимизировать подобные риски. Все зависит лишь от того, насколько быстро и последовательно компании, в том числе банки, будут готовы внедрять актуальные подходы и инструменты.
Реклама. ООО «ЭвриТег», ИНН: 7708680740, Erid: 2SDnjd36aqU
Оригинал публикации на сайте CISOCLUB: "Банковский фрод: как мошенники используют ваши персональные данные".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
