Проблема не в том, что информацию защищают не так. Ошибка, что защищают не ту информацию, которая больше всего нуждается в защите. А какую надо? Не для всех это очевидно, но самая сильная защита должна быть не у тех данных, которые наиболее ценны для вас, а у тех, которые наиболее привлекательны для злоумышленника.
Ценность денег одинакова для их владельца и для вора. Ценность стратегической позиции при военных действиях тоже примерно одна и та же для обеих воюющих сторон. Совсем иное дело - информация. Утрата или разглашение иной информации наносят огромный ущерб обладателю, но не могут принести пользы разгласившему. В другом случае на чужой информации можно заработать денег, но у её первоначального обладателя ничего не пропадёт.
Про эту несимметрию многие забывают, поэтому стоят защиту, исходя из ценности информации для себя. А надо - для злоумышленника. Поэтому необходимо знать, что каким спросом пользуется на чёрном рынке, насколько ликвидно и для кого притягательно. В киберкриминальной среде давно царит узкая специализация. Произошёл окончательный отказ от "натурального хозяйства", наблюдавшегося ещё в 1990-е. Специализация означает кооперацию разных видов киберзлодеев, а отношения между собой они строят исключительно на денежной основе. То есть, промежуточный продукт должен быть ликвидным.
Злоумышленники внутренние и злоумышленники внешние НЕ интересуются информацией, которую они "могли бы использовать для". Их интересует только такая информация, которую можно продать. Желательно продать быстро. То есть, такая, которая котируется на рынке (чёрном, разумеется). Сведения, которые могут быть интересны 1-2 покупателям во всём мире, не вызывают особого интереса у умных людей.
Крайне редки случаи, когда украденная информация используется самим похитителем. Использование - это всегда выход на иное поле, в иную среду. Всякий разумный хакер и инсайдер понимает, что в вымогательстве, чёрном пиаре или бюрократических играх он не профессионал, так что играть на этом поле ему опасно. Отдельные непонимающие время от времени появляются и, конечно же, немедленно попадаются.
Например, пробуют вымогать деньги за возврат/уничтожение/неразглашение информации. С вымогательством правоохранительные органы (как в России, так и в других странах) бороться умеют хорошо. Сказывается длительный опыт. Новоявленного рэкетира вяжут в момент и доказывают вину на раз. В прессу попадает довольно много подобных случаев, и может сложиться впечатление, что они типичные. Ничуть. Это - исключение. Подавляющее большинство утечек заканчиваются тихой продажей ходовой информации на чёрном рынке, объём которого оценивается в миллиарды долларов [IDC].
Перечислим, на какие именно данные будут покушаться злоумышленники, чтобы вы знали, что следует поместить под самую надёжную охрану. Всю прочую информацию можно защищать не столь строго (в основном - от случайных утечек).
SSN
Пожалуй, наиболее ликвидный товар на чёрном рынке. Когда-то давно номер соцстрахования жителя США (Social Security Number, SSN) не был конфиденциальным и являлся просто учётным номером одного ведомства. Он состоит из 9 цифр тремя группами: "GGG-SS-NNNN". Со временем всякие магазины, банки, прокатные конторы завели моду подтверждать личность клиента, спрашивая его SSN. Не требовать же у гражданина паспорт, тем более, что паспортов там не было. Из учётного атрибута этот номер постепенно превратился в способ подтверждения личности (нестрогий, но достаточный), несмотря на усилия ведомства соцстрахования, которое поначалу даже пыталось запрещать предпринимателям использовать его в упомянутом качестве. Позже смирилось. А ещё позже, когда использование SSN стало повсеместным, начало вводить требования по его конфиденциальности.
