Манящие «Госуслуги»
— Россияне все чаще оформляют все документы, выплаты, карты, в общем проводят все больше операций через цифру, например, в тех же «Госуслугах». Что вы думаете о безопасности этого ресурса?
— Пока все свидетельствует о том, что сами по себе «Госуслуги» безопасны, однако невыполнение рекомендаций по работе с сервисом (например, отказ от двухфакторной аутентификации) или использование мошенниками методов социальной инженерии достаточно легко могут привести к взлому.
Например, в последнее время мошенники вполне успешно выпрашивают у пользователей SMS-код для смены пароля к личному кабинету сервиса и таким образом получают над ним контроль.
А на последствия такой доверчивости уже влияет проблема, характерная для всех российских IT-систем, включая и государственные сервисы, и онлайн-банкинг: они дают пользователю слишком много возможностей, без оглядки на степень его понимания того, что он делает. Не случайно сегодня в качестве средства борьбы с мошенниками в банках начинают рассматривать ограничение возможностей пользователя – «вторую руку», установку лимитов на виды и суммы операций и т.д.
— Была утечка исходного кода «Госуслуг» Пензенской области. Утверждалось некоторыми, что это по сути утечка исходного кода и всероссийских «Госуслуг». Корректно ли так говорить? Если нет, то в чем отличия пензенской версии от федеральной?
— Поскольку никто не видел исходного кода федерального портала «Госуслуги», точно ответить на этот вопрос невозможно. Однако представляя себе процесс разработки такого рода сервисов, можно предположить, что, как минимум, код вызова API информационных систем (Application Programming Interface - программный интерфейс взаимодействия между системами, который содержит описание способов, которыми одна компьютерная программа может взаимодействовать с другой программой. – «Газета.Ru») там может быть близок.
Даст ли это какие-то новые возможности злоумышленникам, мы узнаем в ближайшее время, так как «Госуслуги» стали сегодня одной из самых важных целей для взломщиков, и те явно инвестируют в анализ полученного кода время и ресурсы.
— Достаточно ли защищены наши государственные информационные платформы? Те же сайты ведомств, палат парламента?
— Государственные сайты являются, скорее, СМИ и чаще всего не содержат какой-либо важной информации, и самой «страшной угрозой» для них является «дефейс», когда информация и даже дизайн подменяются на другие. И судя по тому, что с региональными госсайтами такие проблемы случались, а с федеральными нет, все зависит от объема инвестиций в информационную безопасность. Что же до внутренних информационных систем ведомств, то они чаще всего изолированы от интернета, что позволяет в меньшей степени бояться внешних атак.
Зато с чем в государственном IT есть реальная проблема, так это с защитой от собственных сотрудников-инсайдеров.
Недаром стоимость «пробива» по государственным базам – самая низкая на черном рынке и примерно в 20 раз ниже, чем «пробив» в банках.
Не только противодействие выгрузке данных, но и контроль доступа вообще поставлен крайне плохо, и нередко целые подразделения пользуются одним и тем же логином, который может принадлежать давно уволившемуся сотруднику.
«Пробив» засчитан
— Что происходит с рынком «пробива» после 2020 года?
— В количественном выражении рынок падает, а в денежном растет. «Пробив» востребован у криминала и «серых» детективов, поэтому, несмотря на все усилия, не исчезает, а только растет в цене. В прошлом году медианная стоимость «пробива» выросла в 2,25 раза с 2020 года и почти в семь раз с 2017 года, когда мы проводили первое исследование.
Максимально – в 4,3 раза – с 2020 года подорожала информация о счетах и транзакциях граждан (так называемый «банковский пробив»).
Данные о звонках, SMS и геолокации телефонов продавались в прошлом году в 1,6 раза дороже, чем в 2020-м, а цена «пробива» по государственным информационным системам осталась практически без изменений.
— Сколько сейчас стоит «пробив» за одного человека в рублях?
— Что касается стоимости «пробива», то выписка по счету/карте физлица стоит от 15 тыс. до 25 тыс. руб. за месяц. Установление номера карты/счета по номеру привязанного телефона – от 7 тыс. руб.
Установление всех телефонов клиента, привязанных к картам/счетам по его паспортным данным – от 15 тыс. руб. Детализация звонков и СМС абонента за месяц – от 5 тыс. до 30 тыс. руб. в зависимости от оператора. Получение данных абонента по номеру его мобильного телефона – от 1 тыс. руб. Разовое определение местоположение абонента («вспышка») – от 8 тыс. руб.
«Пробив» по системе «Розыск-Магистраль», то есть передвижение на самолетах, поездах, автобусах, паромах стоит от 1,5 тыс. до 3 тыс. руб. за запись, поиск по АС «Российский паспорт»: данные по всем выданным внутренним и заграничным паспортам) – от 900 до 1,5 тыс. руб. за один запрос, а по системе «Рубеж» (пересечение границы России в любом месте и на любом транспорте) – от 3 тыс. руб. за один запрос.
