[Исследование] Почти 50% ИБ-систем в российских компаниях – отечественные
Для черного рынка банковского сектора 2020 год стал показательным.
Активное внимание СМИ к проблеме утечек данных в последние годы создало некоторые трудности для продавцов баз данных клиентов банков.
Со стороны сбыта — традиционные торговые площадки больше не публикуют открытые объявления о продаже информации такого рода. И со стороны получения данных — найти инсайдеров с доступом к полным данным клиентов стало сложнее.
В этом исследовании аналитический центр «Гарда Технологии» разбирается, как изменился рынок нелегально полученных данных клиентов финансовых организаций в 2020 году.
Цель исследования — определить объем рынка нелегально полученных баз клиентов банков, количество утечек и полноту скомпрометированных данных.
Специалисты «Гарда Технологии» проанализировали более 200 объявлений о продаже баз данных финансовых организаций, размещенных на теневых торговых площадках, форумах и мессенджерах. Для исследования были использованы только информация от продавцов и данные из открытых источников.
Для чистоты исследования мы не учитывали данные, выкладываемые злоумышленниками бесплатно в открытый доступ или оказавшиеся доступными в связи с халатностью владельцев, так как эти данные не характеризуют теневой рынок торговли информацией.
В целях безопасности, в отчете исследования приведены обезличенные статистические данные, без ссылок на торговые площадки и названий скомпрометированных организаций.
Изучив все материалы, мы определили:
● Фактическую ёмкость рынка торговли базами данных финансовых организаций
● Наиболее востребованные информационные активы, доступные в открытой продаже
● Структуру доступных данных
● Актуальность компрометируемых данных
В 2020 году на теневых форумах перестали публиковать открытые характеристики продаваемых баз данных банков. Вместо этого встречаются объявления с кратким упоминанием возможных банков и аккаунтом продавца в мессенджерах, у которого можно узнать актуальное наличие, содержимое и стоимость баз.
Не всегда итоговое предложение совпадает с тем, что написано в объявлении — регулярно инсайдеры в банках становятся недоступны, но появляются предложения баз данных других банков.
Кроме того, растет количество предложений по «пробиву» - предоставлению заказчику максимально подробной информации о каком-либо человеке из закрытых источников. Поскольку услуги «пробива» чаще всего включают банковские данные, в обзоре учтены такие предложения.
Чаще всего (52% баз данных) структура продаваемой базы данных выглядит так:
Большая часть покупателей таких баз данных — мошенники, выдающие себя за службы безопасности банка. Чем больше данных о потенциальной жертве они получают, тем убедительнее аргументируют просьбу назвать код из SMS для перевода денег на свои счета. Базы данных, содержащие необходимую для таких махинаций информацию, так и маркируются — «подходит для СБ».
В некоторых случаях (27% баз данных) продавцы обещают предоставить данные о банковской карте — номер, срок действия, cvv. Такие данные интересны мошенникам, занимающимся выводом денег без помощи и участия владельца данных.
Базы клиентов встречаются в продаже в 24% случаев — сюда входит только ФИО, контактный телефон и город проживания клиента банка. Эти базы могут быть интересны как мошенникам, так и сотрудникам конкурирующих финансовых организаций для привлечения новых клиентов. Заказчики услуги пробива получат информацию о движении денежных средств, кодовом слове и другие данные.
Степень критичности полноты данных:
Важное отличие рынка нелегальных баз данных 2020 года – полностью исчезли предложения от первоисточников (инсайдеров). Большинство продавцов работают по принципу инсайдерских агрегаторов — потенциальному клиенту предлагают на выбор несколько различных банков, откуда специально для него могут сделать выгрузку нужного количества данных. Почти все предложения — эксклюзивные выгрузки, делающиеся под клиента в день заказа.
Для сохранения безопасности инсайдеров большинство баз данных теперь стало продаваться «в одни руки». Это не означает, что клиент банка будет скомпрометирован только единожды — эксклюзивна только конкретная выгрузка. Ничто не мешает другому инсайдеру с доступом к данным этого же клиента включить его данные в свою выгрузку и продать ёще раз.
Эксклюзивность баз данных (% от количества предложений)
То есть рынок перепродаж массовых баз данных также практически исчез. Важно понимать, что речь идет именно о предложениях — даже на черном рынке есть недобросовестные продавцы, предлагающие устаревшие базы данных под видом новых.
