В ходе X Международного форума AntiFraud Russia, посвященного борьбе с компьютерным мошенничеством в банковской и телекоммуникационной отрасли, а также в сфере электронной коммерции, состоялся семинар «Инсайдеры в банках – мифы и реальность. Исследование даркнета». В роли ведущего выступил независимый исследователь даркнета Антон Ставер, который представил вниманию аудитории презентацию, посвященную проблеме инсайдеров в банковской сфере.
За последние полгода широкой общественности стало известно о масштабных утечках данных из крупнейших банков страны – Сбербанка, ВТБ, Альфа-Банка. Конечно, все эти утечки неактуальны, потому что произошли они не сейчас, а ранее – в 2014-2016 годах. Тогда, по словам Антона Ставера, наблюдался пик «наглости» инсайдеров, которые «сливали» огромные базы клиентских данных. Эти «сливы» объединяет одно – они стали возможны только из-за действий инсайдеров, техническая составляющая здесь не сыграла никакой роли, исключительно человеческий фактор.
Кто вербует сотрудников?
Сотрудников банков вербуют три сферы. Первая – это «обнальщики», работающие по своим специфичным схемам.
Вторая сфера – это «пробивщики», на которых Антон особо акцентировал внимание в ходе презентации.
Третья сфера – это «вербовщики», которая является главным индикатором того, куда идет рынок. По словам спикера, если в стране появляется сфера, где люди зарабатывают деньги вербовкой сотрудников для инсайда, значит состояние дел крайне плохо.
Возвращаясь к «пробивщикам», Антон продемонстрировал аудитории, как выглядит скрин теневого форума, где каждый запрос – это показатель спроса, которые эксперт анализирует, чтобы понимать, насколько востребован «пробив» в зависимости от того или иного сезона.
«Кроме этих запросов есть огромное количество предложений на «пробив», которые поступают в сервис напрямую», – подчеркнул Антон. Он оценил размеры рынка «пробива» и пришел к следующим выводам.
Общее количество пробив-сервисов 100+ (т.е. 100 и еще некоторое количество сервисов, которые появляются после обновления страницы), что говорит о популярности данный сферы. Среди них сервисы с прямым выходом на сотрудников – 30. Арбитражные сервисы – 45. Речь идет о сделках, когда так называемые «арбитражники» при поступлении к ним заказа заходят на сервисы, с которыми у них партнерские отношения, и покупают сотрудников для своих заказчиков.
Из 100 сервисов 25 (четверть) – это кидалы.
По словам эксперта, каноническая схема работы пробив-сервиса выглядит следующим образом. Сервис напрямую вербует сотрудника, при этом дает рекламу и общается с заказчиком. При поступлении оплаты от заказчика, сервис берет себе все деньги и отсчитывает сотруднику заранее фиксированную сумму. Сотрудники в целом за месяц получают 30-40 тысяч за счет «сливов». Бывали случаи, когда сотрудникам платили и по 200 тысяч за разовый «слив».
Антон привел некоторые действующие расценки этого рынка:
Миф №1
Первый миф, который укоренился в общественном сознании – «данные сливают только нелояльные и низкоранговые сотрудники».
Антон работает с инсайдерами с 2014 года по всему миру. Ему вместе с коллегами удалось выловить несколько сотен инсайдеров. Проанализировав должности пойманных инсайдеров, он привел следующую статистику:
Как видим, большинство инсайдеров – это менеджеры по продажам. Менеджер по продажам зачастую использует информацию госорганов. Например, это очень хорошо знают те, кто открывал ИП: стоит только зарегистрироваться в качестве индивидуального предпринимателя, как сразу же поступают звонки от разных банков с предложением открыть расчетный счет.
Сотрудник службы поддержки, как правило, – это человек, который по определенным критериям подбирает базу для атакующего.
Директора филиалов или начальники отделов – это достаточно «редкие гости» в этом списке, встречаются в основном в других странах (особенно в Германии, Австрии). Если говорить о России, то в роли инсайдеров у нас выступают чаще начальники отделов продаж или директора региональных филиалов, работающие на долгосрочной основе. Если в среднем цикл деятельности одного инсайдера – это 2-3 месяца, то данная категория может работать и год.
Два десятка пойманных контрагентов – это исключительно зарубежные примеры. Речь идет о внедрении в банк сторонних интеграторов, других специалистов.
К категории «прочие» эксперт отнес специалистов по безопасности и обслуживающий персонал (в том числе уборщиц, которые также есть в этом списке).
