За утечки персональных данных предложили штрафовать российские банки

Если бы российские банки за утечки данных клиентов штрафовали на процент от оборота, проблема «слива» персональной информации решилась бы очень быстро, рассказал основатель сервиса разведки утечек и мониторинга даркнета DLBI Ашот Оганесян в интервью «Известиям».

«В настоящий момент банковские персональные данные продаются в Интернете каждый день. Бывает, что продают целые базы, а чаще выставляют объявления по продаже отдельных записей с телефонами и остатками на счетах», — рассказал эксперт.

По его словам, банки уже давно никто не взламывает, есть инсайдеры. «Банк слишком много тратит на защиту периметра, взломать его довольно сложно. Иногда — очень редко — информация добывается через какие-то уязвимости», — пояснил эксперт.

Однако в том же самом Интернете нельзя купить выгрузку баз Deutsche Bank или Bank of America. Это происходит потому, что российские банки не штрафуют так, как западные. «Если бы и российские банки штрафовали на процент от оборота, я уверен, что они бы эту проблему решили», — заявил Оганесян.

По словам эксперта, банковские базы — это самый дорогой товар. «У каждой записи определенная цена. От нескольких до сотен рублей за одну запись — в зависимости от того, какой банк, что содержится в записи. Если запись будет содержать все паспортные данные, остатки на счетах, телефон, e-mail, она может стоить сотни рублей. Если она, конечно же, уникальна. Бывают, что записи перепродают сразу в несколько рук. Это называется «отработка», — рассказал Оганесян.

Ценность этих баз для мошенников в том, что они, получив конфиденциальную информацию, будут звонить людям, пояснил эксперт. «Если человеку до него уже десять раз позвонили другие мошенники — одиннадцатому точно не повезет. Как и десятому, и девятому… Повезет только первому, максимум — второму. Поэтому такие базы или продают в одни руки, или сразу предупреждают, что это «отработка», и тогда на нее будет серьезная скидка», — отметил Ашот Оганесян.

Также мошенники не всегда говорят, сколько у них записей. «Базы добываются разными путями, поэтому тут всегда индивидуальный сценарий. Стоимость базы зависит либо от размера, либо от тематики. Одно дело ты получаешь клиента, который просто зарегистрировался на игровом сервисе. Сам по себе он не представляет никакого интереса. Ценно, что их 200 миллионов — это нужно для аналитики, для взлома других сервисов. Другое дело, когда ты получил одного клиента, у которого на счету 1 миллион рублей, и, предположим, таких у тебя 100. Велика вероятность, что ты сможешь применить социальную инженерию и выманить у них деньги. Тут совершенно разная ценность информации, поэтому стоимость последней базы — 200–300 рублей за запись. 200 миллионов игроков продадут за три-четыре биткоина. Может, за пять», — рассказал эксперт.