Не меньше 10% предложений приходится на инсайдеров партнеров банков — сервисов Интернет-заявок на банковские продукты, точки оформления рассрочек в торговых центрах и магазинах бытовой техники, другие сервисные организации, получающие доступ к банковским данным в целях оказания услуг банкам. Такие базы не содержат критической информации для прямого мошенничества, но могут быть использованы для спама или подделки заявок на кредиты.
На открытых торговых площадках в 2020 году можно найти предложения о продаже баз данных клиентов 26 различных российских банков. Ожидаемо, большая часть предложений приходится на крупнейшие организации. В продаже находятся базы 18 из 30 крупнейших банков России (по данным Банка России). По сравнению с 2019 годом количество скомпрометированных банков снизилось почти в два раза.
Анализируя данные прошлых исследований, можно сделать вывод, что рост предложений баз тех или иных банков сопоставим с широкими рекламными кампаниями их розничных продуктов. Так, в 2020 году достаточно мало предложений баз данных микрофинансовых организаций, а данные клиентов банков с популярными ипотечными программами стали более распространены.
По утверждениям продавцов, большинство крупных банков начали строже контролировать доступ своих сотрудников к базам данных, поэтому злоумышленники потеряли возможность делать крупные выгрузки на продажу и зарабатывать на объемах. Вместо этого инсайдеры организовывают регулярные выгрузки данных небольшими партиями (до 1000 записей), сбывая их постоянным клиентам.
Тем не менее, по отдельным банкам встречаются предложения больших объемов полных клиентских данных. Чаще всего это «лиды» — данные потенциальных клиентов банков, оставлявших заявки на кредит через партнерские организации (магазины с рассрочкой на покупки или сайтыагрегаторы банковских предложений). Но встречаются и предложения крупных баз с полными банковскими данными. Например, база индивидуальных предпринимателей банка из второй десятки крупнейших — насчитывает 70 000 записей. Стоимость такой базы составит 1,4 млн. рублей.
Вероятно, сложности с доступом к клиентским данным стали причиной выросших вдвое цен на теневом рынке баз данных.
В 2020 году средняя стоимость одной записи — 15 рублей против 6 рублей в прошлом году. Цена зависит от полноты данных, уникальности и объемов закупки. Так, несортированные данные клиентов одного из трех крупнейших розничных банков продаются в среднем по 12 рублей за запись, а клиенты банков второго десятка встречаются реже и оцениваются в 23 рубля. Малоинформативные базы, содержащие только имя и контактные данные клиентов банка, стоят по 5 рублей за запись, а свежие заявки на банковские продукты оцениваются уже на порядок дороже, по 200 рублей. Традиционно дорогостоящих баз данных с полными данными, необходимыми для подделки карт, практически не встречается в открытых предложениях, что свидетельствует об эффективности мер безопасности, применяемых банками в последние годы.
В этом году мы изменили методику подсчета объема рынка. Поскольку нет точных данных о количестве продаваемых записей на теневом рынке баз данных банков, мы приняли за основу количество продавцов и заявленную регулярность выгрузок. В течение нескольких месяцев мы интервьюировали продавцов нелегальных баз данных, чтобы определить объем продаваемых банковских баз данных и емкость этого рынка. Большинство продавцов получает регулярные выгрузки по 1-2 тысячи строк от банковских инсайдеров 3-4 раза в месяц, при этом если инсайдер прекращает поставки, его оперативно заменяют другим источником, возможно, из другого банка. Так или иначе, в среднем продавец теневого рынка баз данных сбывает 47000 записей в год по каждому скомпрометированному банку.
Сопоставив эти цифры с известными нам данными о количестве продавцов, сравнив с информацией о продаже готовых крупных базах данных, мы можем предположить, что в 2020 году из банковских систем для продажи выгружено порядка 9,2 млн записей о клиентах банков. Мы дифференцировали продаваемые базы данных по характеру содержания и экстраполировали на них известную нам информацию о стоимости аналогичных типов данных, исключив экстремумы. С точностью в 70% можно сделать вывод, что объем теневого рынка банковских баз данных составил 187 млн. рублей.
