Информационное ограбление века Высокотехнологичным злоумышленникам пригодится любая личная информация

В конце минувшей недели известная компания MasterCard, управляющая одноименной платежной системой, сообщила о событии, которое можно назвать самым крупным преступлением в сфере информационных технологий в нынешнем недолгом пока веке. Компания распространила заявление, в котором указала, что один из ее партнеров - карточный оператор CardSystems Solutions из Атланты - стал объектом хакерского взлома, в результате которого высокотехнологичные злоумышленники получили доступ к 40 миллионам единиц данных о платежных реквизитах различных держателей банковских карт.

CardSystems Solutions занимается внедрением различного рода карточных технологий для клиентов в США, через нее также проходят некоторые платежи, совершаемые участниками платежных систем, с которыми работает эта компания. Следует отметить, что в их числе не только MasterCard, но и более популярная Visa, а также другие системы, например, American Express. Однако панику подняла именно MasterCard, которая насчитала среди искомых 40 миллионов примерно 68 тысяч держателей своих карт.

В CardSystems заявлению MasterCard немало удивились, ведь впервые "проблема безопасности" в информационных системах этой фирмы была официально выявлена еще в конце мая, после чего компания обратилась в ФБР, где приказали информацию огласке не предавать. По всей видимости, в курс была поставлена и Visa, и другие компании этого профиля, но все они сохраняли молчание и до сих пор не сказали ничего внятного на эту тему, а число затронутых проблемой клиентов Visa может быть побольше, чем у MasterCard.

Благо выбор богат - 40 миллионов реквизитов. Исполнительный директор CardSystems Джон Перри позже пояснил, что это число реквизитов, которые могли быть украдены потенциально. Однозначно украденными можно назвать примерно 200 тысяч из них, пояснил он. При этом он признался, что, вообще-то, компания не должна была хранить данную информацию - каждую запись положено стирать после завершения связанных с ней операций. Однако, как сообщил Перри, "в экспериментальных целях" (надо было выяснить причину возникновения каких-то ошибок) компания не только ее хранила, но хранила "неподобающим образом" - "в файлах". Вероятно, Перри имел в виду то, что заветные цифры и буквы были не записями в некой особой базе данных, а просто хранились в виде списков в простых файлах (например, текстовых), да еще и наверняка в незашифрованном виде. То есть хакерам, получившим над нужной компьютерной системой несанкционированный контроль, оставалось только открыть файл и прочитать, что там написано, при желании скопировав данные себе. Они и скопировали.

То, что утечка является результатом действий хакеров, сомнений ни у кого не вызывает, потому что в сообщениях о происшествии фигурирует "программный модуль", который был внедрен в систему для получения доступа к содержащимся в ней данным. Проще говоря, это "троян" - "шпион", внедренный в некий компьютер и дающий возможность делать с ним что угодно руками хакера, сидящего где-то в таинственном месте и отдающего "трояну" команды. Чтобы подсадить "трояна", нужно либо каким-либо способом заставить человека, имеющего доступ к нужной машине, установить его, либо удаленно взломать операционную систему одним из многочисленных известных способов, которые не должны сработать, если администратор системы достаточно квалифицирован и знает, какие защитные меры надо принимать. Впрочем, можно и просто договриться с каким-либо сотрудником, чтобы он скопировал нужные данные и передал их злоумышленникам.

Сейчас в Израиле вовсю гремит громкий скандал по делу четырех местных фирм, которые при посредничестве детективных агентств внедрили "троянов" на компьютеры своих конкурентов и оказались таким образом осведомлены о многих внутренних аспектах их деятельности, в том числе о финансовых результатах. "Трояны" были подсунуты конкурентам вместе с презентационными компакт-дисками, которые сотрудники, как ни в чём не бывало, вставляли в компьютеры и запускали - им демонстрировались рекламные ролики, а "трояны" в это время тихо размещались на жестких дисках компьютеров-жертв. Какая методика была применена в случае с CardSystems, непонятно, но явно можно говорить о том, что файлы с критичными данными оказались у хакеров как на ладони.

Как снежный ком

Самое занятное в этой ситуации то, что откровение MasterCard стало очередным (и самым серьезным) из серии аналогичных. Целый ворох сообщений о "пропаже персональных данных" из американских фирм был привнесен в мировое информационное пространство за последние полгода, причем масштабы и обстоятельства происшествий в ряде случаев поистине впечатляющие. Пропадают не только банковские и платежные реквизиты, но и различного рода паспортные данные, номера социального страхования, данные о водительских правах и прочая подобная информация, огромные массы которой хранятся в базах данных уполномоченных на всякого рода юридическую и финансовую деятельность фирм. Информация эта применяется для множества разных задач, связанных с множеством форм документооборота и платежных транзакций.

В начале июня о пропаже персональной информации о 3,9 миллионов своих клиентов оповестила мир крупнейшая мировая банковская группа Citigroup. Причем в ее случае ситуация приняла совсем комичный оборот - бесценные данные (номера соцстрахования, история счетов, данные о займах, причем не только нынешних клиентов, но и людей, бывших клиентами в прошлом) были записаны на магнитные ленточные бобины (такие применяются для резервирования больших объемов цифровых данных, устройства для работы с ними называется "стримерами") и отправлены "на аудит" из Нью-Йорка в Техас популярной службой доставки UPS (United Parcel Service), которая эти бобины... потеряла по дороге.

Исполнительный вице-президент Citigroup Кевин Кессинджер пообещал, что в будущем подобные сведения будут передаваться "только по сетям" и только "электронным способом в зашифрованном виде". Из чего можно сделать вывод, что конфиденциальные сведения крупнейшая и авторитетнейшая американская финансовая группа передавала не просто в виде почтовой посылки, но еще и в виде тех же никак не защищенных "файлов", что в наш век изощреннейших криптографических решений выглядит совсем несуразно.

Случай с Citigroup признавался самым масштабным до случая с CardSystems. Самым масштабным из богатого набора других: в феврале об утрате данных о 1,2 миллиона клиентов сообщил крупный банк Bank of America, который тоже потерял бобины; в апреле 180 тысяч реквизитов платежных карт потеряло американское отделение банка HSBC; в мае стало известно об утечке информации о 600 тысячах настоящих и бывших сотрудников небезызвестного медиахолдинга Time Warner, в который входят CNN, AOL, Warner Brothers и другие; и так далее.

В марте, в частности, была предана огласке информация об утечке данных о 310 тысячах американских граждан из базы данных консалтинговой компании Seisint, которая в минувшем августе была выкуплена американской юридической компанией LexisNexis, которая, в свою очередь, входит в англо-голландский издательский холдинг Reed Elsevier. Собственно, при передаче дел от старых владельцев к новым и было выявлено, что "с января 2003 года в базы данных Seisint около 60 раз проникали неизвестные лица, пользуясь идентификационными данными клиентов компании".

Всевозможные данные на простых американцев имелись в распоряжении Seisint согласно специфике ее деятельности - действуя по соответствующей лицензии, она может использовать их в работе, в том числе продавать уполномоченным на такие покупки структурам. В частности, компания сотрудничает с проектом правительства США "Matrix", который был создан в рамках усиленно проводимых властями страны с 2001 года антитеррористических мероприятий и располагает базой личных данных о миллионах граждан США.

В феврале аналогичная утечка была обнаружена также в компании ChoicePoint, которая является конкурентом Seisint. У нее были похищены личные данные около 145 тысяч жителей США, в основном из штата Калифорния. Объявлено об инциденте также было "задним числом" - компания скромно призналась, что за минувшую осень с ней успела поработать некая аккредитованная фирма, которая, согласно заключенным договорам, получала доступ к той самой информации, а теперь в полицию обращаются пострадавшие от махинаций клиенты, данные которых были как раз скопированы той фирмой, но к настоящему моменту ее следов никак не удается найти.

Именно люди, пострадавшие в результате махинаций, совершенных с использованием их идентификационных или финансовых данных, и являются, как правило, первоисточниками сообщений о подобных инцидентах. Они обращаются в полицию, полиция начинает следствие, которое немедленно приводит ее в ту или иную консалтинговую или финансовую структуру. У которой, как на беду, как раз были подозрения, что кто-то у них что-то украл, но уверены они в этом не были. А тут как раз лишний повод для уверенности. Но придется известить о случившемся публику, тут уж никуда не деться.

Занятно и то, что публика поначалу удивлялась. После случая с ChoicePoint "попавших под раздачу" жителей Калифорнии через СМИ предупредили, что их персональные данные "скомпрометированы". "Какие это персональные данные? - зазвучали после этого голоса простых жителей Калифорнии. - Я вообще не знаю никакой компании ChoicePoint и не давал ей никаких персональных данных!"

Персональные данные

Теоретически, "персональные данные" не являются страшным секретом - каждый из нас, например, некто Петров Сидор Иванович, может сообщить кому-либо серию и номер своего паспорта, и ничего особенно страшного, вроде, случиться после этого не должно. Однако существует небольшая вероятность, что в какой-то момент владельца паспорта потревожат правоохранительные органы и скажут, что месяц назад группа злоумышленников организовала некую подставную фирму, с помощью которой украла у неких структур некую крупную сумму, а зарегистрирована эта фирма была на Петрова Сидора Ивановича, паспорт серии такой-то, номер такой-то. При регистрации фирмы паспорта злоумышленники не предъявили, пообещали потом предъявить, а серия и номер с фамилией "в базе совпали", и фирму зарегистрировали.

