Высокотехнологичным злоумышленникам пригодится любая личная информация
Дата: 21.07.2005Источник: Lenta.ru
Автор: Сергей Рублёв
... в ней данным. Проще говоря, это "троян" - "шпион", внедренный в некий компьютер и дающий возможность делать с ним что угодно руками хакера, сидящего где-то в таинственном месте и отдающего "трояну" команды. Чтобы подсадить "трояна", нужно либо каким-либо способом заставить человека, имеющего доступ к нужной машине, установить его, либо удаленно взломать операционную систему одним из многочисленных известных способов, которые не должны сработать, если администратор системы достаточно квалифицирован и знает, какие защитные меры надо принимать. Впрочем, можно и просто договриться с каким-либо сотрудником, чтобы он скопировал нужные данные и передал их злоумышленникам.Сейчас в Израиле вовсю гремит громкий скандал по делу четырех местных фирм, которые при посредничестве детективных агентств внедрили "троянов" на компьютеры своих конкурентов и оказались таким образом осведомлены о многих внутренних аспектах их деятельности, в том числе о финансовых результатах. "Трояны" были подсунуты конкурентам вместе с презентационными компакт-дисками, которые сотрудники, как ни в чём не бывало, вставляли в компьютеры и запускали - им демонстрировались рекламные ролики, а "трояны" в это время тихо размещались на жестких дисках компьютеров-жертв. Какая методика была применена в случае с CardSystems, непонятно, но явно можно говорить о том, что файлы с критичными данными оказались у хакеров как на ладони.
Как снежный ком
Самое занятное в этой ситуации то, что откровение MasterCard стало очередным (и самым серьезным) из серии аналогичных. Целый ворох сообщений о "пропаже персональных данных" из американских фирм был привнесен в мировое информационное пространство за последние полгода, причем масштабы и обстоятельства происшествий в ряде случаев поистине впечатляющие. Пропадают не только банковские и платежные реквизиты, но и различного рода паспортные данные, номера социального страхования, данные о водительских правах и прочая подобная информация, огромные массы которой хранятся в базах данных уполномоченных на всякого рода юридическую и финансовую деятельность фирм. Информация эта применяется для множества разных задач, связанных с множеством форм документооборота и платежных транзакций.
В начале июня о пропаже персональной информации о 3,9 миллионов своих клиентов оповестила мир крупнейшая мировая банковская группа Citigroup. Причем в ее случае ситуация приняла совсем комичный оборот - бесценные данные (номера соцстрахования, история счетов, данные о займах, причем не только нынешних клиентов, но и людей, бывших клиентами в прошлом) были записаны на магнитные ленточные бобины (такие применяются для резервирования больших объемов цифровых данных, устройства для работы с ними называется "стримерами") и отправлены "на аудит" из Нью-Йорка в Техас популярной службой доставки UPS (United Parcel Service), которая эти бобины... потеряла по дороге.
Магнитные бобины для резервирования данных, фото с сайта geog.ucsb.edu
Магнитные бобины для резервирования данных, фото с сайта geog.ucsb.edu
Исполнительный вице-президент Citigroup Кевин Кессинджер пообещал, что в будущем подобные сведения будут передаваться "только по сетям" и только "электронным способом в зашифрованном виде". Из чего можно сделать вывод, что конфиденциальные сведения крупнейшая и авторитетнейшая американская финансовая группа передавала не просто в виде почтовой посылки, но еще и в виде тех же никак не защищенных "файлов", что в наш век изощреннейших криптографических решений выглядит совсем несуразно.
Случай с Citigroup признавался самым масштабным до случая с CardSystems. Самым масштабным из богатого набора других: в феврале об утрате данных о 1,2 миллиона клиентов сообщил крупный банк Bank of America, который тоже потерял бобины; в апреле 180 тысяч реквизитов платежных карт потеряло американское отделение банка HSBC; в мае стало известно об утечке информации о 600 тысячах настоящих и бывших сотрудников небезызвестного медиахолдинга Time Warner, в который входят CNN, AOL, Warner Brothers и другие; и так далее.
В марте, в частности, была предана огласке информация об утечке данных о 310 тысячах американских граждан из базы данных консалтинговой компании Seisint, которая в минувшем августе была выкуплена американской юридической компанией LexisNexis, которая, в свою очередь, входит в англо-голландский издательский холдинг Reed Elsevier. Собственно, при передаче дел от старых владельцев к новым и было выявлено, что "с января 2003 года в базы данных Seisint около 60 раз проникали неизвестные лица, пользуясь идентификационными данными клиентов компании".
