Благодаря обширной сети вербовщиков и инсайдеров в банках системы безопасности кредитных организаций уже никто не взламывает за ненадобностью. И несмотря на то что теневой интернет для продажи и покупки банковских данных сейчас не используется, торговля ими не прекращается ни на день. Об этом в интервью "Известиям" сообщил основатель сервиса разведки утечек и мониторинга даркнета DLBI Ашот Оганесян. В ходе беседы эксперт поделился информацией о стоимости записей в базах и рассказал, как работают главные площадки, на которых совершаются такие сделки.
Комментарий ВЭП
На секции "Банковское дело" Уральской молодежной конференции "Современные финансы и цифровая экономика" (УМКО-2020), которая пройдет в ноябре 2020 года, предложена, как превилигированная тема для докладов "Актуальные меры по предотвращению утечек из российских банков баз данных клиентов".
- Действительно ли свежие базы данных в русскоязычном сегменте даркнета уже не продаются? - Да, им никто не пользуется, это слишком неудобно. Есть совершенно обычные форумы в клирнете (общедоступный, обычный интернет. - "Известия"), которые используются для продажи таких баз. - Почему это неудобно? - А зачем делать непонятную адресацию через оnion ("луковый" псевдодомен верхнего уровня, созданный для обеспечения доступа к анонимным или псевдоанонимным адресам сети Tor. - "Известия"), которую невозможно запомнить никому, когда можно сделать в открытой доменной зоне io, например. Или любой другой - их тьма. Единственное правило - не залезать в зону ru, так как ru-домены очень просто блокировать и изымать. Tor нужен тем, у кого заблокирован интернет, а человек действительно имеет желание где-то полазить. Анонимность там тоже сомнительная. - Получается, что Tor российским пользователям вообще не нужен? - По сути, нет. Это жутко медленно и неудобно. - А кем чаще всего используется даркнет? - В классическом понимании русскоязычный даркнет сейчас - это сайт для продажи наркотиков. То есть даркнет теперь нужен прежде всего наркоманам. - Но оружие ведь там тоже продается? - "Русское" оружие - это вообще отдельная тема. Если вы видите объявление по продаже оружия в даркнете - это либо "подстава", либо обман. В большинстве случаев это мошенники, которые просто будут выманивать деньги через предоплату. - То есть оружие ходит другими путями? - Да, причем определенное. Если смотреть сводки МВД, когда кого-нибудь задерживают или находят оружие на месте преступления, - это, как правило, переделанный "травмат" либо пистолет Макарова. Если же в объявлении мы видим широкую номенклатуру от "Глока" до "Беретты", это точно мошенничество. Вся схема будет заключаться в необходимости перевести часть денег в качестве предоплаты. "Если ты несерьезный покупатель, я с тобой не хочу тратить время. Переведи мне 20 тыс. рублей из двухсот - то есть 10% - и мы начнем разговаривать". Дальше человек просто пропадает. - А где же тогда существуют вербовщики? Где идет наем на нелегальную работу? Не раз сообщали, что это происходит именно в даркнете. - Нет, сейчас там не существует никто. Этим направлением тоже можно пренебречь, если мы говорим о русскоязычном сегменте. Все вербовщики сидят в клирнете, на форумах в разных ветках. Но потом разговор часто уходит в Telegram.
Основные площадки
- Так сколько форумов нужно мониторить, если клиент решил прикупить свежую базу банковских данных? - Если главных, то штук пять. Всего форумов, которые имеет смысл мониторить, примерно десять. Для клиентов мы занимаемся мониторингом вообще всех ресурсов подобного рода, их около ста. Но не бывает такого, чтобы на неизвестном форуме из второй или третьей десятки что-то было, а на топовом из первой - нет. Однако мы смотрим все - на всякий случай. - Почему эти пять форумов стали главными? Так "исторически сложилось"? - Да, они успели заработать себе репутацию - это важный момент. Форум выполняет функцию гаранта при сделках, где продавец и покупатель анонимны. - Как это работает? - Размещать объявление на форуме может кто угодно. Я могу прийти и написать, что у меня есть база в 1 млн кредитных карт банка АБВ и я готов ее продать за $2. На самом деле у меня ничего нет. Ко мне набегут 100 "пионеров", я их обману на целых $200. Форум пострадает, потому что все начнут писать: "Я потратил 200 рублей, а меня обманули". Поэтому такого там делать не разрешают. Как только кто-то разместит объявление о продаже, форум "с репутацией" такое объявление заблокирует и потребует внести депозит. Подавший объявление положит на свой счет (на этом форуме) криптовалюту - какой-то эквивалент процентов от сделки, которую он пытается совершить. Если он кого-то обманет - депозит уйдет в пользу пострадавшего. - "Гарант" берет проценты за сделку? - Да, как правило, 10%. - Много. - Да. Там недешево - все сделки черные, риск большой. - Какова средняя продолжительность жизни форума? - Какие-то форумы очень давно существуют, лет десять. - Так долго? И их не блокируют? - Блокируют постоянно, поэтому у них часто меняются домены. На этот случай заготовлен специальный запас доменных имен. Какой-нибудь .me у них используется, немецкие домены .de, австрийский .at. Как только их блокируют, они быстро меняют домен. В большинстве случаев даже нельзя узнать, где они хостятся, потому что они находятся за системами защиты от DDoS, которые не показывают реальный IP-адрес сервера.