— «Вычищают» ли его участников? Стало ли их больше или меньше?
— С «пробивом» борются и правоохранительные органы, и службы безопасности компаний, однако определенных успехов удалось достигнуть только банкам, да и там этот криминальный сервис не исчез, а только подорожал.
Приговоры сотрудникам операторов сотовой связи, продающих данные о звонках и SMS абонентов, выносятся практически еженедельно, однако меньше желающих заработать не становится.
В государственных ведомствах с «пробивом» даже не пытаются бороться – считается, что такой проблемы нет.
Столько пандемийных волн утекло
— Уже два года длится пандемия. Какие изменения произошли за это время в сфере утечек? Каких способов стало больше, а какие мы бы не могли представить еще в начале 2020 года?
— Никакого прямо-таки тектонического сдвига в области утечек данных в результате пандемии не произошло. Был сильный всплеск в первой половине 2020 года, когда компании массово переходили на удаленку, и IT-службы не справлялись с развертыванием терминальных решений, которые часто оказывались слабо защищены и давали возможность атаковать внутренние сети компаний.
Однако к концу года все адаптировались к удаленной работе и масштаб утечек пошел на спад. Более того, если говорить о массовых утечках (а не об индивидуальном «пробиве»), то их стало даже меньше, поскольку, как минимум, банки начали реальную борьбу с этой проблемой.
— Так банковских утечек стало меньше? Появилось ли что-то новое в инструментарии банковских интернет-мошенников?
— Под давлением и ЦБ, и постоянных публичных скандалов, банки начали не на бумаге, а на практике внедрять DLP-системы (Data Leak Prevention — специализированное ПО, защищающее организацию от утечек данных. — «Газета.Ru») и теперь незаметно выгрузить большой объем данных стало практически невозможно.
В результате, сегодня крайне редко можно найти в продаже базу данных с информацией о клиентах частных банков. С госбанками ситуация не так хороша, но все равно лучше, чем в 2018 году, на который пришелся разгул телефонного мошенничества.
К сожалению, услуги «пробива» банкам уничтожить так и не удалось, однако цена на него выросла почти в два раза, что говорит об усложнении процесса слива.
Правда, появилась другая проблема – утечки из маркетинговых систем финансовых организаций. Передача процесса привлечения клиентов на аутсорсинг и рост числа маркетплейсов привели к тому, что заявки на покупку финансовых продуктов и открытие счетов гуляют между подрядчиками и самим банком, хранятся и обрабатываются с минимальным уровнем защиты и, естественно, утекают и попадают в продажи.
Не отстают и сами банки, развивающие цифровую инфраструктуру по принципу «тяп-ляп и в продакшен» и не тестируя даже самые банальные дыры в безопасности. В результате, в продаже появляются данные, собранные путем «брутфорса» (перебора параметров – например, номера телефона клиента).
Такие базы не содержат критичной информации, но позволяют, например, составить список клиентов банка, который затем можно обогатить данными из других источников и использовать для социальных атак.
Советы от эксперта по утечкам
— Было исследование про популярные пароли россиян. Там были в том числе имена «наташа», «максим», «марина», «андрей» и «кристина». А есть ли имя, которое можно было бы выбрать в качестве надежного пароля?
— Никакое имя и вообще слово, содержащееся в словаре, не должно быть использовано в качестве пароля, так как именно по словарям происходит первичный перебор и при брутфорсе (подборе паролей), и при расшифровке данных из утечек. На компьютере лучше всего использовать случайные наборы букв, цифр и знаков, которые лучше всего хранить в менеджере паролей.
Для паролей, которые нужно запомнить, лучше использовать мнемонические правила – например, длинные предложения из определенных букв слов, из которых и складывается сам пароль.
— Была новость о том, что клиентка отдала в ремонт мобильный телефон, а мастер получил доступ к ее мобильному банку и украл деньги. Как такое возможно? Он сумел узнать ее пароль? И как в таком случае могла проводиться операция? Через банкомат с помощью Apple/Google Pay, который дает снять деньги с помощью пароля?
— Такое происходит нередко, однако подвальный сервис не NSO Group (израильская фирма, разработавшая шпионское ПО Pegasus для слежки за пользователями iPhone. – прим. ред.) и такие хищения также не обходятся без социальной инженерии.
Чаще всего, ремонтник получает пароль, так как он якобы необходим для включения и проверки телефона. При этом дополнительные пароли в банковском приложении либо не используются, либо совпадают с основным.
В результате вор просто переводит средства на счет нужной банковской карты или, что реже, оплачивает покупки с помощью Apple или Google Pay.
Естественно, сдавать телефон в ремонт нужно, не называя ремонтнику пароль и отвязав карты и счета от внутреннего кошелька и приложений, которые их используют и лучше всего без SIM-карты, если она привязана к онлайн-банку или «Госуслугам».