Происшествия Экономика Политика Общество Культура Отдых Спорт Выборы Спецпроекты Мнения
Дыра в электронном кошельке
Сбербанк нашел виновного в утечке данных сотрудника.

Чем опасны для россиян участившиеся утечки банковских данных


Данные 60 миллионов клиентов Сбербанка утекли в сеть и попали в руки злоумышленникам – эта новость, появившаяся 3 октября, прозвучала действительно пугающе. По сведениям газеты «Коммерсант», именно столько владельцев кредитных карт упомянуты в базе данных, обнаруженной в продаже на одном из заблокированных Роскомнадзором форумов. В выложенной злоумышленниками таблице, указывает издание, содержатся в том числе детальные персональные данные, подробная финансовая информация о кредитной карте и операциях.

И хотя позже представители банка убедительно опровергли большую часть опубликованных сведений, указав, например, на тот факт, что общий объем выпущенных Сбером кредиток не превышает 40 миллионов штук, но осадочек, как говорится, остался. Тем более что проверка части базы, которую удалось получить авторам расследования, показала – люди, перечисленные в ней, реальны, а их данные соответствуют действительности.
Глава Сбербанка Герман Греф рассказал, как в финансовой организации расследовали инцидент с утечкой данных 200 клиентов.
В настоящее время сотрудники правоохранительных органов ведут с подозреваемым процессуальные действия. В Сбербанке подчеркнули, что риск утечки данных, помимо информации о кредитных картах 200 клиентов, отсутствует.

"Уже 2 октября вечером, когда появилась информация, понимали, что есть утечка из наших систем. Наши службы, которые занимаются кибербезопасностью, они делятся на две части: это наша внутренняя служба, которая занимается обеспечением безопасности контура банка, и вторая — наше дочернее предприятие Bi.Zone, которое занимается функцией разведки в интернете и так называемого белого хакинга", — пояснил Греф.

Герман Греф
Глава Сбербанка РФ
5 октября в банке заявили, что сотрудник кредитной организации дал признательные показания в связи с утечкой и в настоящее время представители правоохранительных органов ведут с ним процессуальные действия.


Но, конечно, произошедшее в Сбербанеке отнюдь не является первой крупной утечкой в России. Простая попытка отследить по новостям тему утечек персональных данных россиян показывает, что подобные факты фиксируются едва ли не еженедельно. Так, в августе из-за ошибки сотрудников оказались в открытом доступе данные более 70 тысяч клиентов банка «Открытие» - они тоже попали в продажу. Этим же летом в интернете нашлась база со сведениями о почти миллионе человек, пользующихся услугами ОТП-банка, Альфа-банка и ХКФ-банка.
Разумеется, достоянием всемирной сети оказываются отнюдь не только банковские данные. По данным аналитической компании Infowatch в целом в мире только за третий квартал нынешнего года в интернет утекли более полутора миллиардов записей с конфиденциальной информацией. Среди них, например, данные о 419 миллионах пользователей Facebook, 218 миллионах геймеров с площадки онлайн-игры Words with Friends. Но, по понятным причинам, именно сведения финансового характера представляют в этом контексте особую проблему.

Чем это опасно


С одной стороны, эксперты говорят, что чаще всего «сбежавшие» данные используются в относительно безобидных целях. Их скупают компании, специализирующиеся на формировании клиентских баз и «холодных обзвонах» потенциальных покупателей. Конечно, получить на телефон порцию спам-звонков с предложениями не самых нужных товаров и услуг неприятно, но в целом беда невелика.
Но вот когда базы попадают в руки профессиональных мошенников, все может повернуться гораздо серьезнее. Опираясь на ставшие им известными конфиденциальные данные, злоумышленники запускают методы так называемой социальной инженерии. Самая распространенная схема включает в себя звонок от якобы банковского служащего, в ходе которого «служащий» сообщает для убедительности подробные сведения о счете потенциальной жертвы, и объявляет о том, что в целях устранения угрозы безопасности ей нужно немедленно предпринять ряд действий. Жертву могут попросить продиктовать данные CVV-кода на обратной стороне карты, или же сообщить код, пришедший по смс.
Казалось бы, подобные требования в телефонном разговоре должны вызывать лишь одну реакцию – немедленное прекращение разговора и обращение в службу безопасности банка. Но, к сожалению, они работают. По данным «Известий», анализировавших объемы потерь от этого вида мошенничества, только за несколько июльских дней и только в одной Москве лжебанкиры вытащили у доверчивых граждан около шести миллионов рублей! Разумеется, их жертвами чаще всего становятся люди, не имеющие должного уровня финансовой грамотности и осведомленности о рисках – в первую очередь пожилые.

Что с этим делать


Разумеется, нельзя сказать, что банковские учреждения не пытаются победить утечки данных своих клиентов. Для них каждый подобный случай несет серьезные репутационные риски, и потому банки делают многое для того, чтобы перекрыть возможные каналы оттока информации. Например, постоянно ужесточая правила работы своих сотрудников с чувствительными данными, и внедряя все более изощренные методы технического контроля.

Но пока объемы фиксируемых утечек говорят о том, что усилия банков оказываются достаточными как минимум не всегда. Именно поэтому особое значение приобретают методы финансовой самозащиты для обычных граждан. Среди них есть немало очевидных, которыми, однако, зачастую пренебрегают – это формирование достаточно сложных паролей, включение обязательной двухфакторной авторизации (когда ввод логина и пароля дублируется вводом кода из смс) для всех операций с онлайн-банками. Важным условием является и отказ от использования одних и тех же паролей для доступа к финансовым услугам, и, например, развлекательным сайтам или онлайн-магазинам. Разумеется, в целях защиты от упомянутых выше методов социальной инженерии нужно регулярно проводить «ликбезы» со старшими родственниками, неискушенными в современных технологиях.
К слову, защитить свои данные российским пользователям помогают и представители IT-бизнеса, в том числе и достаточно неожиданными способами. Например, основатель компании Nitro-Team и специалист по информационной безопасности Батыржан Тютеев запустил Telegram-бот MailSearchBot, позволяющий пользователю проверить, попадали ли пароли от его электронной почты в базы утечек. Для создания бота Тютеев сформировал базу из 9 миллионов email, когда-либо подпадавших под компрометацию. Автор этих строк, в целом довольно аккуратно относящийся к собственной интернет-безопасности, обнаружил в базе пароли от нескольких аккаунтов на развлекательных сайтах, привязанных к одному из своих электронных ящиков, и сделал для себя необходимые выводы.

Влад Назаров