Lokacijo katerega koli Rusa lahko ugotovite za 8.000 rubljev, je dejal Ashot Oganesyan, ustanovitelj obveščevalne službe DLBI za obveščanje o uhajanju podatkov in spremljanje temnega omrežja. V intervjuju je navedel tudi druge cene na »prebojnem« trgu. Na primer, za samo 3 tisoč rubljev. lahko ugotovite, ali je oseba zapustila Rusijo. Strokovnjak je poročal tudi o novi goljufiji z "Gosuslugi" in govoril o nevarnosti prenosa pametnega telefona v servisne delavnice.

Privlačen "Gosuslugi"

- Rusi vse bolj sestavljajo vse dokumente, plačila, kartice, na splošno vse več transakcij izvajajo prek digitalnih, na primer v istem "Gosuslugi" . Kaj menite o varnosti tega vira?

»Zaenkrat vse kaže, da so sami Gosuslugi varni, vendar neupoštevanje priporočil za delo s storitvijo (na primer zavrnitev dvofaktorske avtentikacije) ali uporaba metod socialnega inženiringa s strani goljufov lahko zlahka pripelje do vdora.

Zadnje čase goljufi na primer precej uspešno zahtevajo od uporabnikov SMS kodo, da spremenijo geslo za osebni račun storitve in tako pridobijo nadzor nad njim.

In na posledice takšne lahkovernosti že vpliva težava, ki je značilna za vse ruske IT sisteme, vključno z vladnimi storitvami in spletnim bančništvom: uporabniku dajejo preveč priložnosti, ne glede na stopnjo njegovega razumevanja tega, kar počne. Ni naključje, da danes banke kot sredstvo za boj proti goljufom začenjajo razmišljati o omejevanju uporabnikovih zmožnosti – »second hand«, o postavljanju omejitev glede vrst in zneskov transakcij itd.

- Prišlo je do puščanja izvorne kode "Gosuslug" regije Penza. Nekateri trdijo, da gre v bistvu za uhajanje izvorne kode in vseruskega "Gosusluga". Ali je pravilno tako reči? Če ne, kakšne so razlike med različico Penza in zvezno?

- Ker nihče ni videl izvorne kode zveznega portala "Gosuslugi", je na to vprašanje nemogoče natančno odgovoriti. Če pa si predstavljamo proces razvoja tovrstnih storitev, lahko domnevamo, da je vsaj koda za klic API informacijskih sistemov (Application Programming Interface je programski vmesnik za interakcijo med sistemi, ki vsebuje opis načinov, kako se računalniški program lahko komunicira z drugim programom. -) morda je blizu.

Ali bo to dalo nove priložnosti napadalcem, bomo izvedeli v bližnji prihodnosti, saj so »javne službe« danes postale ena najpomembnejših tarč hekerjev in očitno vlagajo čas in sredstva v analizo prejete kode.

Ali so naše vladne informacijske platforme dovolj varne? Iste strani oddelkov, parlamentov?

- Državna spletna mesta so bolj podobna množičnim medijem in najpogosteje ne vsebujejo nobenih pomembnih informacij, najbolj "strašna grožnja" zanje pa je "deface", ko se informacije in celo dizajn zamenjajo z drugimi. In sodeč po tem, da so se takšne težave zgodile z regionalnimi državnimi mesti, ne pa z zveznimi, je vse odvisno od količine naložb v informacijsko varnost. Kar zadeva notranje informacijske sisteme oddelkov, so ti najpogosteje izolirani od interneta, kar omogoča manj strahu pred zunanjimi napadi.

Toda s tem, kar je v državni IT resnični problem, je z zaščito pred lastnimi zaposlenimi-svojimi.

Ni zaman, da so stroški prebijanja državnih baz najnižji na črnem trgu in približno 20-krat nižji od preboja prek bank.

Ne samo preprečevanje nalaganja podatkov, ampak tudi nadzor dostopa nasploh je izjemno slabo nastavljen, pogosto pa celotni oddelki uporabljajo isto prijavo, ki lahko pripada že zdavnaj odpuščenemu zaposlenemu.