Выгрузка данных из банков, шт/год
Объём теневого рынка продажи баз данных, шт/год
По сравнению с предыдущим годом мы видим серьезное сокращение рынка — объем продаваемых баз данных снизился в 7 раз, а объём рынка сократился на 55%.
Падение рынка мы связываем с несколькими факторами, вот основные из них:
1. Минимум открытых предложений
С 2020 года в интернете практически исчезли открытые предложения о продаже банковских баз данных. Однако рынок никуда не делся — торговые площадки публикуют объявления с краткими предложениями и аккаунтом продавца в мессенджерах, у которого можно узнать, базы каких банков есть в наличии, их содержимое и стоимость.
2. Базы стали меньше
С начала публикации наших исследований большинство крупных банков начали серьезно контролировать доступ к базам данных. Поэтому злоумышленники потеряли возможность делать крупные выгрузки на продажу и зарабатывать на объемах.
3. Регулярные поставки баз данных
Большинство продавцов предлагает регулярные поставки свежих выгрузок баз данных. Для сохранения прежних объемов инсайдеры выгружают в среднем 1-2 тысячи новых контактов в неделю.
4. Данные стали дороже
Средняя стоимость одной записи – 15 рублей против 6 рублей в прошлом году.
5. Больше эксклюзивных предложений
Для сохранения безопасности инсайдеров большинство баз данных теперь стало продаваться «в одни руки». Это не означает, что клиент банка будет скомпрометирован только единожды — эксклюзивна только конкретная выгрузка. Ничто не мешает другому инсайдеру с доступом к данным этого же клиента включить его данные в свою выгрузку и продать ещё раз.
6. Рост предложений по «пробиву»
Целевые данные конкретных людей собираются из разных источников и могут содержать любую информацию, вплоть до клички первой собаки. Но банковские данные все же остаются в приоритете — чаще всего клиентов инсайдеров интересует, в каких банках есть счета у цели и их актуальное состояние. Стоимость полной информации о конкретном человеке зависит от сложности «пробива» и плавает от 2 до 10 тыс. рублей.
7. Нет предложений от первоисточников
Инсайдеры больше не продают базы данных открыто. Продавцы баз данных теперь работают по схеме диспетчерской — получают запрос клиента и заказывают через своих агентов выгрузки из банков, подходящие под запрос. Для больших объемов это могут быть смешанные выгрузки из нескольких банков.
8. Целевая аудитория
Большая часть покупателей нелегальных баз данных — мошенники, выдающие себя за службы безопасности банка. Чем больше данных о потенциальной жертве они получают, тем убедительнее аргументируют просьбу назвать код из смс для перевода денег на свои счета. Базы данных, содержащие необходимую для таких махинаций информацию, так и маркируются — «подходит для СБ».
Роман Жуков, Директор центра компетенций «Гарда Технологии»:
Впервые мы видим снижение темпов роста открытого рынка баз данных банков.
Мы связываем это с повышением информированности о проблеме и проработке полученного опыта. Банки принимают меры, основанные на реальном опыте коллег, столкнувшихся с утечками, а сами владельцы данных в большинстве своем либо сталкивались с мошенническими действиями, либо информированы об их возможности. Торговые площадки, традиционно использовавшиеся для покупки нелегальных информационных товаров, боятся привлечения к себе лишнего внимания и вводят ограничения на предложения баз данных банков. Забавно, что ограничения коснулись именно данных банковского сектора, а базы, взятые из инвестиционных сервисов, бизнес-школ, интернет-магазинов и любых других источников продолжают открыто продаваться.
Активное внимание СМИ к проблеме утечек данных в последние годы создало некоторые трудности для продавцов баз данных клиентов банков.
Со стороны сбыта — традиционные торговые площадки больше не публикуют открытые объявления о продаже информации такого рода. И со стороны получения данных — найти инсайдеров с доступом к полным данным клиентов стало сложнее.
В этом исследовании аналитический центр «Гарда Технологии» разбирается, как изменился рынок нелегально полученных данных клиентов финансовых организаций в 2020 году.
МЕТОДИКА ИССЛЕДОВАНИЯ
Цель исследования — определить объем рынка нелегально полученных баз клиентов банков, количество утечек и полноту скомпрометированных данных.
