Утечка личных данных: новые возможности для мошенников

Данные останутся личными, только если о них никто не знает

23.10.2019 в 05:29, просмотров: 583

Кто владеет информацией — тот владеет миром. Сегодня это не просто крылатое выражение, но и один из возможных инструментов, дающий возможность для мошеннических манипуляций и даже позволяющий завладеть чужим имуществом.

Утечка личных данных: новые возможности для мошенников

Регистрация — не панацея

Рынок сотовых телефонов в Казахстане лихорадило с момента их массового распространения. Этому есть ряд причин, которые и сейчас сохраняют актуальность. Во-первых, сотовый телефон или смартфон — это устройство, которое легко отобрать или украсть, удобно скрыть и можно выгодно продать. Действительно, «трубка» ведь не телевизор, который нужно как-то еще вытащить из квартиры, да и «выигрыш» от крупной бытовой техники не тот. В свою очередь стоимость смартфонов сегодня исчисляется сотнями тысяч тенге, а флагманы потихоньку подкрадываются к отметке в один миллион тенге. Согласитесь, не слабо!

Во-вторых, сложность раскрытия преступлений, связанных с хищением гаджетов. Раньше карманные воришки сразу после злодеяния мастерски вскрывали телефоны (а некоторые делают это и сегодня), удаляя из них sim-карты и аккумуляторные батареи, что не позволяло в дальнейшем запеленговать устройство. Сбыть награбленное на черном рынке — дело не хитрое, и пока есть спрос, предложение будет всегда.

Ситуация изменилась в начале этого года, ведь с 1 января в Казахстане завершился процесс регистрации абонентских устройств по IMEI-коду — это своего рода «паспорт» смартфона, в котором зашифрованы его основные параметры, такие как модель, страна производства. Сейчас все мобильные телефоны привязаны к ИИН владельцев sim-карт. Телефоны, которые абоненты не зарегистрировали путем отправки своего ИИН по sms в течение 2018 года, зарегистрировали автоматически (1 января 2019 года), и они привязаны к используемым SIM-картам.

Другими словами, у операторов сотовой связи теперь есть информация не только о вашем ИИН, но и о самом гаджете, а значит, и его среднерыночной стоимости. Это не сильно радует. Почему — объясним позже.

Тотальная регистрация устройств действительно привела к снижению числа заявлений в полицию в связи с их хищением. Привязка устройства к ИИН, а значит, и к человеку значительно усложнила возможность сбыта краденого, но эта мера не панацея. Дело в том, что злоумышленникам вовсе не обязательно продавать украденную вещь целиком как полноценное работающее устройство. Его можно продать на запчасти. Понятно, что в таком случае сумма выручки за товар значительно падает, однако, например, наркоману, по большому счету, все равно, сколько стоит этот телефон в магазине, главное — чтобы ему хватило на дозу.

Также не стоит забывать и о том, что есть преступники, которые не воруют все подряд, а специализируются исключительно на дорогих гаджетах. Такие «мастера» после совершения кражи не пытаются побыстрее избавиться от изделия, а стараются получить от продажи устройства максимальную выгоду. Для этого с помощью специального оборудования и программного обеспечения они перепрошивают IMEI-коды, порождая множество клонов. После его продают как смартфон, не числящийся «в угоне». Кстати, IMEI-дублеры попадаются и в случае завоза контрабандной продукции.

В зоне доступа

В конце прошлой недели в Казахстане заработал новый сервис, позволяющий проверить, какое количество номеров зарегистрировано на абонента. Для этого необходимо ввести свой ИИН на страничке сервиса http://imei.rfs.gov.kz/checkiin/. Система покажет количество зарегистрированных абонентских номеров, а также операторов, которые их обслуживают.

«К нам периодически обращаются граждане в связи с тем, что они узнают о том, что являются владельцами номеров, которые никогда на себя не регистрировали и не использовали. Поэтому мы рекомендуем казахстанцам проверить количество зарегистрированных на себя номеров, так как их владельцы несут за их использование персональную ответственность», — дал интервью председатель комитета телекоммуникаций Министерства цифрового развития, инноваций и аэрокосмической промышленности Виталий Ярошенко.

«В том случае, если абонент обнаружит на своем ИИН номера, владельцем которых он не является, комитет телекоммуникаций рекомендует обратиться к офис-оператору связи и закрыть эти номера», — говорится в официальном сообщении.

Мы проверили. Система работает быстро, но... не совсем эффективно. Сервис действительно выдает список, но не самих номеров, зарегистрированных на человека, а лишь численное количество. То есть узнать, какой именно на тебе висит номер, быстро не получится, для этого потребуется проследовать к оператору сотовой связи и уже на месте выяснять все обстоятельства.

