Утечку из Сбербанка в СМИ уже успели назвать крупнейшим сливом в «цифровой» истории России. Банк признал, что утечка была (правда, только малую ее часть), более того сообщил, что причина – действия инсайдера, а не атака извне. При этом в банке настаивают, что инцидент не несет угрозы клиентам. Почему это не так и как при работающей DLP подобная утечка вообще могла произойти?

В Сбербанке ситуация, скорее всего, развивалась по следующему сценарию. Данные совершенно точно были выгружены изнутри. Это, собственно, подтвердил и сам банк, уточнив, что хакерской атаки зафиксировано не было. Дословно: «Основная версия инцидента – умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети». Сделал это технически привилегированный пользователь, и выгрузка, скорее всего, была спланирована заранее. Случайно или без подготовки такой большой массив критичной информации не сольешь.

Злоумышленник понимал, что система для предотвращения утечек данных (DLP) в банке используется, нужно было только выяснить, какая и какие в ней есть проблемы. Ответ на первый вопрос можно найти в открытом доступе, так как информация о закупке и подробное ТЗ есть на тендерных площадках. В частности, из этого ТЗ известно, что система не обеспечивала защиты данных, которые передаются при удаленном доступе при использовании таких программ, как TeamViewer, если передача происходит не через буфер обмена, а через интерфейс программы. Одного лишь этого факта достаточно, чтобы утечка полностью выпала из поля действия DLP-системы, которая установлена в Сбербанке. Если же утечка произошла по другому каналу – съемный носитель, облако, передача по почте и т.п., – то должно было быть оповещение от DLP. Современные решения отслеживают передачу данных по любым каналам и оповещают ИБ-отдел в режиме реального времени.

В новой версии «СёрчИнформ КИБ» появился контроль привилегированных пользователей, которые входят в систему удаленно, подключаются к ресурсам компании через Vmware/VirtualBox. Подробнее.

Пока банк подтвердил утечку данных только 200 клиентов, создал штаб для расследования, но успокаивает, что ничего страшного клиентам не грозит. Отчасти банк прав. Без CVV-кода, а также кода подтверждения транзакции из смс украсть деньги с карты очень проблематично. Все, что могут сделать мошенники, имея на руках данные из базы (номер карты, срок действия, имя и фамилию), – это оплатить покупки в некоторых магазинах. Их еще нужно найти, но известно, что из иностранных сетей не требуют вводить CVV-код Amazon.com, Target.com, Armaniexchange.com, NBA.com, eddiebauer.com, bebe.com, Lacoste.com, benefit.com. В России без указания CVV и кода можно оплатить счета в некоторых ресурсоснабжающих организациях.

Но это не значит, что утечки, подобные той, что случились в Сбербанке, безопасны, как утверждает банк. Главная проблема, которая создается для клиентов, – это риск стать жертвой социальной инженерии. Самый распространенный вариант – «звонок из банка». Риск нарваться на мошенника был всегда. Но сейчас, с обнародованием базы, у злоумышленников в руках появилось почти столько же данных о клиентах, сколько и у самих банковских работников. Раньше рекомендации экспертов сводились к тому, что оператор банка видит на экране всю информацию о клиенте, и если звонящий не готов ответить на вопрос вроде даты следующего платежа по кредиту, это мошенник. Теперь они не работают, ведь все ответы есть и у мошенников, и они могут максимально «мимикрировать» под банковских работников.

Грубо говоря, любой звонок из Сбербанка сейчас можно воспринимать как мошеннический. Рабочей остается только одна рекомендация – сбрасывать звонок и связываться с банком самостоятельно. Остальные приемы защиты от социальной инженерии лежат в плоскости психологии противостояния манипуляциям.