— Поки що все свідчить про те, що самі по собі «Держпослуги» безпечні, проте невиконання рекомендацій щодо роботи з сервісом (наприклад, відмова від двофакторної аутентифікації) або використання шахраями методів соціальної інженерії досить легко можуть призвести до злому.

Наприклад, останнім часом шахраї успішно випрошують у користувачів SMS-код для зміни пароля до особистого кабінету сервісу і таким чином отримують над ним контроль.

А на наслідки такої довірливості вже впливає проблема, характерна для всіх російських IT-систем, включаючи і державні сервіси, і онлайн-банкінг: вони дають користувачеві дуже багато можливостей, незважаючи на ступінь його розуміння того, що він робить. Невипадково сьогодні як засіб боротьби з шахраями у банках починають розглядати обмеження можливостей користувача – «другу руку», встановлення лімітів на види та суми операцій тощо.

— Був витік вихідного коду «Держпослуг» Пензенської області. Стверджувалося деякими, що це насправді витік вихідного коду і всеросійських «Держпослуг». Чи правильно так говорити? Якщо ні, то в чому різниця пензенської версії від федеральної?

- Оскільки ніхто не бачив вихідного коду федерального порталу "Держпослуги", точно відповісти на це питання неможливо. Однак уявляючи процес розробки такого роду сервісів, можна припустити, що, як мінімум, код виклику API інформаційних систем (Application Programming Interface - програмний інтерфейс взаємодії між системами, який містить опис способів, якими одна комп'ютерна програма може взаємодіяти з іншою програмою. – ) там може бути близько.

Чи дасть це якісь нові можливості зловмисникам, ми дізнаємося найближчим часом, оскільки «Держпослуги» стали сьогодні однією з найважливіших цілей для зломщиків, і ті явно інвестують у аналіз отриманого коду час та ресурси.

— Чи захищені наші державні інформаційні платформи? Ті самі сайти відомств, палат парламенту?

— Державні сайти є, швидше, ЗМІ і найчастіше не містять будь-якої важливої ​​інформації, і найстрашнішою загрозою для них є дефейс, коли інформація і навіть дизайн підмінюються на інші. І судячи з того, що з регіональними держсайтами такі проблеми траплялися, а з федеральними немає, все залежить від обсягу інвестицій в інформаційну безпеку. Щодо внутрішніх інформаційних систем відомств, то вони найчастіше ізольовані від інтернету, що дозволяє меншою мірою боятися зовнішніх атак.

Зате з чим у державному IT є реальна проблема, то це із захистом від власних співробітників-інсайдерів.

Недарма вартість «пробива» по державних базах – найнижча на чорному ринку і приблизно в 20 разів нижча, ніж «пробив» у банках.

Не тільки протидія вивантаженню даних, а й контроль доступу взагалі поставлений вкрай погано, і нерідко цілі підрозділи користуються одним і тим же логіном, який може належати співробітнику, який давно звільнився.

Пробивши зарахований

— Що відбувається з ринком пробива після 2020 року?

— У кількісному вираженні ринок падає, а грошовому зростає. Пробивши затребуваний у криміналу та «сірих» детективів, тому, незважаючи на всі зусилля, не зникає, а лише зростає в ціні. Минулого року медіанна вартість «пробива» зросла у 2,25 рази з 2020 року та майже у сім разів з 2017 року, коли ми проводили перше дослідження.

Максимально – у 4,3 рази – з 2020 року подорожчала інформація про рахунки та транзакції громадян (так званий «банківський пробив»).

Дані про дзвінки, SMS та геолокацію телефонів продавалися минулого року в 1,6 рази дорожче, ніж у 2020-му, а ціна «пробива» за державними інформаційними системами залишилася практично без змін.

— Скільки зараз коштує пробивши за одну людину в рублях?

— Чи вичищають його учасників? Чи стало їх більше чи менше?

— Із «пробивом» борються і правоохоронні органи, і служби безпеки компаній, однак певних успіхів вдалося досягти лише банкам, та й там цей кримінальний сервіс не зник, а лише подорожчав.