Столь скрупулезная проработка этого вопроса — привязка IMEI, возможность проверки регистрации и прочее, конечно, радует. Пугает другое. Ведь вся информация аккумулируется в конкретных базах данных, которые, как оказалось, могут и «прохудиться».

В начале октября стало известно о том, что в открытом доступе обнаружили базу данных оператора сотовой связи «Вымпелком» (российская торговая марка «Билайн»), в которой насчитывается около девяти миллионов строк об абонентах. Речь идет о российских гражданах, а «утечка» произошла исключительно у тех, кто пользовался домашним интернетом оператора. Местные СМИ провели ряд журналистских расследований, которые показали, что в архиве есть актуальные данные, а самое главное — то, что ими могут воспользоваться мошенники. Информация из базы может представлять ценность для мошенников, пользующихся приемами социальной инженерии, — это введение в заблуждение за счет имеющейся информации с целью выведать у жертвы данные для хищения его средств.

По словам представителей «Билайна», украденная и распространяемая база данных содержит сведения, актуальные на 2017 год. «Часть информации в распространенном архиве действительно содержит данные абонентской базы клиентов фиксированного интернета, однако значительная часть информации носит устаревший характер и не актуальна», — прокомментировали российским коллегам в компании. Но, согласитесь, тот факт, что многие люди из базы, оказавшейся в открытом доступе, уже не являются клиентами «Билайна», не снижает их риски.

Информационная брешь

О какой именно информации все-таки идет речь? В первую очередь следует обратить внимание на цифру 8,7 миллиона, которую называют во многих публикациях. Сам оператор, комментируя утечку, утверждает, что число пользователей проводного интернета на II квартал 2019 года насчитывало в общей сложности не более 2,5 миллиона человек. Допустим. Но нельзя исключать, что в 2017 году их число было совершенно другим.

При этом саму базу можно было скачать в «зазипованном» архиве, где была приложена инструкция по работе с ней посредством приложения Cronos-PRO, разработанного компанией «Кронос-Информ». При распаковке статистика Cronos-PRO указывала на содержание в базе данных свыше 8,7 миллиона записей (!) и не более того. Сколько записей приходится на одного абонента — неизвестно. То есть на одного человека могло приходится с десяток, а может быть, и сто записей, что говорит о неверной трактовке численности людей, вовлеченных в эту ситуацию. Их было в разы меньше.

Какие именно данные были распространены? Вопрос интересный. База включала информацию об именах и фамилиях клиентов, а также номера договоров. Помимо этого в документе были указаны домашние и рабочие адреса и контактный номер телефона. Что радует, паспортных данных абонентов и их паролей к личным кабинетам в базе не было. То есть говорить о том, что, скачав базу данных, каждый желающий смог бы беспрепятственно влезть в чужой личный кабинет, не приходится. Однако в некоторых случаях и этого кейса достаточно, чтобы мошенник попытался совершить аферу.

К слову, это не единственный скандал, связанный с распространением конфиденциальных данных, которыми запомнился уходящий месяц. За несколько дней до появления в сети базы данных поставщика сотовой связи в интернете выставили на продажу архив с украденными сведениями о 60 миллионах карт клиентов Cбeрбaнкa.

И на этот раз «продукт» содержал намного больше полезной информации, включающей в себя подробные персональные данные владельцев кредитных карт: ФИО, паспортные данные, а также всю информацию о кредитных картах клиента и операциях по ним, включая кредитный и неиспользованный лимит. По мнению некоторых экспертов, эта утечка стала самой крупной в российском банковском секторе.

Банк сразу провел служебное расследование, которое в течение суток позволило выявить злоумышленника. Основной версией следствия были умышленные преступные действия сотрудника. Так, в результате внутреннего расследования служба безопасности банка во взаимодействии с правоохранительными органами нашла руководителя сектора в одном из бизнес-подразделений банка, который имел доступ к базам данных.

Он действительно попытался похитить в корыстных целях информацию о клиентах, но безуспешно. Как отметили в пресс-службе Cбeрбaнкa, им удалось собрать все улики, доказывающие вину сотрудника. Тот дал признательные показания, за которыми последуют суд и уголовная ответственность.

Стоит признать, что сейчас современные технологии требуют от пользователей все больше личных данных. Это не только ФИО и дата рождения, но и отпечатки пальцев, «слепок» с лица и даже сканирование сетчатки глаза. До определенной степени конфиденциальность работает на его владельца, но, как только возникает риск «утечки», начинаешь задумываться: а нужно ли пользоваться этими «благами» современных технологий, защита которых, откровенно говоря, еще совсем сырая.

Сейчас единственно возможный способ борьбы со сливом и распространением баз данных заключается в выявлении и привлечении к ответственности тех, кто этим занимается. Но здесь опять-таки все сводится к пресловутому человеческому фактору.