Ныне при помощи SSN есть несколько способов украсть немного денег или получить (мошенническим путём) ряд бесплатных услуг. Поэтому всегда есть спрос на украденные/утекшие/неосторожноразглашённые номера соцстрахования. Отменить SSN или вернуть его в первоначальное несекретное состояние уже не удастся - слишко глубоко он въелся в американскую бизнес-практику. А государство там не имеет привычки к радикальным реформам а-ля Пётр Великий, чтоб всю старую дрянь переломать об колено и построить новую. Поэтому вводит меры по защите SSN везде, где он используется, стимулирует защиту и наказывает за утечки.
Есть ещё одна страна, где жители имеют аналогичный легко похищаемый идентификатор личности – Великобритания. Аналогом североамериканского SSN там выступают два номера, имеющиеся у всех жителей королевства старше 16 лет. Это National Insurance number (NINO) – две буквы, 6 цифр, ещё одна необязательная буква; а также National Health Service (NHS) number. С их помощью легко совершается почти такая же «кража личности», как в США.
CCN
Самый древний, сверхраспространённый и архистабильный лот чёрного рынка - атрибуты банковских карт. Встречается в нескольких видах:
- номер + имя + срок действия;
- номер + имя + срок действия + cvv;
- дамп (содержание магнитной полосы карты);
- дамп + пин-код.
Первый вариант - самый дешёвый, продаётся за копейки практически на вес. Последний - наиболее дорогой, поскольку позволяет конвертировать информацию в деньги наиболее прямым способом, через банкомат. Все прочие варианты требуют многоходовых комбинаций, хотя совершенно стандартных и нетворческих. Именно в силу стандартизации и хорошей алгоритмизации действий, исполнение которых доступно при любом интеллектуальном уровне, из отдельных случаев мошенничества вырос такой феномен как кража личности (identity theft). Отличается массовым масштабом, тупыми исполнителями, конвейерной организацией.
Кардинг как подвид кражи личности существует с 1970-х и с тех пор ничуть не уменьшился. Но и не растёт (относительно общего оборота по банковским картам). Кардеры применяют тактику природных паразитов: сосут кровь... то есть крадут деньги понемногу, в тех пределах, когда банкам выгоднее мириться и списывать убытки, чем ловить мошенников. Наглеющих кардеров, которые снимают большие суммы или причиняют слишком "громкие" неприятности, их коллеги не любят. А банковские службы безопасности совместо с правоохранительными органами таких время от времени ловят для показательных процессов. От остальной массы кардеров предпочитают защищаться пассивными средствами: блокированием подозрительных транзакций, затруднением вывода денег, ввыдённых с карт и т.п.
Переход с магнитных полос на чиповые карты обещает сильно испортить жизнь упомянутым мошенникам. Однако пока подвижек не заметно. Кардерам хватает карт с магнитной полосой, за чиповые они фактически ещё не брались.
Базы/списки клиентов
Были отдельные сообщения об использовании БД клиентов страховых компаний. С приближением срока окончания страховки клиенты получали телефонные и письменные предложения о заключении договора с другим страховщиком. Есть отдельные граждане, которых спам приводит в неистовство, но для большинства подобная реклама значит не больше, чем пролетевшая муха - отмахнулся и всё. Причинённый подобными обращениями ущерб люди оценивают чуть выше нуля. Среди страховых компаний подобные клиентские базы тоже ценятся не очень высоко - порядка нескольких копеек за запись. В получившем огласку случае представители страховой компании вообще предпочли не покупать предложенную им базу клиентов, а просто сдали продавца милиции.
Аккаунты соцсетей
Используются для рассылки спама внутренними средствами соцсети (в том числе, спама с вредоносами), для накрутки посещаемости, цитируемости и других значимых для рекламы показателей, а также для захвата иных аккаунтов того же пользователя (за счёт одинаковых паролей). Иногда практикуются мошеннические схемы типа просьбы одолжить денег.
Цена на такие аккаунты медленно растёт в связи с ростом стоимости рекламных площадей в соцсетях. Количество захваченных аккаунтов растёт значительно быстрее за счёт расширения аудитории. Средний уровень ИТ-знаний членов соцсетей падает или, в лучшем случае, остаётся на прежнем низком уровне.