Специалисты «Гарда Технологии» проанализировали более 200 объявлений о продаже баз данных финансовых организаций, размещенных на теневых торговых площадках, форумах и мессенджерах. Для исследования были использованы только информация от продавцов и данные из открытых источников.Для чистоты исследования мы не учитывали данные, выкладываемые злоумышленниками бесплатно в открытый доступ или оказавшиеся доступными в связи с халатностью владельцев, так как эти данные не характеризуют теневой рынок торговли информацией.
В целях безопасности, в отчете исследования приведены обезличенные статистические данные, без ссылок на торговые площадки и названий скомпрометированных организаций.
Изучив все материалы, мы определили:
● Фактическую ёмкость рынка торговли базами данных финансовых организаций
● Наиболее востребованные информационные активы, доступные в открытой продаже
● Структуру доступных данных
● Актуальность компрометируемых данных
ТИП ПРОДАВАЕМЫХ ДАННЫХ
В 2020 году на теневых форумах перестали публиковать открытые характеристики продаваемых баз данных банков. Вместо этого встречаются объявления с кратким упоминанием возможных банков и аккаунтом продавца в мессенджерах, у которого можно узнать актуальное наличие, содержимое и стоимость баз.
Не всегда итоговое предложение совпадает с тем, что написано в объявлении — регулярно инсайдеры в банках становятся недоступны, но появляются предложения баз данных других банков.
Кроме того, растет количество предложений по «пробиву» - предоставлению заказчику максимально подробной информации о каком-либо человеке из закрытых источников. Поскольку услуги «пробива» чаще всего включают банковские данные, в обзоре учтены такие предложения.
Чаще всего (52% баз данных) структура продаваемой базы данных выглядит так:
Большая часть покупателей таких баз данных — мошенники, выдающие себя за службы безопасности банка. Чем больше данных о потенциальной жертве они получают, тем убедительнее аргументируют просьбу назвать код из SMS для перевода денег на свои счета. Базы данных, содержащие необходимую для таких махинаций информацию, так и маркируются — «подходит для СБ».
В некоторых случаях (27% баз данных) продавцы обещают предоставить данные о банковской карте — номер, срок действия, cvv. Такие данные интересны мошенникам, занимающимся выводом денег без помощи и участия владельца данных.
Базы клиентов встречаются в продаже в 24% случаев — сюда входит только ФИО, контактный телефон и город проживания клиента банка. Эти базы могут быть интересны как мошенникам, так и сотрудникам конкурирующих финансовых организаций для привлечения новых клиентов. Заказчики услуги пробива получат информацию о движении денежных средств, кодовом слове и другие данные.
Степень критичности полноты данных:
ИСТОЧНИКИ УТЕЧЕК
Важное отличие рынка нелегальных баз данных 2020 года – полностью исчезли предложения от первоисточников (инсайдеров). Большинство продавцов работают по принципу инсайдерских агрегаторов — потенциальному клиенту предлагают на выбор несколько различных банков, откуда специально для него могут сделать выгрузку нужного количества данных. Почти все предложения — эксклюзивные выгрузки, делающиеся под клиента в день заказа.
Для сохранения безопасности инсайдеров большинство баз данных теперь стало продаваться «в одни руки». Это не означает, что клиент банка будет скомпрометирован только единожды — эксклюзивна только конкретная выгрузка. Ничто не мешает другому инсайдеру с доступом к данным этого же клиента включить его данные в свою выгрузку и продать ёще раз.
Эксклюзивность баз данных (% от количества предложений)
То есть рынок перепродаж массовых баз данных также практически исчез. Важно понимать, что речь идет именно о предложениях — даже на черном рынке есть недобросовестные продавцы, предлагающие устаревшие базы данных под видом новых.
Не меньше 10% предложений приходится на инсайдеров партнеров банков — сервисов Интернет-заявок на банковские продукты, точки оформления рассрочек в торговых центрах и магазинах бытовой техники, другие сервисные организации, получающие доступ к банковским данным в целях оказания услуг банкам. Такие базы не содержат критической информации для прямого мошенничества, но могут быть использованы для спама или подделки заявок на кредиты.
