Тёмная сторона цифровизации. Как мошенники могут легально получать данные для обогащения утёкших баз
На просторах DarkWeb в ноябре был обнаружен сервис по проверке данных по проверке данных пользователей телефонов с помощью системы быстрых платежей (СБП)[1]. На вход системы подается список телефонов, которые после работы чекера дополняются такими сведениями как имя, отчество абонента и список банков, зарегистрированных на него в СБП. Это позволяет обогащать данными утекшие базы, которые публикуются и продаются на черном рынке. Впрочем, СБП – не единственная система, за счёт которой злоумышленники стремятся обогащать утекшую информацию. И по мере цифровизации таких систем будет становиться все больше.
Содержание |
Телефон как паспорт
Сейчас телефонный номер очень часто используется как идентификатор личности, поскольку оператор может предоставить правоохранительным органам полные сведения о владельце номера. Однако изначально система телефонных номеров не предполагала их использование в качестве идентификатора. Их не очень много: в одной зоне может быть до 10 млн номеров, что позволяет при современном развитии технологий их перебрать практически полностью.
В принципе, в утечках персональных данных даже нет особой необходимости – достаточно позвонить на каждый из номеров и посмотреть, отвечает ли он, если отвечает, то поднимает ли трубку владелец. Далее «живые» номера прогоняются через чекер, о котором идёт речь выше, и вот у мошенников уже есть база телефонных номеров с именами и отчествами, а также названиями банков и другой полезной информацией, которая может быть использована для составления легенды при проведении социальной инженерии. Никаких дополнительных утечек данных и не нужно.
Многое зависит от реализации, но в любом случае такие сервисы – это подарок хакерам и охотникам за информацией, – пояснил для TAdviser Андрей Масалович, президент «Инфорус». – Если подобные запросы к тому же можно реализовать без аутентификации и ограничений на количество, это с неизбежностью приведет к появлению скриптов-«пылесосов», которые будут воровать пользовательские данные целыми массивами - тысячами и десятками тысяч. |
Причем телефонный номер фактически уже закреплен как один из возможных идентификаторов человека. Так, в принятом в конце июня этого года законе №406-ФЗ, который вносит изменения в «трёхглавый» закон №149-ФЗ, одним из возможных вариантов авторизации при подключении ко всем сервисам может быть номер телефона владельца. Считается, что проверка в виде одноразового кода в СМС гарантирует самостоятельную авторизацию на соответствующем сервисе, однако злоумышленнику, чтобы выдать себя за другого, достаточно просто получить на время доступ к телефону жертвы.
Оптимизация расходов
Мошенничество с использованием персональных данных уже превратилось в полноценную индустрию, которая позволяет злоумышленникам распределять роли, автоматизировать процесс отъема денег у населения и даже оптимизировать расходы. В частности, данные, которые получаются из различных утечек, нужно сначала проверить на валидность, чтобы не тратить дополнительные ресурсы на проработку заранее проигрышных схем мошенничества. Поэтому верификация номеров телефонов, паспортов и различных адресов является важной частью работы мошенников по работе с информацией.
Получив данные паспорта из утекшей базы они, прежде чем начать его использовать в своей преступной схеме, должны проверить его действительность. И сервисы для проверки таких данных есть – недавно Минцифры анонсировало возможность проверки паспортных данных граждан России с помощью сайта Госуслуг, который взаимодействует с базой данных МВД. В принципе, владельцы нелегальной базы могут его использовать для оптимизации своей деятельности, тем не менее, такой опасности, как СБП, он не представляет.
Ничего нового не появилось, – заявил в разговоре с TAdviser Ашот Оганесян, автор телеграмм-канала «Утечки информации» и основатель сервиса разведки утечек данных DLBI. – Всегда все использовали https://service.nalog.ru/inn.do для проверки паспортов. |
Появление таких «полезных» для мошенников сервисов не редкость. Так в начале ноября компания «СберКорус» открыла сервис для проверки физических лиц, который подключен к 7 официальным государственным источникам информации: МВД, Росфинмониторинга, ЕФРСБ, ФНП, ФНС, ФССП, ГИБДД. Однако для того, чтобы им воспользоваться, нужно открыть компанию или работать в HR-отделе уже действующей компании. К тому же, количество запросов к базе ограничено – в самом дорогом пакете можно проверить до 30 человек в месяц.Метавселенная ВДНХ
Таким образом, этот сервис соответствует критерию Масаловича – он требует аутентификацию и имеет ограничения по количеству запросов, в отличии от СБП, где, хоть авторизация и есть, но количество запросов не ограничено. Доступ к большому количеству официальных баз может сделать и такой сервис полезным для мошенников.
Естественно, как и любые другие легальные инструменты, такие сервисы могут быть использованы и злоумышленниками в своих целях, но надо учитывать, что сами по себе подобные сервисы не предоставляют какую-либо конфиденциальную информацию о лице, чьи данные подвергаются проверке, – заявил TAdviser Александр Вураско, эксперт центра мониторинга внешних цифровых угроз Solar AURA ГК "Солар". – Сама по себе проверка валидности документа не несет угрозы для его владельца. Равно как не является непосредственной угрозой и информация о том, что обладатель телефонного номера имеет счета в том или ином банке. |
Собственно, подобные сервисы существовали давно и предназначались как раз для повышения безопасности при совершении сделок и иных подобных операциях. Сведения о том, что паспорт конкретного лица является действительным (при условии, что у запрашивающего уже имеются паспортные данные) не могут представлять угрозы, хотя и позволяют оптимизировать «бизнес-процессы» злоумышленников. При проектировании подобных сервисов нужно соблюдать баланс пользы и вреда.
Разведка по легальным сервисам
Собственно, получение ценной информации из легальных сервисов в последнее время принято называть разведка по открытым данным (Open-Source Intelligence – OSInt), и по мере цифровизации государственной и бизнес-деятельности информации для подобных разведок будет только больше. Цифровые паспорта, электронные накладные и страховые полиса – все они требуют возможности проверки в режиме реального времени и могут легально предоставлять полезные для мошенников сведения. Важно при их проектировании предусмотреть механизмы аутентификации пользователей, ограничения количества запросов и мониторинга подозрительной активности, чтобы в дальнейшем можно было их использовать для расследования злоупотреблений.
В то же время телефонный номер сложно обезопасить от злоупотреблений. В телефонии используются технологии, которые разрабатывались без соблюдения требований безопасности, что сейчас и создает проблемы как для поиска телефонных террористов, так и для расследования международных инцидентов – использование телефонного номера все-таки должно опираться на международные стандарты. В результате сейчас телефония становится важной частью мошенничества, которой с одной стороны пользователи доверяют, а с другой – является достаточно анонимной.
Уже складывается практика, когда телефонные звонки с неизвестных номеров люди просто не принимают, и чтобы дозвониться конкретному человеку, нужно предварительно предупредить его через один из альтернативных каналов коммуникаций. Доверие к телефонной сети постепенно разрушается, поскольку в ней не предусмотрены современные механизмы безопасности.