Анонимный хакер с весны 2020 года продает персональные данные россиян, оказавшихся за границей во время эпидемии коронавируса. МИД называет эту информацию фейком, но как показал эксперимент Би-би-си, данные в утекшей базе — полностью или частично — соответствуют действительности. Ничего не подозревающие туристы могут стать жертвами мошенников.
Более 260 тысяч россиян не смогли вовремя вернуться на родину из-за эпидемии коронавируса. На оплату временного жилья, питания и других неотложных нужд правительство выделило для них 2 млрд рублей (28 млн долларов). Чтобы получить помощь, нужно было заполнить анкету на сайте госуслуг.
Большинство туристов уже вернулись в Россию, но там их могут ждать новые неприятные сюрпризы.
1 июля неизвестные взломали «Твиттер» ситуационно-кризисного центра МИДа и разместили в нем объявление о продаже базы персональных данных россиян за рубежом. В министерстве подтвердили взлом «Твиттера», но информацию об утечке данных назвали фейком.
@MID_RF 
@MID_RF
Первое объявление о продаже базы данных появилось на одном из хакерских форумов еще 29 апреля, выяснила Би-би-си.
«Список используется рядом служб для выплаты материальной помощи росгражданам, которые находятся за рубежом (выплаты согласно постановлению правительства)», — говорилось в объявлении.
Продавец утверждал, что в базу включены паспортные данные, номера телефонов, имейлы, названия стран, в которых застряли туристы, а также ценная для киберпреступников банковская информация.
Если верить продавцу, первый вариант базы данных содержал 80 тыс. строк, что примерно должно соответствовать числу упоминаемых в ней граждан. Стоимость базы злоумышленник оценивал в 240 тыс. долларов (более 17 млн рублей).
11 июня появилось второе объявление: на этот раз злоумышленник просил 66,6 биткоинов (44 млн рублей) за более актуальную версию базы на 115 тыс. строк. База якобы содержала данные 50 тыс. банковских карт.
Би-би-си связалась с аккаунтом в мессенджере Jabber, который злоумышленник опубликовал на хакерском форуме, а также во взломанном «Твиттере» ситуационно-кризисного центра МИДа.
Собеседник написал, что готов ответить на вопросы, если корреспондент подтвердит свою личность. Для этого злоумышленник выбрал довольно нетривиальный путь: найдя в открытом доступе рабочий телефон корреспондента, он сообщил, что «пришлет на него код подтверждения».
«Вы сообщаете его мне в ответ, здесь, в джаббер, для верификации вашей рабочей личности», — написал он.
Корреспондент так и не дождался кода — потому что не использует СМС как средство для восстановления доступа к своим аккаунтам в соцсетях и мессенджерах.
Предположив в переписке, что его пытаются взломать простейшим трюком из арсенала социальной инженерии, корреспондент получил такой ответ: «Бро, какие вопросы? Счет за услуги по пентестингу [тесту уязвимостей компьютерных систем] оплати».
Получив отказ, злоумышленник все же согласился ответить на вопросы. Но не на все.
Подлинная ли база? Скорее всего, да
Заручившись согласием двух россиян, оказавшихся за границей во время эпидемии, Би-би-си отправила их имена злоумышленнику. Один россиянин подавал заявку на получение материальной помощи, поэтому мог оказаться в базе. Другой решил этого не делать. Похититель базы этого не знал.
В результате собеседник прислал только данные того, кто подавал заявку на материальную помощь и должен был оказаться в базе, — включая его имейл, номер телефона и страну, в которой россиянин задержался.
Журналист РБК ранее попытался позвонить по номерам россиян, которые хакер опубликовал на форуме в качестве сэмпла базы, и ни до кого не дозвонился. Возможно, на тот момент большинство потенциальных собеседников находились за границей.
Би-би-си нашла в открытом доступе еще один «пробник» базы и позвонила по первым 20 номерам — в двух случаях люди подтвердили, что сами заполняли анкету на получение материальной помощи, в двух это были их родственники, еще в одном случае корреспондент услышал на другом конце корейскую речь — владелица этого номера, согласно опубликованным данным, не может вернуться из Южной Кореи.
Один из собеседников по имени Саид заполнял анкету за свою жену, которая не может вернуться из Таджикистана с 25 марта. Утечка данных для него — не главная проблема. «Супруга до сих пор торчит за границей, тем более маленький ребенок болеет, мы даже и не знаем, что делать».
Номера, по которым корреспондент не дозвонился, тем не менее определяются приложением GetContact как принадлежащие людям из сэмпла базы. Результаты эксперимента указывают на то, что база, скорее, подлинная.
Би-би-си обратилась за комментарием в российский МИД, а затем сообщила в министерство о результатах эксперимента, но ответов так и не получила.
Если нарушение закона о персональных данных квалифицируется как административное, то максимальный штраф составляет 75 тыс. рублей
Первоисточник базы — единый портал госуслуг (ЕПГУ), пояснил злоумышленник. Но это не единственное место, где они могли появиться. «Данный список выверен с погранслужбой и Главным информационно-аналитическим центром МВД», — писал он на форуме.
«Сливы крупных баз — это совокупность факторов, — продолжил собеседник. — Потенциальных точек доступа множество. Это может быть IP [уникальный сетевой адрес] или дверь кабинета. Напряглись сейчас люди, чувствую».
По словам злоумышленника, база пользуется спросом: на прошлой неделе он якобы передал неизвестному покупателю 1% данных (2,3 тыс. строк) и договорился о продаже еще 10%. Проданные данные он удаляет, чтобы избежать повторного использования, утверждает собеседник; проверить это утверждение невозможно.
После неудачного «пентеста» он быстро перешел с корреспондентом на «ты»: «Как ты считаешь, если я желаю получить $, что меня останавливает от розничной торговли [данными из базы]?»
Как киберпреступники могут использовать данные?
Слив персональных данных может быть поводом для обращения в полицию. Что еще можно сделать, чтобы минимизировать угрозы, Би-би-си рассказали эксперты по кибербезопасности.
Руслан Сулейманов, директор управления информационных технологий ESET Russia:
«Злоумышленники часто используют такие базы для продажи на черном рынке, поэтому даже если они пропадают из открытого доступа, пользователи остаются под угрозой. Все эти данные помогают применять методы социальной инженерии: например, преступник может позвонить жертве и попросить сообщить код из СМС, а сам ввести его при попытке похитить деньги со счета.
Зная возраст, телефон и имя, можно выбрать уязвимую целевую группу для обзвона. Часто уязвимыми становятся пожилые люди. Жертвам поступает звонок, злоумышленник называет их по имени, упоминает дату рождения и говорит, что необходимо срочно перечислить деньги для «спасения внука» или предлагает купить новый чудо-прибор, «рекомендованный минздравом».
Если пользователь обнаружил данные своей карты в подобной базе, оказавшейся в сети, ему следует обратиться в банк, необходимо срочно заблокировать карту. По возможности изменить номер телефона, который «засветился», и ни в коем случае не сообщать никому секретные коды, используемые для авторизации в приложении, и коды из СМС.
Для предотвращения негативных последствий есть простые правила. Не храните все сбережения на одном счету. Не привязывайте карту к счёту, который вы используете для накоплений. Заведите отдельную карту для онлайн-платежей. На нее следует переводить только ту сумму, которая требуется вам для покупки. Установите дневные лимиты снятия денежных средств с карт. По возможности используйте отдельную сим-карту для работы с онлайн банкингом и авторизации. Заведите отдельную почту для «чувствительных» аккаунтов (онлайн-банк, аккаунты в страховых компаниях, брокерские счета). Регулярно меняйте пароль вашей почты и аккаунтов, не используйте один и тот же пароль в нескольких системах».
Игорь Бедеров, руководитель компании «Интернет-розыск»:
«Все лица, попавшие в эту базу, а также их родственники — это потенциальные жертвы мошенников. Злоумышленники будут звонить им и предлагать любую помощь: от оформления страховок и документов до перевода через границу. Будут предлагать оплатить несуществующие пени, комиссии, налоги, штрафы и тому подобное. Граждане, перечисленные в базе, столкнутся со звонками от «представителей банков», «сотовых операторов» и «контролирующих органов», которые попытаются получить необходимые коды подтверждения для доступа к счетам.
Наконец, персональные данные могут быть использованы для регистрации на них сим-карт, аккаунтов в социальных сетях, оформления анонимных кредитных карт. Когда же база будет полностью отработана, ее продадут «пробивщикам» для включения в системы управления базами данных».
Антон Ставер, независимый исследователь даркнета:
«У всех баз есть циклы: сначала база используется для таргетированных атак, потом ее продают «трафферам», которые гонят фишинговый траффик [присылают письма о якобы взломанных аккаунтах, чтобы похитить пароли], или спамерам, а потом она вообще попадет в публичный доступ.
Я бы посоветовал людям внимательнее изучать приходящие СМС и письма и четко усвоить, что СМС-коды никому нельзя называть и деньги нельзя пересылать на другие счета, если собеседник утверждает, что это поможет их спасти. А если вам приходит письмо о том, что ваш аккаунт взломали или пытаются взломать — не переходите по ссылке из письма, а просто войдите в свой аккаунт и смените пароль».
Александр Литреев, основатель компании в сфере кибербезопасности Vee Security:
«Я бы посоветовал обратиться в банк, чтобы карту заблокировали и перевыпустили по причине компрометации. Номер вашей банковской карты изменится и данные, которые попали в утечку, будут уже неактуальны.
Немногие последуют этому совету, но стоит перевыпустить и документы, удостоверяющие личность. Если ваш паспорт оказался в этом списке, то лучше сходить в отделение миграционной службы и получить новый. Ваши данные уже не смогут использовать для получения кредитов. Это несложно, стоит небольших денег, зато обеспечивает вашу финансовую безопасность.
Наконец, я бы запросил выписку по кредитной истории, чтобы убедиться, что на ваш паспорт нет никаких кредитов. К примеру, это можно сделать в сервисе «Сбербанк Онлайн».
Взламывал ли злоумышленник другие государственные сайты? Связывались ли с ним представители МИД? Преследует ли он иные цели, кроме коммерческих? На эти вопросы злоумышленник не ответил, внезапно решив поговорить о поправках в Конституцию.
Но в конце все же объяснил, почему разговор не сложился: «Любое преступление может быть раскрыто, вопрос времени. Пойми правильно. Лишние риски не приветствуются».