Российские банки нужно штрафовать за утечки персональных данных

Если бы российские банки за утечки данных клиентов штрафовали на процент от оборота, проблема «слива» персональной информации решилась бы очень быстро, уверен основатель сервиса разведки утечек и мониторинга даркнета DLBI Ашот Оганесян. Об этом пишут сегодня «Известия».

«В настоящий момент банковские персональные данные продаются в Интернете каждый день. Бывает, что продают целые базы, а чаще выставляют объявления по продаже отдельных записей с телефонами и остатками на счетах», — объяснил спикер.

При этом банковские базы достаются мошенникам без взломов. Для этого есть инсайдеры.

«Банк слишком много тратит на защиту периметра, взломать его довольно сложно. Иногда — очень редко — информация добывается через какие-то уязвимости», — рассказывает Ашот Оганесян.

При этом через Интернет нельзя купить выгрузку баз Deutsche Bank или Bank of America. Причина проста – российские банки не штрафуют так, как западные. Если бы штрафы для отечественных банков приравнивали к определенному проценту от оборота, проблему бы быстро решили. 

Эксперт отметил, что банковские базы — самый дорогой товар. 

«У каждой записи определенная цена. От нескольких десятков до сотен рублей за одну запись — в зависимости от того, какой банк, что содержится в записи. Если запись будет содержать все паспортные данные, остатки на счетах, телефон, e-mail, она может стоить сотни рублей. Если она, конечно же, уникальна. Бывают, что записи перепродают сразу в несколько рук. Это называется «отработка», — рассказал Оганесян.

Эти базы так ценны для аферистов, потому что через них мошенники получают доступ к конфиденциальной информации и могут звонить людям.

«Если человеку до него уже десять раз позвонили другие мошенники — одиннадцатому точно не повезет. Как и десятому, и девятому… Повезет только первому, максимум — второму. Поэтому такие базы или продают в одни руки, или сразу предупреждают, что это «отработка», и тогда на нее будет серьезная скидка», — отметил Ашот Оганесян. 

Кроме того, злоумышленники далеко не всегда говорят, сколько у них записей. Бывает, что базы добываются разными путями, поэтому всегда есть индивидуальный сценарий. Стоимость таких баз будет зависеть либо от размера, либо от тематики.

«Одно дело ты получаешь клиента, который просто зарегистрировался на игровом сервисе. Сам по себе он не представляет никакого интереса. Ценно, что их 200 миллионов — это нужно для аналитики, для взлома других сервисов. Другое дело, когда ты получил одного клиента, у которого на счету 1 миллион рублей, и, предположим, таких у тебя 100. Велика вероятность, что ты сможешь применить социальную инженерию и выманить у них деньги. Тут совершенно разная ценность информации, поэтому стоимость последней базы — 200–300 рублей за запись. 200 миллионов игроков продадут за три-четыре биткоина. Может, за пять», — рассказал эксперт.