Мнения / Кибербезопасность

Как защитить свои персональные данные, если даже закон не может их защитить

Персональные данные на черном рынке – кому это выгодно?

20 января 2017, 17:33

Каждый из нас оставляет свои данные разным организациям и сервисам при регистрации. Априори мы думаем, что передаем их под ответственность этих компаний. Но как показывает практика, далеко не все могут обеспечить их безопасность.

Александр Суханов, эксперт по информационной безопасности «МФИ Софт», объясняет, что такое черный рынок баз данных, сколько на нём зарабатывают и как защитить свои данные от кражи.

Любой желающий может купить базу персональных данных за 15 тысяч рублей

Данные с одинаковым успехом утекают как из крупных компаний, так и из локальных интернет-магазинов и сервисов. Так они оказываются в свободной продаже на черном рынке. А там за небольшую плату, в среднем в 15 тысяч рублей, такие базы может приобрести любой желающий. Кто-то из праздного интереса, а кто-то с целью мошенничества.

По данным исследования аналитического центра «МФИ Софт», на черном рынке наиболее распространены базы интернет-магазинов или ecommerce – 43%, на втором месте – азартные онлайн-игры – 36%, на третьем — базы клиентов финансовой отрасли – 26%.

Что такое черный рынок баз данных?

Совокупность торговых площадок и пиратских форумов, на которых осуществляется торговля данными – это и есть чёрный рынок.Наибольшая часть баз, которые находятся в продаже, была получена нелегальным путём, в основном это:

инсайдеры – 78%,
целенаправленное распространение баз со стороны операторов персональных данных – 13%
внешний взлом баз данных – 1%.

Но есть и информация, которая сама по себе доступна в открытых источниках – такие данные структурируются с помощью программ парсинга и продаются за деньги. В большинстве случаев в таких базах данных содержатся персональные данные, следовательно, нарушается ФЗ-152 «О персональных данных», а при использовании данных зачастую нарушается 38-ФЗ «О рекламе».

Кто покупает базы данных?

Каждый сталкивался с ситуацией, когда получал именные письма или звонки с предложением тех или иных услуг от организаций, о которых первый раз слышал или же звонки от техподдержки банков с просьбой назвать сумму на счете или цифры из СМС. Все это результаты перепродажи баз данных.

Наиболее распространены простые базы данных, содержащие адреса электронной почты, имена, другие контактные данные.

В зависимости от источника данных, есть и другие сведения, в случае с банком это может быть информация о счетах, кредитах и вкладах, в случае с онлайн-магазином – список покупок, средний чек, таргетинговая информация.

Стоимость одной записи в такой базе данных — от 0,02 до 10 рублей.

Чаще всего данные покупают:

лица, занимающиеся рассылкой спама с целью продвижения товаров и услуг, или распространения вредоносного ПО, например, криптовымогателей или вирусов для создания ботнетов.
злоумышленники, использующие данные для кражи личности, шантажа и социальной инженерии. Обладая такой базой, можно оформить кредит на чужой паспорт, шантажировать человека разглашением его конфиденциальной информации, совершать целенаправленные кражи, с помощью социальной инженерии обманными действиями заставить человека перевести деньги на счета мошенников.

Сколько зарабатывают покупатели краденных баз?

Выгода от приобретения баз данных очевидна, и если объём рынка в 30 миллионов рублей в год сравнительно небольшой, то получаемая выгода за счёт реализации широкого спектра сценариев, значительно больше. В своём роде рынок баз данных является плацдармом для обширной среды киберпреступности. Можно уверенно говорить о том, что зарабатывают на данных десятки миллионов в год.

Свежий пример использования краденных баз данных

Буквально несколько недель назад в Нижнем Новгороде была выявлена группа кибермошенников, совершившая более 100 хищений денежных средств со счетов и кредитных карт клиентов банков. Преступная группа из 11 человек была организована еще в 2010 году.

Мошенники действовали по нескольким схемам. С помощью инсайдеров среди банковских сотрудников они оформляли кредитные карты и потребительские кредиты на паспортные данные граждан, купленные на черном рынке. После этого деньги незаконно обналичивали. По делу заведены гражданские иски на общую сумму около 5 миллионов рублей.

Как защитить свои персональные данные от кражи?

Снизить личные риски от подобной деятельности достаточно легко, если мы говорим о спаме:

не переходить по ссылкам и не открывать почтовые вложения, полученные от незнакомых контактов.

Если о других видах мошенничества:

внимательно смотреть на номера, от которых приходят сообщения, так как они могут быть замаскированы под службы клиентского сервиса различных компаний.

Не стоит оставлять свои контактные данные по первой просьбе в различных магазинах, салонах услуг и так далее. В идеале, стоит пользоваться альтернативным почтовым ящиком для входящих писем и мобильным номером без привязанных аккаунтов, чтобы их компрометация не могла нанести материального и морального вреда.

Материалы по теме: