Как отличить подлинную утечку персональных данных от сгенерированной злоумышленниками, рассказал Николай Чурсин, аналитик Группы анализа угроз Positive Technologies, в рамках Фестиваля Positive Hack Days 12, который прошёл 19-20 мая в Москве.
В 2022 году произошло более 140 утечек ПДн жителей России, В первом квартале этого года количество утечек увеличилось в 2,3 раза по сравнению с аналогичным периодом прошлого.
Утечек становится всё больше, объём похищенных данных растёт. Но как определить, была ли реальной конкретная утечка или злоумышленники фальсифицировали данные с целью заработать или нанести репутационный ущерб конкретной компании?
Как правило, сведения об утечках появляются на теневых ресурсах, пояснил Николай Чурсин. Запись содержит название компании, базу похищенных данных или её стоимость. Как правило, БД предполагает набор данных: фамилия, имя, телефон, адрес электронной почты… Всё больше баз данных граждан России выкладывается бесплатно. Потому часто возникает вопрос в их подлинности.
Где искать утечки? За последнее время крупные площадки — RaidForum и сменивший её Breach Forum — были закрыты. В настоящее время работают несколько небольших форумов и Dedicated Leak Sites (DLS сайты), которые содержат данные, собранные в результате атак шифровальщиков. Популярны и Телеграм-каналы.
Исследователи утечек применяют разные методики анализа, в т. ч. «белого» и «серого ящика», в зависимости от того, как представлена украденная база данных. В случае, если БД выложена на продажу и часть данных пользователей скрыта, применяется методика «серого ящика».
Перед аналитиком стоит задача верификации базы и поиск скрытых данных с целью установки подлинности представленной информации. Проверка проводится путём поиска совпадений данных кейса с данными из открытых источников, также проверяется наличие представленных данных в других утечках.
В примере, приведённом в ходе доклада, исследователь путём анализа электронных адресов, номеров мобильных телефонов и уникальных сочетаний ФИО убедился в том, что выставленная на продажу БД является компиляцией.
Можно ли можно ли верить сервисам и Телеграм-ботам, которые предлагают проверку данных, и верифицировать утечку? Как отметил Чурсин, по его собственному опыту, гарантии в 100% достоверности данных в таких источниках нет. Есть как компиляционные БД, которые могут попасть в сервисы, так и ошибки Телеграм-ботов, которые при парсинге дают ошибку.
Оценивая перспективы на ближайшие годы и переполнение «утечек» искусственными данными, эксперт заключил, что в таком случае сменятся методы анализа и подходы к исследованиям.