На теневых форумах появились новые объявления о продаже персональных данных клиентов Сбербанка. На этот раз обнаружились сразу два "лота": с 20 тыс. и 100 тыс. строк. "Известия" проверили тестовый фрагмент первой базы и удостоверились в подлинности информации. При этом анализ экспертов показал, что сведения не совпадают с ранее выставленными на продажу - это говорит о том, что утечка новая. По словам продавца, он готов выгружать по 10 тыс. новых записей еженедельно и продавать каждую строку по 35 рублей. Мошенники могут воспользоваться этой информацией для кражи денег с использованием методов социальной инженерии.
ПАСПОРТ ЗА 35 РУБЛЕЙ
Объявление о продаже свежей базы клиентов Сбербанка появилось в DarkNet 12 февраля. Его разместил пользователь, который зарегистрировался на портале в середине января. Тогда же он и начал предлагать купить информацию о потребителях услуг Сбера.
Продавец заявил, что обладает 20 тыс. записей о клиентах Сбербанка стоимостью по 35 рублей. Он уверяет, что эти граждане проживают в регионах с часовым поясом +5 UTC, то есть в субъектах Уральского и Приволжского федеральных округов. Продавец добавил, что может дополнительно выгружать по 10 тыс. строк еженедельно.
В распоряжении "Известий" оказался тестовый фрагмент базы из 10 записей.
Каждая содержит название банковского подразделения, полные ФИО, номера счетов, паспортные данные, даты рождения и телефоны граждан. Судя по сокращённому названию подразделения, клиенты получили карты в Республике Башкортостан. Серия паспорта совпадает с кодовым номером (ОКАТО) региона.
"Известия" проверили мобильные телефоны через приложение "Сбербанк Онлайн", где при введении номера можно увидеть имя, отчество и первую букву фамилии. Шесть из десяти записей совпали, ещё три оказались не привязаны к приложению, один телефон показал другое имя.
По указанным номерам удалось дозвониться до четырёх клиентов: все подтвердили имя и дату рождения. Ещё два номера оказались недоступны, остальные не ответили на звонки. В телефонном разговоре корреспондент предупредил, что эти данные могут быть использованы мошенниками, и напомнил о необходимости быть бдительными.
С высокой долей вероятности это действительно клиенты Сбербанка, подтвердил технический директор компании по кибербезопасности DeviceLock Ашот Оганесян. По просьбе "Известий" он проверил данные из тестового фрагмента и заверил, что новая база не стала частью массовой утечки, о которой СМИ писали в октябре прошлого года. У новых записей другой формат, пояснил он, а данные, которые могут быть сверены (например, телефоны) в тестовых фрагментах, предоставленных продавцами тогда и сейчас, не совпадают.
Скорее всего, данные попали в продажу через инсайдера - сотрудника банка, который имеет доступ к информационной системе или серверу баз данных, откуда и делает выгрузку, предположил эксперт DeviceLock. "Известия" направили запросы в Сбербанк, ЦБ и Роскомнадзор об объявлениях, размещённых на форуме.
И ЕЩЁ ОДНА БАЗА
Базы обычно продают сами сотрудники организаций или посредники, которые находятся с ними в контакте, пояснил заместитель генерального директора компании по кибербезопасности Zecurion Александр Ковалёв. По его мнению, скорее всего, у служащего банка есть лимит для выкачивания информации о клиентах из системы - например, 2 тыс. записей в день. Поэтому в неделю он может "поставлять" фиксированное количество данных. В крупных компаниях есть технологии для фиксации аномального поведения сотрудников: например, они отслеживают, если человек вдруг стал выкачивать в десятки раз больше данных ежедневно, подчеркнул Александр Ковалёв.
- Баз Сбербанка на чёрном рынке действительно довольно много, и они часто обновляются. При этом большинство продавцов, присутствующих на теневых форумах, являются посредниками и предлагают примерно один и тот же набор баз, - утверждает Ашот Оганесян.
На теневом форуме "Известия" обнаружили ещё одно объявление о продаже данных клиентов Сбера на 100 тыс. строк. Однако веских доказательств подлинности этой информации нет. Продавец не предоставляет тестовый фрагмент. Ещё один торговец, с которым удалось связаться, также не пожелал предоставить "пробник", заявив, что ищет "выход на колл-центр".
Информация, которая содержится в продаваемой базе, не позволяет напрямую списывать деньги со счетов или оплачивать покупки по чужой карте, подчеркнул ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов. Однако любые персональные данные облегчают задачу злоумышленнику, который использует методы социальной инженерии для телефонного мошенничества, отметил он.
- Чтобы повысить доверие потенциальной жертвы, злоумышленники могут, например, предложить сверить паспортные данные. Обычно они вынуждают назвать CVV-код или пришедший одноразовый пароль, чтобы увести деньги. В последнее время они могут предлагать перевести средства на "безопасный счёт", который на самом деле оказывается мошенническим, - рассказал Сергей Голованов.
Он добавил: для того чтобы не потерять деньги, пользователям остаётся быть бдительными, самостоятельно перезванивать в банк по номеру на карте, не сообщать одноразовые пароли и не устанавливать по чьей-то просьбе сторонние приложения на смартфон.
Справка "Известий"
В октябре 2019 года СМИ сообщали об утечке данных 60 млн кредитных карт, принадлежащих клиентам Сбера. В банке тогда признали лишь компрометацию информации о 5 тыс. пользователей, которым заменили карты. Руководство Сбера говорило, что виновником утечки стал сотрудник компании, который руководил "сектором в одном из бизнес-подразделений банка". Также в прошлом году СМИ, в том числе "Известия", сообщали об утечках информации о вкладчиках ВТБ, пользователях услуг Бинбанка (санируется "Открытием") и Альфа-банка.