Вироки співробітникам операторів стільникового зв'язку, які продають дані про дзвінки та SMS абоненти, виносяться практично щотижня, проте менше охочих заробити не стає.

У державних відомствах із пробивом навіть не намагаються боротися – вважається, що такої проблеми немає.

— Уже два роки триває пандемія. Які зміни сталися за цей час у сфері витоків? Яких способів побільшало, а які ми не могли б уявити ще на початку 2020 року?

— Ніякого тектонічного зсуву в області витоків даних у результаті пандемії не сталося. Був сильний сплеск у першій половині 2020 року, коли компанії масово переходили на віддалення, і IT-служби не справлялися з розгортанням термінальних рішень, які часто виявлялися слабко захищеними та давали можливість атакувати внутрішні мережі компаній.

Проте до кінця року всі адаптувалися до віддаленої роботи та масштаб витоків пішов на спад. Більше того, якщо говорити про масові витоки (а не про індивідуальне «пробива»), то їх поменшало, оскільки, як мінімум, банки розпочали реальну боротьбу з цією проблемою.

— Тож банківських витоків поменшало? Чи з'явилося щось нове в інструментарії банківських інтернет-шахраїв?

- Під тиском і ЦБ, і постійних публічних скандалів, банки почали не на папері, а на практиці впроваджувати DLP-системи (Data Leak Prevention - спеціалізоване ПЗ, що захищає організацію від витоків даних. - ) І тепер непомітно вивантажити великий обсяг даних стало практично неможливо .

В результаті сьогодні вкрай рідко можна знайти у продажу базу даних з інформацією про клієнтів приватних банків. З держбанками ситуація не така хороша, але все одно краще, ніж у 2018 році, на який припав розгул телефонного шахрайства.

На жаль, послуги «пробива» банкам знищити так і не вдалося, проте ціна на нього зросла майже вдвічі, що свідчить про ускладнення процесу зливу.

Щоправда, виникла інша проблема – витоку з маркетингових систем фінансових організацій. Передача процесу залучення клієнтів на аутсорсинг та зростання кількості маркетплейсів призвели до того, що заявки на купівлю фінансових продуктів та відкриття рахунків гуляють між підрядниками та самим банком, зберігаються та обробляються з мінімальним рівнем захисту та, природно, витікають та потрапляють у продажі.

Не відстають і самі банки, що розвивають цифрову інфраструктуру за принципом «тяп-ляп і в продакшен» і не тестуючи навіть найбанальніших дір у безпеці. В результаті, у продажу з'являються дані, зібрані шляхом "брутфорсу" (перебору параметрів – наприклад, номери телефону клієнта).

Такі бази не містять критичної інформації, але дозволяють, наприклад, скласти список клієнтів банку, який можна збагатити даними з інших джерел і використовувати для соціальних атак.

Поради від експерта з витоків

— Було дослідження про популярні паролі росіян. Там були зокрема імена «наташа», «максим», «марина», «андрей» та «кристина». А чи є ім'я, яке можна було б вибрати як надійний пароль?

— Ніяке ім'я і взагалі слово, що міститься в словнику, не повинно бути використане як пароль, оскільки саме за словниками відбувається первинний перебір і при брутфорсі (підборі паролів), і при розшифровці даних із витоків. На комп'ютері краще використовувати випадкові набори літер, цифр і знаків, які краще зберігати в менеджері паролів.

Для паролів, які потрібно запам'ятати, краще використовувати менімонічні правила - наприклад, довгі речення з певних букв слів, з яких і складається пароль.

Найчастіше ремонтник отримує пароль, тому що він нібито необхідний для включення та перевірки телефону. При цьому додаткові паролі у банківському додатку або не використовуються, або збігаються з основним.

В результаті злодій просто переказує кошти на рахунок потрібної банківської картки або, що рідше, оплачує покупки за допомогою Apple або Google Pay.

Природно, здавати телефон у ремонт потрібно, не називаючи ремонтнику пароль та відв'язавши карти та рахунки від внутрішнього гаманця та додатків, які їх використовують і найкраще без SIM-карти, якщо вона прив'язана до онлайн-банку або «Держпослуг».

bbabo.Net