От рубля до сотни
- Как быстро вы получаете информацию, что база выставлена на продажу? - Как только она поступает в продажу. - В ту же секунду? У вас звенит звоночек? - К сожалению, так сделать не получится. - Автоматизировать нельзя? - Можно автоматизировать поиск по ключевым словам, но ведь неизвестно, что внутри. Надо каким-то образом получить образцы - причем именно законным, по-другому мы не работаем. - Как же это делается? - Надо договориться с продавцом, что ты якобы хочешь у него что-то купить. Если это "нормальный" продавец, он должен предоставить какие-то образцы, потому что нельзя продавать что-то абстрактное - нужны доказательства подлинности базы. Например, если он продает тысячу записей о клиентах банка, то может предоставить десять строчек как доказательство. - Банковские базы продаются целиком или поштучно? - Это самый дорогой товар. Они, конечно, могут продаваться и поштучно. У каждой записи определенная цена. - Сколько? - От нескольких до сотен рублей за одну запись - в зависимости от того, какой банк, что содержится в записи. Если запись будет содержать все паспортные данные, остатки на счетах, телефон, e-mail, она может стоить сотни рублей. Если она, конечно же, уникальна. Бывают, что записи перепродают сразу в несколько рук. Это называется "отработка". - Это говорится в открытую или скрывается? - Бывает по-разному. - Покупателям важно приобрести именно уникальную базу? - Ценность этих баз для мошенников в том, что они, получив конфиденциальную информацию, будут звонить людям. Если человеку до него уже десять раз позвонили другие мошенники - одиннадцатому точно не повезет. Как и десятому, и девятому? Повезет только первому, максимум - второму. Поэтому такие базы или продают в одни руки, или сразу предупреждают, что это "отработка", и тогда на нее будет серьезная скидка. - За один раз можно купить сколько угодно записей - тысячу или, например, миллион? - Нет, мошенники не всегда говорят, сколько у них записей. Базы добываются разными путями, поэтому тут всегда индивидуальный сценарий. Стоимость базы зависит либо от размера, либо от тематики. Одно дело ты получаешь клиента, который просто зарегистрировался на игровом сервисе. Сам по себе он не представляет никакого интереса. Ценно, что их 200 млн - это нужно для аналитики, для взлома других сервисов. Другое дело, когда ты получил одного клиента, у которого на счету 1 млн рублей, и, предположим, таких у тебя 100. Велика вероятность, что ты сможешь применить социальную инженерию и выманить у них деньги. Тут совершенно разная ценность информации, поэтому стоимость последней базы - 200-300 рублей за запись. 200 млн игроков продадут за три-четыре биткоина. Может, за пять.
"Вещь в себе"
- Существуют ли ворованные базы банковских данных, которые не продают? - Конечно. Очевидно, такие есть. - То есть кто-то взломал, допустим, банк. Об этом никто не знает и преступник продолжает пользоваться информацией? - "Взломал" - вряд ли. Уже давно банки никто не взламывает. Зачем? Есть инсайдеры. Банк слишком много тратит на защиту периметра, взломать его довольно сложно. Иногда - очень редко - информация добывается через какие-то уязвимости. Я помню с российскими банками два таких случая из всех за последнее время.
- С помощью инсайдера можно достать информацию откуда угодно? - Плюс-минус. Есть банки, по которым нельзя достать. Как правило, они очень маленькие, потому спроса на них нет. - Что сейчас в тренде? Какие базы чаще всего продают? - Появляется всё больше и больше банковских баз для колл-центров. То есть для прозвона. - Как часто они появляются? - Банковские данные продаются каждый день. Другой вопрос, какого банка и какой свежести - это надо анализировать. - Эта сфера когда-нибудь будет отрегулирована? Возможно что-то с этим сделать? - Да. Ведь с западными банками такого не происходит. Нельзя куда-нибудь зайти и купить выгрузку Deutsche Bank или Bank of America. Если бы и российские банки штрафовали на процент от оборота - я уверен, что они бы эту проблему решили.