Антон рассказал, о типах инсайдеров по лояльности. Во-первых, это нелояльные сотрудники, которые обижены, обозлены, по каким-то причинам не сумели влиться в коллектив и т. д. Особенно много таких инсайдеров появляется, когда идет волна сокращений на рынке.
Во-вторых, это лояльные сотрудники, которые сливают данные не по своей воле либо их обманывают, говоря зыком профессионалов – разводят. Антон рассказал о мошеннике, который работал по следующей схеме. Он нашел девушку, которая звонила в банк и отыскивала там человека, имеющего доступ к данным. Она описывала душещипательную историю о том, что у нее на руках трое детей, а муж-подлец скрывается от семьи. И просила при этом сделать выписку по его счету. Удивительно это или нет, но схема работала.
Что касается сотрудников, сливающих данные не по своей воле, то среди них самой опасной группой является, так называемые слейв – люди, которые попались на удочку шантажа. Особенно данный вид инсайдеров распространен в Арабских странах – там промышляет порядка 20 группировок, занимающихся поиском информации для последующего шантажа (для сравнения – в России присутствует 2-3 группировки).
Наконец, есть такая категория как «подсадка»: сотрудник работает на конкурентов и слив данных – его цель. Это тип, который сформировался на фоне ужесточения контроля за данными. Это реальное оружие в конкурентной борьбе. В России «подсадка» пока не развита, хотя уже появляются кейсы, имеющие признаки данного вида инсайда.
Миф № 2
«У нас в банке нет сотрудников сливающих данных» – это второй миф, не имеющий ничего общего с реальностью.
Антон взял ТОП-100 банков с сайта Banki.ru (понятно, что в этом списке самые крупные банки с максимальным числом клиентов) и параллельно с этим проанализировал объявления по «пробиву». Оказалось, что 52 банка из этого списка можно пробить, а это значит в них есть инсайдер.
Вот так выглядит список наиболее часто встречающихся у пробивщиков банков:
По словам эксперта, даже если нет сервисов, которые пробивают банк, есть сервисы, занимающиеся вербовкой.
Всего на рынке РФ работает 73 сервиса по вербовке персонала. Средняя стоимость найма сотрудника через сервис составляет 15 тысяч рублей, при этом минимум – 7 тысяч, а максимум – 100 тысяч рулей. Есть банки, в которых стоимость найма перешагивает отметку в 100 тысяч рублей по той причине, что сотрудники просто отказываются это делать. Одно время такая ситуация была с Газпромбанком, завербовать сотрудника там было крайне сложно.При том что в других банках можно найти сотрудника в тот же день, потому что есть «подкормленные люди», отмечает Антон. Кстати, средний срок найма – одна неделя, при этом минимум – три дня, максимум – один месяц.
В качестве примера эксперт привел такое объявление: «Помогу в вербовке сотрудников в любом банке РФ. Быстро! Качественно! Не дорого! Уже сейчас имеются подкормленные люди в зеленом, красном и большом синем!».
Вывод, который из всего сказанного можно сделать заключается в том, что даже если в банке сейчас нет инсайдеров, это не значит, что они не появятся, потому что вербовщики работают по четким схемам уговоров.
Миф №3
«Слив данных через сотрудников не искоренить» – это третий миф. В сознании прочно укоренилось мнение, что если выгнать одного инсайдера, появится другой и т. д. Это не так, уверен Антон Ставер, если изучить свою организацию и системно подходить к вопросу. Нужен человек, который будет заниматься кадровой безопасностью. Специалист по кадровой безопасности должен взаимодействовать с СЭБ, ИБ, НR, контрагентами, предоставляющими данные. Наряду с этим он должен проводить кадровую диагностику, подбирать контрагентов для мониторинга даркнета либо самостоятельно организовывать мероприятия по поиску сливщиков данных в даркнете. Планировать и организовывать мероприятия по поимке и обезвреживанию сливщиков данных, готовить материалы для контрольной закупки и проводить ее, согласовывать мероприятия между отделами, при этом важно, чтобы они проводились без сильной огласки. Также должен быть усилен контроль за наймом и за системами оценки благонадежности соискателей и сотрудников.
Для того чтобы найти сливщика, в банке должна быть DLP или иная система мониторинга даркнета. Эксперт также рекомендует иметь в штате или на аутсорсинге полиграфолога.
Антон Ставер считает, что внедрение специалистов по кадровой безопасности – это первый важный шаг по борьбе с инсайдерами. Иначе организацию ждет хаос.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных