МИД отрицает, хакеры - продают. Персональные данные российских туристов доступны мошенникам?

Анонимный хакер с весны 2020 года продает персональные данные россиян, оказавшихся за границей во время эпидемии коронавируса. МИД называет эту информацию фейком, но, как показал эксперимент Би-би-си, данные в утекшей базе - полностью или частично - соответствуют действительности. Ничего не подозревающие туристы могут стать жертвами мошенников.

Более 260 тысяч россиян не смогли вовремя вернуться на родину из-за эпидемии коронавируса. На оплату временного жилья, питания и других неотложных нужд правительство выделило для них 2 млрд рублей (28 млн долларов). Чтобы получить помощь, нужно было заполнить анкету на сайте госуслуг.

Большинство туристов уже вернулись в Россию, но там их могут ждать новые неприятные сюрпризы.

1 июля неизвестные взломали "Твиттер" ситуационно-кризисного центра МИДа и разместили в нем объявление о продаже базы персональных данных россиян за рубежом. В министерстве подтвердили взлом "Твиттера", но информацию об утечке данных назвали фейком.

Первое объявление о продаже базы данных появилось на одном из хакерских форумов еще 29 апреля, выяснила Би-би-си.

"Список используется рядом служб для выплаты материальной помощи росгражданам, которые находятся за рубежом (выплаты согласно постановлению правительства)", - говорилось в объявлении.

Продавец утверждал, что в базу включены паспортные данные, номера телефонов, имейлы, названия стран, в которых застряли туристы, а также ценная для киберпреступников банковская информация.

Если верить продавцу, первый вариант базы данных содержал 80 тыс. строк, что примерно должно соответствовать числу упоминаемых в ней граждан. Стоимость базы злоумышленник оценивал в 240 тыс. долларов (более 17 млн рублей).

11 июня появилось второе объявление: на этот раз злоумышленник просил 66,6 биткоинов (44 млн рублей) за более актуальную версию базы на 115 тыс. строк. База якобы содержала данные 50 тыс. банковских карт.

Би-би-си связалась с аккаунтом в мессенджере Jabber, который злоумышленник опубликовал на хакерском форуме, а также во взломанном "Твиттере" ситуационно-кризисного центра МИДа.

Собеседник написал, что готов ответить на вопросы, если корреспондент подтвердит свою личность. Для этого злоумышленник выбрал довольно нетривиальный путь: найдя в открытом доступе рабочий телефон корреспондента, он сообщил, что "пришлет на него код подтверждения".

"Вы сообщаете его мне в ответ, здесь, в джаббер, для верификации вашей рабочей личности", - написал он.

Корреспондент так и не дождался кода - потому что не использует СМС как средство для восстановления доступа к своим аккаунтам в соцсетях и мессенджерах.

Предположив в переписке, что его пытаются взломать простейшим трюком из арсенала социальной инженерии, корреспондент получил такой ответ: "Бро, какие вопросы? Счет за услуги по пентестингу [тесту уязвимостей компьютерных систем] оплати".

Получив отказ, злоумышленник все же согласился ответить на вопросы. Но не на все.

Подлинная ли база? Скорее всего, да

Заручившись согласием двух россиян, оказавшихся за границей во время эпидемии, Би-би-си отправила их имена злоумышленнику. Один россиянин подавал заявку на получение материальной помощи, поэтому мог оказаться в базе. Другой решил этого не делать. Похититель базы этого не знал.

В результате собеседник прислал только данные того, кто подавал заявку на материальную помощь и должен был оказаться в базе, - включая его имейл, номер телефона и страну, в которой россиянин задержался.

Журналист РБК ранее попытался позвонить по номерам россиян, которые хакер опубликовал на форуме в качестве сэмпла базы, и ни до кого не дозвонился. Возможно, на тот момент большинство потенциальных собеседников находились за границей.

Би-би-си нашла в открытом доступе еще один "пробник" базы и позвонила по первым 20 номерам - в двух случаях люди подтвердили, что сами заполняли анкету на получение материальной помощи, в двух это были их родственники, еще в одном случае корреспондент услышал на другом конце корейскую речь - владелица этого номера, согласно опубликованным данным, не может вернуться из Южной Кореи.

Один из собеседников по имени Саид заполнял анкету за свою жену, которая не может вернуться из Таджикистана с 25 марта. Утечка данных для него - не главная проблема. "Супруга до сих пор торчит за границей, тем более маленький ребенок болеет, мы даже и не знаем, что делать".

Номера, по которым корреспондент не дозвонился, тем не менее определяются приложением GetContact как принадлежащие людям из сэмпла базы. Результаты эксперимента указывают, что база, скорее, подлинная.

Би-би-си обратилась за комментарием в российский МИД, а затем сообщила в министерство о результатах эксперимента, но ответов так и не получила.

Первоисточник базы - единый портал госуслуг (ЕПГУ), пояснил злоумышленник. Но это не единственное место, где они могли появиться. "Данный список выверен с погранслужбой и Главным информационно-аналитическим центром МВД", - писал он на форуме.

"Сливы крупных баз - это совокупность факторов, - продолжил собеседник. - Потенциальных точек доступа множество. Это может быть IP [уникальный сетевой адрес] или дверь кабинета. Напряглись сейчас люди, чувствую".