Это пример гипотетический, он строится на определенном допущении, но именно на подобных допущениях, неизбежных для любой сложной системы, и работает весь огромный подпольный бизнес, связанный с информационными махинациями. Как пишет в недавнем обзоре методов такого бизнеса газета New York Times, на ряде интернет-сайтов идет бойкая торговля всякими пакетами номеров документов, юридических адресов и контактных координат. Используя эти данные, при желании можно, например, совершать мошеннические действия от чужого имени. Например, регистрировать фирмы, подобные той, что втерлась в доверие к ChoicePoint. А дело, собственно, Seisint началось с того, что одному из клиентов на его домашний адрес стали приходить бумаги относительно сделок, которых он никогда не совершал.

Отдельный разговор - банковские реквизиты. Теоретически, механизмы транзакций защищены. Однако ряд операций можно совершать "в кредит", когда в банк-эмитент карты отправляется запрос о наличии требуемой суммы на счете, а непосредственно платеж совершается позже. Если с помощью различных известных хакерам технологий подделать карту, "привязав" ее к чужому счету, можно попытаться совершить с ее помощью покупку и быстро скрыться, пока подлог не будет обнаружен, а "пострадавший" счет - заблокирован, что вызовет неизбежные проблемы для его владельца.

Мошеннические схемы подразумевают многочисленные погрешности и допущения, и чтобы практически применить те или иные реквизиты, с ними нужно долго возиться, иметь большой выбор, "отсеивать" подходящие и проверять их на пригодность, а также постоянно рисковать. Поэтому высокотехнологичные преступники делят между собой свои роли, благо американский рынок криминальной информации, про сообщению той же New York Times, которая ссылается на осведомленных экспертов, очень богат и обширен. Одни эту информацию крадут, продают ее, другие обрабатывают, перепродают (особо ценится, в частности, информация о счетах с прилагающимися суммами остатков), применяют на практике. Координацию своих действий мошенники осуществляют через Интернет на специальных сайтах, которые часто физически располагаются на территории бывшего СССР и, как сетуют американские эксперты, в силу этого труднодоступны для полиции.

Самая легкая работа - у так называемых "фишеров". Они, как известно, создают сайты, сильно похожие на сайты платежных систем, и заманивают на них клиентов этих систем с помощью спама (дескать, мы забыли ваш PIN, напомните нам его). Обманутый клиент пытается "войти в систему", получает сообщение с благодарностями, а злоумышленники немедленно переводят все деньги с его счета куда-нибудь себе. Подделка и программирование платежного сайта - это специальный подпольный бизнес, рассылка спама - это специальный подпольный бизнес, перепрограммирование краденых банковских карточек и изготовление фальшивых - специальный подпольный бизнес, поиск "пустых" почтовых адресов, куда могут быть доставлены купленные с помощью фальшивых транзакций товары - это тоже специальный подпольный бизнес. У экспертов нет никаких сомнений в том, что данные о пресловутых картах, украденных из CardSystems Solutions, вскоре будут широко представлены на черном рынке.

Главный совет экспертов "простым клиентам" - быть бдительными. Если номер карты украли из базы данных банка и вам стали приходить извещения о чужих покупках на ваше имя, ответственность будет нести банк, но вам придется немного побегать, восстанавливая работоспособность счета после того, как факт мошенничества будет обнаружен (а это может занять произвольное количество времени). Если же вы каким-либо образом сами выдали PIN-код злоумышленнику, все расходы будете нести лично вы. В связи с этим необходимо помнить: платежные организации никогда не присылают клиентам по почте просьбы напомнить им PIN-коды.

Застой в умах

В целом понятно, что серия массовых пропаж персональных реквизитов, о которых стало известно лишь в последние полгода, на самом деле является следствием чрезмерного насыщения "черного рынка" - мошенники, видимо, потеряли чувство меры и стали воровать миллионами. Вероятно, преступники "копировали" информацию долгие годы, со времени массового внедрения электронных платежных и юридических систем, но это либо оставалось незамеченным из-за технической небрежности или плохой компетентности администраторов баз данных в компаниях, либо возникавшие по фактам электронных краж отдельные дела в достаточно громкие события до определенного времени не выливались.

Вполне очевидно, что в компаниях, ответственных за хранение конфиденциальных данных, все эти годы царил бюрократический бардак: данные о клиентах со времени внедрения компьютерных технологий их обработки накапливались в базах, базы росли, с ними обращались как придется, зачастую не замечая проникающих туда хакеров или подчас даже не думая о такой возможности. Хакеры, в соответствии с законами развития современного общества, поняли свои возможные выгоды раньше, чем полицейские и чиновники, и только сейчас выгода хакеров стала понятна им и ответственным за клиентскую информацию корпоративным сотрудникам, но дело уже приняло довольно серьезный оборот.

Теперь провинившиеся структуры в один голос обещают усилить контроль, принять жесткие меры и никогда более не отправлять информацию в незашифрованных бобинах почтой. Но одновременно с этой задачей перед ними теперь стоит задача "разгрести" последствия и покрыть убытки, которые могут оказаться весьма объемными.

Сергей Рублёв