Аккаунты онлайновых игр
Уже несколько лет, как виртуальные ценности из виртуальных миров являются объектом гражданского оборота в мире реальном. Кое-где права на них даже защищаются законом. А там, где ещё не, скоро будет, потому что объём вложенных средств постоянно растёт. Материальные интересы граждан и предприятий, выраженные в виртуальных предметах достигли такого масштаба, когда уже необходимо предоставить им защиту закона, как и офлайновым правам и интересам. Нарушения указанных прав давно имеют не индивидуальный эпизодический характер, а систематическимй и массовый. Виртуальные ценности и персонажи, добытые при помощи обмана, читинга, взлома и других злоупотреблений, являются довольно ликвидными и сбываются на рынке. Чем популярнее игра, тем лучше развит соответствующий рынок (и его чёрный сегмент).
Аккаунты Ebay и др.торговых площадок
Есть мошеннические схемы, позволяющие эксплуатировать положительную репутацию и историю продаж захваченных аккаунтов Ebay. Текущие аукционы завершаются злоумышленником досрочно и с покупателей требуется предоплата на счёт, контролируемый мошенником. Выставляются специфические быстропродаваемые лоты, предусматривающие предоплату, разумеется, тоже на "левый" счёт. За несколько дней контроля чужой учётной записи из неё можно выжать значительную сумму, которая оправдывает издержки по угону, выманиванию, взлому или покупке чужого аккаунта.
ICQ и другие IM
Некоторые номера, которые считаются престижными, можно продать за 5-30 долларов. Большинство захваченных аккаунтов используются для рассылки вредоносных программ и мошеннических просьб занять денег. При получении доступа к чужой учётной записи злоумышленник получает доступ и к списку контактов. По этому списку указанные сообщения и рассылаются. Люди склонны доверять информации, полученной от знакомых, поэтому перейдут по указанной ссылке или запустят указанную программу с гораздо бОльшей вероятностью. Рассылка такого мошеннического спама обычно автоматизирована, злоумышленник на вопросы не отвечает и в диалог не вступает. После проведения рассылки ценность захваченного аккаунта падает.
Аккаунты электронной почты
Сама по себе учётная запись электропочты может быть использована для рассылки спама. Современные технологии предусматривают массовую кражу таких аккаунтов у владельцев или же массовую регистрацию новых. Затем с каждого аккаунта рассылается относительно небольшое количество писем, чтоб не превысить лимит, установленный как раз для борьбы со спамом. Лимиты как раз и привели к массовым взломам.
Кроме рассылки почтовые аккаунты многих провайдеров (фактически - большинства) позволяют получить доступ к архиву почты клиента. А в этом архиве частенько хранятся (или отсулаются туда по запросу) пароли к другим ресурсам - хостингу, IM/ICQ, форумам, платёжным системам, блогам, порой даже к управлению банковским счётом. В среднем в почтовом архиве среднего пользователя можно найти 2,1 пароля к другим ресурсам. Эти пароли тоже можно реализовать на чёрном рынке.
Финансовые данные граждан
Такие данные строже всего охраняются, но меньше всего ценятся злоумышленниками. Власти, в отличие от злоумышленников, непрочь получить данные о банковских вкладах своих граждан, о чём свидетельствует недавний скандал с покупкой прокуратурой Франции и налоговой службой Германии базы данных швейцарского отделения банка HSBC, украденной инсайдером. Но кардеры, вымогатели и мошенники пока не знают, как можно использовать такие данные для извлечения денег, поэтому не посягают на них. В принципе, могут заинтересоваться другие банки - в целях недобросовестной конкуренции. В принципе, преступников может заинтересовать информация о вкладах избранных личностей или об их транзакциях. Но в целом такую информацию можно назвать малонужной.