СКОМПРОМЕТИРОВАННЫЕ ОРГАНИЗАЦИИ
На открытых торговых площадках в 2020 году можно найти предложения о продаже баз данных клиентов 26 различных российских банков. Ожидаемо, большая часть предложений приходится на крупнейшие организации. В продаже находятся базы 18 из 30 крупнейших банков России (по данным Банка России). По сравнению с 2019 годом количество скомпрометированных банков снизилось почти в два раза.
Анализируя данные прошлых исследований, можно сделать вывод, что рост предложений баз тех или иных банков сопоставим с широкими рекламными кампаниями их розничных продуктов. Так, в 2020 году достаточно мало предложений баз данных микрофинансовых организаций, а данные клиентов банков с популярными ипотечными программами стали более распространены.
СТОИМОСТЬ ДАННЫХ
По утверждениям продавцов, большинство крупных банков начали строже контролировать доступ своих сотрудников к базам данных, поэтому злоумышленники потеряли возможность делать крупные выгрузки на продажу и зарабатывать на объемах. Вместо этого инсайдеры организовывают регулярные выгрузки данных небольшими партиями (до 1000 записей), сбывая их постоянным клиентам.
Тем не менее, по отдельным банкам встречаются предложения больших объемов полных клиентских данных. Чаще всего это «лиды» — данные потенциальных клиентов банков, оставлявших заявки на кредит через партнерские организации (магазины с рассрочкой на покупки или сайтыагрегаторы банковских предложений). Но встречаются и предложения крупных баз с полными банковскими данными. Например, база индивидуальных предпринимателей банка из второй десятки крупнейших — насчитывает 70 000 записей. Стоимость такой базы составит 1,4 млн. рублей.
Вероятно, сложности с доступом к клиентским данным стали причиной выросших вдвое цен на теневом рынке баз данных.
В 2020 году средняя стоимость одной записи — 15 рублей против 6 рублей в прошлом году. Цена зависит от полноты данных, уникальности и объемов закупки. Так, несортированные данные клиентов одного из трех крупнейших розничных банков продаются в среднем по 12 рублей за запись, а клиенты банков второго десятка встречаются реже и оцениваются в 23 рубля. Малоинформативные базы, содержащие только имя и контактные данные клиентов банка, стоят по 5 рублей за запись, а свежие заявки на банковские продукты оцениваются уже на порядок дороже, по 200 рублей. Традиционно дорогостоящих баз данных с полными данными, необходимыми для подделки карт, практически не встречается в открытых предложениях, что свидетельствует об эффективности мер безопасности, применяемых банками в последние годы.
ОБЪЁМ РЫНКА
В этом году мы изменили методику подсчета объема рынка. Поскольку нет точных данных о количестве продаваемых записей на теневом рынке баз данных банков, мы приняли за основу количество продавцов и заявленную регулярность выгрузок. В течение нескольких месяцев мы интервьюировали продавцов нелегальных баз данных, чтобы определить объем продаваемых банковских баз данных и емкость этого рынка. Большинство продавцов получает регулярные выгрузки по 1-2 тысячи строк от банковских инсайдеров 3-4 раза в месяц, при этом если инсайдер прекращает поставки, его оперативно заменяют другим источником, возможно, из другого банка. Так или иначе, в среднем продавец теневого рынка баз данных сбывает 47000 записей в год по каждому скомпрометированному банку.
Сопоставив эти цифры с известными нам данными о количестве продавцов, сравнив с информацией о продаже готовых крупных базах данных, мы можем предположить, что в 2020 году из банковских систем для продажи выгружено порядка 9,2 млн записей о клиентах банков. Мы дифференцировали продаваемые базы данных по характеру содержания и экстраполировали на них известную нам информацию о стоимости аналогичных типов данных, исключив экстремумы. С точностью в 70% можно сделать вывод, что объем теневого рынка банковских баз данных составил 187 млн. рублей.
Выгрузка данных из банков, шт/год
Объём теневого рынка продажи баз данных, шт/год
По сравнению с предыдущим годом мы видим серьезное сокращение рынка — объем продаваемых баз данных снизился в 7 раз, а объём рынка сократился на 55%.