После неудачного "пентеста" злоумышленник быстро перешел с корреспондентом на "ты": "Как ты считаешь, если я желаю получить $, что меня останавливает от розничной торговли [данными из базы]?"

По словам злоумышленника, база пользуется спросом: на прошлой неделе он якобы передал неизвестному покупателю 1% данных (2,3 тыс. строк) и договорился о продаже еще 10%. Проданные данные удаляются, чтобы избежать повторного использования, утверждает собеседник; проверить это утверждение невозможно.

Как киберпреступники могут использовать данные?

Слив персональных данных может быть поводом для обращения в полицию. Что еще можно сделать, чтобы минимизировать угрозы, Би-би-си рассказали эксперты по кибербезопасности.

Руслан Сулейманов, директор управления информационных технологий ESET Russia:

"Злоумышленники часто используют такие базы для продажи на черном рынке, поэтому даже если они пропадают из открытого доступа, пользователи остаются под угрозой. Все эти данные помогают применять методы социальной инженерии: например, преступник может позвонить жертве и попросить сообщить код из СМС, а сам ввести его при попытке похитить деньги со счета.

Зная возраст, телефон и имя, можно выбрать уязвимую целевую группу для обзвона. Часто уязвимыми становятся пожилые люди. Жертвам поступает звонок, злоумышленник называет их по имени, упоминает дату рождения и говорит, что необходимо срочно перечислить деньги для "спасения внука" или предлагает купить новый чудо-прибор, "рекомендованный минздравом".

Если пользователь обнаружил данные своей карты в подобной базе, оказавшейся в сети, ему следует обратиться в банк, необходимо срочно заблокировать карту. По возможности изменить номер телефона, который "засветился", и ни в коем случае не сообщать никому секретные коды, используемые для авторизации в приложении, и коды из СМС.

Для предотвращения негативных последствий есть простые правила. Не храните все сбережения на одном счету. Не привязывайте карту к счёту, который вы используете для накоплений. Заведите отдельную карту для онлайн-платежей. На нее следует переводить только ту сумму, которая требуется вам для покупки. Установите дневные лимиты снятия денежных средств с карт. По возможности используйте отдельную сим-карту для работы с онлайн банкингом и авторизации. Заведите отдельную почту для "чувствительных" аккаунтов (онлайн-банк, аккаунты в страховых компаниях, брокерские счета). Регулярно меняйте пароль вашей почты и аккаунтов, не используйте один и тот же пароль в нескольких системах".

Игорь Бедеров, руководитель компании "Интернет-розыск":

"Все лица, попавшие в эту базу, а также их родственники - это потенциальные жертвы мошенников. Злоумышленники будут звонить им и предлагать любую помощь: от оформления страховок и документов до перевода через границу. Будут предлагать оплатить несуществующие пени, комиссии, налоги, штрафы и тому подобное. Граждане, перечисленные в базе, столкнутся со звонками от "представителей банков", "сотовых операторов" и "контролирующих органов", которые попытаются получить необходимые коды подтверждения для доступа к счетам.

Наконец, персональные данные могут быть использованы для регистрации на них сим-карт, аккаунтов в социальных сетях, оформления анонимных кредитных карт. Когда же база будет полностью отработана, ее продадут "пробивщикам" для включения в системы управления базами данных".

Антон Ставер, независимый исследователь даркнета:

"У всех баз есть циклы: сначала база используется для таргетированных атак, потом ее продают "трафферам", которые гонят фишинговый траффик [присылают письма о якобы взломанных аккаунтах, чтобы похитить пароли], или спамерам, а потом она вообще попадет в публичный доступ.

Я бы посоветовал людям внимательнее изучать приходящие СМС и письма и четко усвоить, что СМС-коды никому нельзя называть и деньги нельзя пересылать на другие счета, если собеседник утверждает, что это поможет их спасти. А если вам приходит письмо о том, что ваш аккаунт взломали или пытаются взломать - не переходите по ссылке из письма, а просто войдите в свой аккаунт и смените пароль".

Александр Литреев, основатель компании в сфере кибербезопасности Vee Security:

"Я бы посоветовал обратиться в банк, чтобы карту заблокировали и перевыпустили по причине компрометации. Номер вашей банковской карты изменится и данные, которые попали в утечку, будут уже неактуальны.

Немногие последуют этому совету, но стоит перевыпустить и документы, удостоверяющие личность. Если ваш паспорт оказался в этом списке, то лучше сходить в отделение миграционной службы и получить новый. Ваши данные уже не смогут использовать для получения кредитов. Это несложно, стоит небольших денег, зато обеспечивает вашу финансовую безопасность.

Наконец, я бы запросил выписку по кредитной истории, чтобы убедиться, что на ваш паспорт нет никаких кредитов. К примеру, это можно сделать в сервисе "Сбербанк Онлайн".

Взламывал ли злоумышленник другие государственные сайты? Связывались ли с ним представители МИД? Преследует ли он иные цели, кроме коммерческих? На эти вопросы злоумышленник не ответил, внезапно решив поговорить о поправках в Конституцию.

Но в конце все же объяснил, почему разговор не сложился: "Любое преступление может быть раскрыто, вопрос времени. Пойми правильно. Лишние риски не приветствуются".