Согласно данным британского экономического журнала Talk Finance, база данных Казахстанского Halyk Bank утекла в даркнет и уже нашла зинтересованного хозяина.
Все началось с того, что один из печально известных сайтов-кардеров migalki.pw опубликовал огромный архив, состоящий из предположительно краденных данных пластиковых карт. Сам по себе этот случай не уникален, так как «дампы» карт вместе со всеми необходимыми средствами противозаконного хищения средств с них регулярно появляются в сети, пишет британское издание Talk Finance. «Продавец» выставил на торги сразу восемьдесят тысяч краденых карт. Согласно спецификации архив состоит только и исключительно из карт банка Halyk (Народный Банк Казахстана), что делает его в своем роде уникальным. На данный момент архив уже выкуплен и данные находятся у заинтересованных лиц. Естественно, в таких случаях нельзя быть уверенными в том, что не начнутся последующие перепродажи. Тем не менее, и одной утечки вполне достаточно для паники.
Народный Банк Казахстана — первый в стране банк по количеству клиентов и аккумулированным активам. Необычность выставленного лота состоит в том, что похититель надеется продать весь архив целиком. Учитывая, что обычная цена покупки данных карты составляет 20 долларов и ниже, «оптовая скидка» должна быть очень существенной. Остается открытым вопрос, как вор будет доказывать подлинность дампа, так как доверие в этом случае не приветствуется. Никто из журналистов не пытался выяснить этот вопрос.
Данные из банка Halyk и ранее попадали в дампы. Обычно данные карт крадутся злоумышленниками, перехватывающих трафик узлов связи, точки доступа WiFi и прочих магистральных каналов. То, что дамп состоит исключительно из карт Halyk делает предположение о том, что карты были украдены внутри структуры Народного Банка Казахстана более обоснованным. Издание Talk Finance не исключает, что архив не является подлинным и создан или для того, чтобы обмануть кардеров, или даже для того, чтобы поймать крупного покупателя. В этом случае возможно, банк сам создал такой архив, хотя эта гипотеза не слишком вероятна: любой банк пытается избежать подобной негативной известности.
Теперь же мы расскажем о том, как избежать использования вашей карты и денежного счета злоумышленниками.
Крупные банки бывшего СССР, являющиеся наследниками старых добрых сберкасс — ведущие поставщики утечек данных на рынок мошенников. Причину следует искать в традиционной отсталости и огромных раздутых штатах, слабой дисциплине защиты данных и тем, что службы безопасности банков занимаются чем угодно, но только не своей прямой обязанностью. В Казахстане, где наследником сберкассы с фикусами, традесканцией и деревянными счетами является «Народный Банк Казахстана» (Halyk Bank), имеются дополнительные прелести: назначения родственников и симония (продажа должностей за барашков в бумажке).
Как утекают данные о клиентах? На примере Halyk Bank
Доступ к данным любого клиента имеет практически все рядовые операционистки и служащие службы поддержки. Это вполне объяснимо и иначе быть не может: эти данные требуются для решения проблем клиентов, их авторизации для проведения нефинансовых банковских операций. Для этого АРМ операционистки имеет средства поиска. Так что конкретно ваши данные может узнать практически кто угодно.
Но смысла в этом для мошенников не много. Для того, чтобы извлечь прибыль нужны большие массивы данных. Доступа к ним операционисты и дамы из поддержки не имеют: слить базу через интерфейс поддержки не удастся. Т.е. удастся, если программу писали совсем уж лица с ограниченными способностями, а служба охраны данных в банке отсутствует или занимается игрой в Тетрис. Кстати, частый случай, особенно в наследниках сберкасс.
Тем не менее почти все операционисты, наравне с работниками салонов связи, паспортистами, работниками документ-центров, полицейскими и особистами имеют возможность продажи сведений о вас. Существуют целые магазины, где таким людям предлагают «весомую подработку» в зависимости от уровня доступа и популярности запрашиваемых услуг. Из законных соображений мы не приводим ссылки на такие ресурсы.
В большинстве случае данные оптом утекают из отдела IT. При «либеральных порядках», друзьях, знакомых, трудоустроенных родственниках, временных решениях по передаче данных в незашифрованном виде, устаревших системах криптозащиты — считай база есть у всех, кому она нужна. В отличии от «розничной утечки» оптовую утечку уже можно продать в Даркнете. И случаи масштабных выбросов баз данных карт и клиентов — обычное дело.
Зная телефон, фамилию, имя, отчество, дату рождения, основные финансовые показатели, даже устаревшие, мошенники сразу получают фору и стараются узнать о потенциальной жертве побольше. Достаточно получить, к примеру CVC-код (записан на обратной стороне карты, три цифры), чтобы попробовать списать произвольную сумму через интернет-аквайринг где-нибудь в Малайзии. И это — наименьшая из бед, которые могут подстерегать жертву мошенничества.
Кто виноват в утечке данных Halyk Bank и не только?
Герман Греф, который руководит «Сбербанком России», совершил едва ли не единственный честный поступок в жизни, признав в интервью «Коммерсанту», что виноват он сам, как руководитель:
«На мой взгляд, когда такого рода вещи происходят, нужно искать вину в себе, всегда виновато первое лицо во всем. Я считаю, что это моя личная вина»,— сказал Г. Греф.
Это признание не слишком ценно, так как маловероятно, что после него он сам себя выпорол. Но даже этого символического жеста не делают его коллеги. Вместо этого пресс-службы сочиняют сказки про злобных хакеров, которые спустились на Землю прямо с вертолета и все украли. Как в фильмах, где молодые люди делают умное лицо, когда сидят перед случайным фрагментом кода на Javascript. Они еще всегда одеты в толстовки с капюшонами, чтобы вы понимали — вот он хакер.
Все утечки данных из банка — личная вина владельцев, руководства, распорядителей банка.
В России, Казахстане при утечке данных банк в лучшем случае разводит руками, публикует пресс-релиз, о том, что «ситуация под контролем» и засыпает смертным сном. В США и Европе банк получает чудовищный штраф. В этом есть смысл. Данные — это то, что клиент доверил банку, также как к примеру, он доверил ему свои деньги. И если банк проворонил эти данные, то пострадал клиент, независимо от того, стал ли он в последующем жертвой мошенников или нет. Пока у нас нет таких законов, ни Греф, ни Шаяхметова не будут пороть себя розгами. Но первый хотя-бы признался, что это того стоит.
Пока мы дожидаемся кары ротозеев-банкиров, защищаем себя сами
Мошенники работают по определенной схеме. В случае с «кардерами» — мошенниками, которые специализируются на незаконном списании средств с карты, нужно предварительно принять следующие меры:
Поставьте «гео-лок». Запретите съем/списание денег за пределами Казахстана. Обратите внимание! Киргизия — одно из известных мест по «утилизации» краденных средств. Будьте особо осторожны с открытием этого региона;
Установите пределы списания. Исходит из того, что мошенники-кардеры могут списать любую сумму. Но обойти установленный лимит они не в состоянии. Установите предел списания через интернет на малом пороге, или запретите его вообще, если не покупаете товары в интернете; смените PIN-код вашей карты; назначьте новый CVC/CV2 код вашей карты.
Просматриваете сообщения о списании средств. Если вы увидите списание денег, которого не делали — в срочном порядке блокируйте карту и немедленно связывайтесь с банком. Протокол работы карт позволяет опротестовать и остановить платеж. В проведении этой процедуры вам помогут сотрудники Халык Банк. Не паникуйте!
Взлом базы данных клиентов Halyk Bank не так страшен
Вместе с тем, учтите — если вам после списания средств звонит сотрудник банка и спрашивает о том, проводили ли вы такую процедуру… то это как раз мошенник. Повесьте трубку и используйте для связи только официальный телефон центра поддержки клиентов Halyk Bank — 7111. Или банка, клиентом которого вы состоите и видите аналогичное неизвестное списание.