Падение рынка мы связываем с несколькими факторами, вот основные из них:
- Всплеск массовых утечек данных в 2019 году послужил кратковременным драйвером роста, в то время как в 2020 году аналогично крупных утечек в банковской сфере практически не случалось. Если рассматривать прошлый год как экстремум, откат выглядит не таким сильным, показатели рынка сопоставимы с данными 2018 года;
- Уход продавцов в тень, рынок перестраивается от открытых предложений к работе с постоянными известными партнерами, поиск продавцов ведется через инвайты в закрытые группы мессенджеров и рекомендации;
- Усиление мер безопасности в банках, максимальное ограничение доступа сотрудников к данным клиентов в большинстве крупных финансовых организаций. Несмотря на то, что банки редко признают факты утечек информации, а публичные инциденты описывают как единичные случаи, они все же проводят внутренние работы по корректировке и усилению мер контроля доступа к данным клиентов;
- Повышение уровня финансовой грамотности, широкая информированность о популярных мошеннических схемах делает бессмысленной многоразовое использование одних и тех же баз данных;
- Перевод сотрудников на удаленную работу, снижение количества сотрудников, реально имеющих доступ к базам данных банка.
ВЫВОДЫ
1. Минимум открытых предложенийС 2020 года в интернете практически исчезли открытые предложения о продаже банковских баз данных. Однако рынок никуда не делся — торговые площадки публикуют объявления с краткими предложениями и аккаунтом продавца в мессенджерах, у которого можно узнать, базы каких банков есть в наличии, их содержимое и стоимость.
2. Базы стали меньше
С начала публикации наших исследований большинство крупных банков начали серьезно контролировать доступ к базам данных. Поэтому злоумышленники потеряли возможность делать крупные выгрузки на продажу и зарабатывать на объемах.
3. Регулярные поставки баз данных
Большинство продавцов предлагает регулярные поставки свежих выгрузок баз данных. Для сохранения прежних объемов инсайдеры выгружают в среднем 1-2 тысячи новых контактов в неделю.
4. Данные стали дороже
Средняя стоимость одной записи – 15 рублей против 6 рублей в прошлом году.
5. Больше эксклюзивных предложений
Для сохранения безопасности инсайдеров большинство баз данных теперь стало продаваться «в одни руки». Это не означает, что клиент банка будет скомпрометирован только единожды — эксклюзивна только конкретная выгрузка. Ничто не мешает другому инсайдеру с доступом к данным этого же клиента включить его данные в свою выгрузку и продать ещё раз.
6. Рост предложений по «пробиву»
Целевые данные конкретных людей собираются из разных источников и могут содержать любую информацию, вплоть до клички первой собаки. Но банковские данные все же остаются в приоритете — чаще всего клиентов инсайдеров интересует, в каких банках есть счета у цели и их актуальное состояние. Стоимость полной информации о конкретном человеке зависит от сложности «пробива» и плавает от 2 до 10 тыс. рублей.
7. Нет предложений от первоисточников
Инсайдеры больше не продают базы данных открыто. Продавцы баз данных теперь работают по схеме диспетчерской — получают запрос клиента и заказывают через своих агентов выгрузки из банков, подходящие под запрос. Для больших объемов это могут быть смешанные выгрузки из нескольких банков.
8. Целевая аудитория
Большая часть покупателей нелегальных баз данных — мошенники, выдающие себя за службы безопасности банка. Чем больше данных о потенциальной жертве они получают, тем убедительнее аргументируют просьбу назвать код из смс для перевода денег на свои счета. Базы данных, содержащие необходимую для таких махинаций информацию, так и маркируются — «подходит для СБ».
КОММЕНТАРИЙ ЭКСПЕРТА
Роман Жуков, Директор центра компетенций «Гарда Технологии»:
Впервые мы видим снижение темпов роста открытого рынка баз данных банков.Мы связываем это с повышением информированности о проблеме и проработке полученного опыта. Банки принимают меры, основанные на реальном опыте коллег, столкнувшихся с утечками, а сами владельцы данных в большинстве своем либо сталкивались с мошенническими действиями, либо информированы об их возможности. Торговые площадки, традиционно использовавшиеся для покупки нелегальных информационных товаров, боятся привлечения к себе лишнего внимания и вводят ограничения на предложения баз данных банков. Забавно, что ограничения коснулись именно данных банковского сектора, а базы, взятые из инвестиционных сервисов, бизнес-школ, интернет-магазинов и любых других источников продолжают открыто продаваться.