Управление банковским счётом
К настоящему банковскому счёту через простое похищение логина-пароля не прорваться. Даже Вебмани и Пейпал принимают определённые меры для усиления защиты, превращая её из примитивной парольной в двухфакторную или хотя бы полуторафакторную. У банков - ещё серьёзнее.
Соответственно этому, троянские программы переориентировались с простого копирования пароля или ключа на полноценную инсайдерскую деятельность прямо на компьютере жертвы. Сообразно с особенностями конкретного банка или платёжной системы, вредоносная программа подменяет информацию, обманом заставляет пользователя подписать "левую" транзакцию и т.п.
Конфиденциальная информация (логин-пароль) в отрыве от затрояненного компьютера жертвы продаваться не может. А специализация троянописателей и троянораспространителей не позволяет им самим заняться уводом, переводом и отмывкой денег с клиентских счетов. Поэтому на чёрном рынке продаются "полуфабрикаты" или готовые стадии операции по уводу денег: троянские программы, инсталляции троянских программ, доступ к онлайновому управлению счётом, переводы. Встречаются двойные цепочки (изготовление вредоносной программы - её внедрение и хищение денег), тройные (изготовление вредоносной программы - её внедрение - хищение денег) и более многократные.
Данные о банковских вкладах
Нельзя сказать, что спроса на такие данные вообще нет. Недавний громкий скандал с утечкой из швейцарского отделения банка HSBC продемонстрировал, что спрос-таки есть. Правда, довольно специфический. Украденные инсайдером данные купили не преступники, а правоохранительные органы - для выявления налоговых преступлений граждан своих стран. Много было критики и рассуждений об этичности такого поступка. Однако в налоговые ведомства Германии и Франции выстроились очереди из желающих сдаться, признаться и уплатить недоплаченное. И это - только добровольно раскаявшиеся, пока официальное расследование ещё не началось. Воистину, такую утечку стоило бы придумать, если б её не было. (Что говорите? Не было? Ну вот, некоторые и не поверили. Теперь им будет сюрприз.)
Тем не менее, следует признать, что регулярного спроса на "банковскую тайну" на чёрном рынке нет. Для банковских инсайдеров бывают отдельные "заказы" на определённых вкладчиков или определённые специфические транзакции. Но довольно редко. Тем более, что такие сведения дешевле и удобнее получить через коррумпированного сотрудника правоохранительных органов. Но уже слитые данные о вкладах предлагать на чёрном рынке практически бесполезно - не купят.
Паспортные данные
Данные паспортов и иных удостоверений личности, а также их скан-копии котируются на рынке крайне низко. На это есть две причины. Во-первых, сама по себе такая информация не может быть использована для получения денег. Она находит применение лишь в качестве вспомогательной в других видах мошенничества. Во-вторых, в Сети достаточно много бесплатных источников паспортных данных граждан, утекших из разных ведомств и компаний. А сканы удостоверений личности снимают настолько часто, что их предложение тысячекратно превышает спрос.
Отдельно следует сказать об изготовлении на заказ скан-копий удостоверений личности и иных документов. Такие копии требуются для подтверждения личности и адреса в некоторых предприятиях дистанционного обслуживания: интернет-магазинах типа "Ebay", платёжных системах как "PayPal", интернет-казино и букмекерских конторах (для вывода выигрыша) и других. Нарисовать достоверную скан-копию невысокого разрешения не слишком сложно. Она обойдётся заказчику в 10-30 долларов, однако данные для неё, как правило, сообщает заказчик.
Заключение
Защита от случайных и от намеренных утечек информации строится немного по-разному. Для тех данных, которые представляют ценность лишь для их обладателя, можно ограничиться защитой от случайности - это дешевле, проще и легче автоматизируется. А информация, которая ликвидна на чёрном рынке, будет находиться под угрозой как случайных утечек, так и намеренных посягательств (прежде всего - со стороны инсайдеров). На её защиту придётся раскошелиться по полной программе. Или просто отказаться от её обработки.
Автор: Николай Николаевич Федотов