Хакеры выставили на продажу данные 16 тыс. клиентов брокера «Фридом Финанс». Архив с информацией о 50 инвесторах можно загрузить бесплатно. В нем содержатся паспортные данные, образцы почерка и подписей, а также информация об остатке по счетам. На балансах инвесторов от $100 тыс. до $2 млн, сообщается в объявлении. Продавец обещает, что каждую неделю будет размещать в открытом доступе данные 50 новых клиентов.
Фото: Юрий Мартьянов, Коммерсантъ / купить фото
Фото: Юрий Мартьянов, Коммерсантъ / купить фото
«Фридом Финанс» отнеслась к сообщению об утечке со скепсисом — на сайте брокера сказано, что доступ к информации об инвесторах имеет ограниченный круг лиц, но компания тем не менее проведет проверку и уже «радикально усилила меры безопасности».
Впрочем, помимо данных инвесторов, хакеры завладели также логинами и паролями некоторых сотрудников компании, говорит основатель сервиса разведки утечек данных DLBI Ашот Оганесян. Он первым обратил внимание на объявление.
«Там находились разнообразные заявления, официальные письма о признании клиента квалифицированным инвестором, написанные от юридического лица с названием "Фридом Финанс". По каждому из клиентов находились выписки из банковского счета, как правило, все это датировалось 2019 годом, из различных банков, там и ВТБ, и "Тинькофф", и Альфа-Банк — практически все основные банки.
По характеру информации это, скорее всего, взлом сети, причем взлом, очень похожий на то, как обычно взламывают вирусовымогатели, так называемые локеры.
Потому что, опять же, по словам продавца, в их распоряжении не только данные клиентов, но в том числе данные сотрудников, включая логины, пароли к разнообразным ресурсам.
Я думаю, что дойти до личного кабинета самих инвесторов малореально, скорее всего, личные кабинеты как-нибудь защищены какой-нибудь двухфакторной аутентификацией и прочим. Речь идет все-таки о том, что выкачанная информация уже в себе содержит все необходимое мошенникам, они фактически получили доступ к той информации, которую клиенты предоставляют брокеру или компании финансовой, просто это не база данных как таковая, а это набор документов в виде pdf, сканов каких-то.
Несмотря на то что информация от 2019 года, там на текущий момент еще может оставаться что-то такое интересное осталось. Плюс нельзя утверждать, что у хакеров нету свежих данных. Потому что то, что они выложили в качестве примера, это всего лишь 50 папок с документами, что в остальных содержится, мы не знаем. Если предполагать, что они действительно проникли в сеть и скачали информацию со всех компьютеров, то логично предположить, что там есть более актуальная информация, и этого года, и может быть даже последних месяцев»,— отметил Ашот Оганесян.
“Ъ FM” связался с представителями «Фридом Финанс», там заверили, что попавшие к злоумышленникам архивы не содержат личных логинов и паролей от торговых программ, какой-либо платежной информации, сведений об остатках на брокерских счетах, совершенных операциях или движении денежных средств.
Но даже без этих данных у мошенников остаются способы получить деньги инвесторов, говорит технический директор Trend Micro в России и СНГ Михаил Кондрашин: «Мошеннические звонки — это самый вероятный способ использования такой информации, потому что они дают свободу злоумышленникам по тому, какой вред нанести своей жертве, они идут не наугад, они знают, какую сумму можно требовать, о каких деньгах можно говорить, и самое опасное, что у них есть информация на руках о жертве. Это значит, что они могут на нее ссылаться, представляться финансовыми консультантами, сотрудниками компании "Фридом Финанс" и так далее.
Есть более косвенные способы атак, такие как, например, заражение компьютеров вредоносным кодом и перехват доступа и управления брокерскими счетами. Но эта схема атаки в разы более сложная, этим людям уже не нужны краденые базы данных, это люди, которые работают немножечко на другом уровне. А тот, кто позарится на эту конкретную базу данных, это будут все-таки те, кому нужно их просто и быстро, так сказать, обналичить.
Чтобы обезопасить инвесторов, следует выполнить два условия. Первое — это, конечно же, открытость и открытое информирование всех о ситуации. Второе — необходимо учесть, как могут быть использованы данные, встать на сторону злоумышленников мысленно специалистам компании и проработать возможный сценарий использования этих данных, которые украдены.
Соответственно, нужны противомеры. Это, конечно же, в первую очередь смена реквизитов доступа, и во вторую — проработка тех форматов взаимодействия с клиентами, которые в этой компании практикуются.
Если эта компания не взаимодействует с клиентами по какой-либо схеме, которая предполагает передачу конфиденциальной информации по телефону, нужно об этом уведомить каждого клиента, чтобы в случае поступления какого бы то ни было звонка, было однозначно понятно, что это мошенники».
Согласно исследованию InfoWatch, с января по сентябрь этого года большинство утечек данных из российских компаний произошли из-за внутренних нарушений. Причем в России доля «сливов» по вине работников вдвое выше, чем в мире,— более 72%.