Izbruhi se štejejo

— Kaj se zgodi s trgom preboja po letu 2020?

- Kvantitativno gledano trg pada, v denarnem pa raste. Preboj je povpraševan med kriminalom in "sivimi" detektivi, zato kljub vsem prizadevanjem ne izgine, ampak samo raste. Lani se je povprečni strošek kršitve od leta 2020 povečal za 2,25-krat, od leta 2017, ko smo izvedli prvo študijo, pa skoraj sedemkrat.

Največ – 4,3-krat – od leta 2020 so se informacije o računih in transakcijah državljanov podražile (tako imenovana "propad banke").

Podatki o klicih, SMS-ih in geolokaciji telefonov so se lani prodajali 1,6-krat dražje kot leta 2020, cena »preboja« v državne informacijske sisteme pa je ostala tako rekoč nespremenjena.

- Koliko stane preboj za eno osebo v rubljih?

- Kar zadeva stroške preboja, izpisek na računu / kartici posameznika stane od 15 tisoč do 25 tisoč rubljev. na mesec. Vzpostavitev številke kartice/računa po številki povezanega telefona - od 7 tisoč rubljev.Identifikacija vseh telefonov strank, povezanih s karticami/računi, glede na njegove podatke o potnem listu - od 15 tisoč rubljev. Podrobnosti o klici in SMS naročnika na mesec - od 5 tisoč do 30 tisoč rubljev. odvisno od operaterja. Pridobivanje podatkov o naročnikih po njegovi številki mobilnega telefona - od 1 tisoč rubljev. Enkratna določitev lokacije naročnika ("flash") - od 8 tisoč rubljev.

Če prebijete sistem "Rozysk-Magistral", torej potovanje z letalom, vlakom, avtobusom, trajekt stane od 1,5 tisoč do 3 tisoč rubljev. za vnos, iskanje po AS "ruski potni list": podatki o vseh izdanih notranjih in tujih potnih listih) - od 900 do 1,5 tisoč rubljev. za eno zahtevo in po sistemu "Frontier" (prestop meje Rusije na katerem koli mestu in na katerem koli prevozu) - od 3 tisoč rubljev. za eno zahtevo.

- Ali so njeni udeleženci "očiščeni"? So postali manj?

- Tako organi pregona kot varnostne službe podjetij se spopadajo s "prebojem", vendar so le banke uspele doseči nekaj uspeha, pa tudi tam ta kriminalna storitev ni izginila, ampak se je le podražila.

Stavki zaposlenim pri mobilnih operaterjih, ki prodajajo podatke o klicih in SMS naročnikih, so narejeni skoraj tedensko, ni pa nič manj tistih, ki želijo zaslužiti.

V vladnih službah se niti ne poskušajo spopasti z okvaro - verjame se, da takšne težave ni.

Nazaj na novice »

Toliko pandemičnih valov je odletelo

— Pandemija traja že dve leti. Kakšne spremembe so se v tem času zgodile na področju puščanja? Katerih metod je postalo več in katerih v začetku leta 2020 ne bi mogli predstaviti?

- Na področju puščanja podatkov zaradi pandemije ni prišlo do pravega tektonskega premika. V prvi polovici leta 2020 je prišlo do močnega porasta, ko so podjetja množično prešla na delo na daljavo, IT-storitve pa niso bile kos uvajanju terminalskih rešitev, ki so se pogosto izkazale za slabo zaščitene in so omogočale napad na notranja omrežja. podjetij.

Vendar so se do konca leta vsi prilagodili delu na daljavo in obseg puščanja je začel upadati. Poleg tega, če govorimo o množičnih uhajanjih (in ne o posameznem "preboju"), jih je še manj, saj so vsaj banke začele pravi boj proti tej težavi.

Torej je puščanj iz bank manj? Se je v orodju goljufov spletnega bančništva pojavilo kaj novega?

- Pod pritiskom Centralne banke in nenehnih javnih škandalov so banke začele izvajati sisteme DLP (Data Leak Prevention - specializirano programsko opremo, ki ščiti organizacijo pred uhajanjem podatkov) ne na papirju, ampak v praksi, zdaj pa je postalo skoraj nemogoče tiho naložite veliko količino podatkov.

Zaradi tega je danes izjemno redko najti bazo podatkov z informacijami o strankah zasebnih bank za prodajo. Situacija z državnimi bankami ni tako dobra, a še vedno boljša kot v letu 2018, ko je prišlo do razmaha telefonskih goljufij.

Banke žal niso uspele uničiti "prebojnih" storitev, vendar se je cena zanje skoraj podvojila, kar kaže na zapletenost postopka odvajanja.

Res je, pojavila se je še ena težava - uhajanje iz tržnih sistemov finančnih organizacij. Prenos procesa privabljanja strank v zunanje izvajanje in rast števila trgov sta privedla do tega, da se vloge za nakup finančnih produktov in odpiranje računov sprehajajo med izvajalci in banko samo, shranjujejo in obdelujejo na minimalni ravni. zaščite in seveda puščajo in padejo v prodajo.

Ne zaostajajo tudi same banke, ki digitalno infrastrukturo razvijajo po principu »bump and go into production« in ne preizkušajo niti najbolj banalnih varnostnih lukenj. Posledično se podatki, zbrani z "grubo silo" (naštevanje parametrov - na primer telefonska številka stranke), prikažejo pri prodaji.

Takšne baze podatkov ne vsebujejo kritičnih informacij, omogočajo pa na primer sestavo seznama komitentov banke, ki ga lahko nato obogatimo s podatki iz drugih virov in uporabimo za družbene napade.

Nasvet strokovnjaka o uhajanju podatkov

— Študija je bila o priljubljenih ruskih geslih. Med drugim so bila imena "Natasha", "Maxim", "Marina", "Andrey" in "Kristina". Ali obstaja ime, ki bi ga lahko izbrali kot močno geslo?

- Nobeno ime ali beseda na splošno v slovarju se ne sme uporabljati kot geslo, saj se pri primarnem naštevanju uporabljajo slovarji tako med brutalno silo (ugibanje gesla) kot pri dešifriranju podatkov iz uhajanja. V računalniku je najbolje uporabiti naključni nabor črk, številk in simbolov, ki jih je najbolje shraniti v upravitelju gesel.

Za gesla, ki si jih morate zapomniti, je bolje uporabiti mnemonična pravila – na primer dolge stavke določenih črk besed, ki tvorijo samo geslo.

- Pojavila se je novica, da je stranka dala svoj mobilni telefon v popravilo, mojster pa je dobil dostop do njene mobilne banke in ukradel denar. Kako je to mogoče? Je uspelo dobiti njeno geslo? In kako bi lahko v tem primeru izvedli operacijo? Preko bankomata z Apple/Google Pay, ki vam omogoča dvig denarja z geslom?- To se dogaja precej pogosto, vendar kletna storitev ni skupina NSO (izraelsko podjetje, ki je razvilo vohunsko programsko opremo Pegasus za vohunjenje za uporabniki iPhone. - Ed.) In takšne kraje tudi ne gredo brez socialnega inženiringa.

Najpogosteje serviser prejme geslo, saj naj bi bilo potrebno vklopiti in preveriti telefon. Hkrati se dodatna gesla v bančni aplikaciji bodisi ne uporabljajo bodisi so enaka glavnemu.

Posledično tat preprosto nakaže sredstva na račun želene bančne kartice ali, redkeje, plača nakupe z Apple ali Google Pay.

Seveda morate telefon odnesti v popravilo, ne da bi serviserju povedali geslo in odvezali kartice in račune iz interne denarnice in aplikacij, ki jih uporabljajo, najbolje pa brez SIM kartice, če je vezan na spletno banko oz. "Gosuslugi".

bbabo.Net