Всевозможные данные на простых американцев имелись в распоряжении Seisint согласно специфике ее деятельности - действуя по соответствующей лицензии, она может использовать их в работе, в том числе продавать уполномоченным на такие покупки структурам. В частности, компания сотрудничает с проектом правительства США "Matrix", который был создан в рамках усиленно проводимых властями страны с 2001 года антитеррористических мероприятий и располагает базой личных данных о миллионах граждан США.
В феврале аналогичная утечка была обнаружена также в компании ChoicePoint, которая является конкурентом Seisint. У нее были похищены личные данные около 145 тысяч жителей США, в основном из штата Калифорния. Объявлено об инциденте также было "задним числом" - компания скромно призналась, что за минувшую осень с ней успела поработать некая аккредитованная фирма, которая, согласно заключенным договорам, получала доступ к той самой информации, а теперь в полицию обращаются пострадавшие от махинаций клиенты, данные которых были как раз скопированы той фирмой, но к настоящему моменту ее следов никак не удается найти.
Сайт ChoicePoint.com
Сайт ChoicePoint.com
Именно люди, пострадавшие в результате махинаций, совершенных с использованием их идентификационных или финансовых данных, и являются, как правило, первоисточниками сообщений о подобных инцидентах. Они обращаются в полицию, полиция начинает следствие, которое немедленно приводит ее в ту или иную консалтинговую или финансовую структуру. У которой, как на беду, как раз были подозрения, что кто-то у них что-то украл, но уверены они в этом не были. А тут как раз лишний повод для уверенности. Но придется известить о случившемся публику, тут уж никуда не деться.
Занятно и то, что публика поначалу удивлялась. После случая с ChoicePoint "попавших под раздачу" жителей Калифорнии через СМИ предупредили, что их персональные данные "скомпрометированы". "Какие это персональные данные? - зазвучали после этого голоса простых жителей Калифорнии. - Я вообще не знаю никакой компании ChoicePoint и не давал ей никаких персональных данных!"
Персональные данные
Теоретически, "персональные данные" не являются страшным секретом - каждый из нас, например, некто Петров Сидор Иванович, может сообщить кому-либо серию и номер своего паспорта, и ничего особенно страшного, вроде, случиться после этого не должно. Однако существует небольшая вероятность, что в какой-то момент владельца паспорта потревожат правоохранительные органы и скажут, что месяц назад группа злоумышленников организовала некую подставную фирму, с помощью которой украла у неких структур некую крупную сумму, а зарегистрирована эта фирма была на Петрова Сидора Ивановича, паспорт серии такой-то, номер такой-то. При регистрации фирмы паспорта злоумышленники не предъявили, пообещали потом предъявить, а серия и номер с фамилией "в базе совпали", и фирму зарегистрировали.
Это пример гипотетический, он строится на определенном допущении, но именно на подобных допущениях, неизбежных для любой сложной системы, и работает весь огромный подпольный бизнес, связанный с информационными махинациями. Как пишет в недавнем обзоре методов такого бизнеса газета New York Times, на ряде интернет-сайтов идет бойкая торговля всякими пакетами номеров документов, юридических адресов и контактных координат. Используя эти данные, при желании можно, например, совершать мошеннические действия от чужого имени. Например, регистрировать фирмы, подобные той, что втерлась в доверие к ChoicePoint. А дело, собственно, Seisint началось с того, что одному из клиентов на его домашний адрес стали приходить бумаги относительно сделок, которых он никогда не совершал.
Изображение с сайта ssa.gov
Изображение с сайта ssa.gov
Отдельный разговор - банковские реквизиты. Теоретически, механизмы транзакций защищены, снять деньги с банковской карты можно, только зная ее PIN-код. Однако ряд операций, главным образом, не с простыми картами, а с кредитными, можно совершать "в кредит", когда в банк-эмитент карты отправляется запрос о наличии требуемой суммы на счете, а непосредственно платеж совершается позже. Если с помощью различных известных хакерам технологий подделать карту, "привязав" ее к чужому счету, можно попытаться совершить с ее помощью покупку и быстро скрыться, пока подлог не будет обнаружен, а "пострадавший" счет - заблокирован, что вызовет неизбежные проблемы для его владельца.
Мошеннические схемы подразумевают многочисленные погрешности и допущения, и чтобы практически применить те или иные реквизиты, с ними нужно долго возиться, иметь большой выбор, "отсеивать" подходящие и проверять их на пригодность, а также постоянно рисковать. Поэтому высокотехнологичные преступники делят между собой свои роли, благо американский рынок криминальной информации, про сообщению той же New York Times, которая ссылается на осведомленных экспертов, очень богат и обширен. Одни эту информацию крадут, продают ее, другие обрабатывают, перепродают (особо ценится, в частности, информация о счетах с прилагающимися суммами остатков), применяют на практике. Координацию своих действий мошенники осуществляют через Интернет на специальных сайтах, которые часто физически...
| Добавить комментарий |
| Всего 0 комментариев |
