Теневой рынок Восточной Европы, связанный с получением конфиденциальной информации, в последние годы сильно разросся и вследствие этого обзавелся развитой инфраструктурой. В частности, появились различные сервисы, которые занимаются поиском персонала в банках и телекомах. Таких сервисов, по нашим подсчетам в даркнете насчитывается около 73. Однако, работающие в них вербовщики могут одновременно заниматься также поиском сотрудников в сотовых компаниях и других учреждениях, которые имеют доступ к персональной информации и не только.
Большое количество групп, предоставляющих такие услуги, обусловлено тем объемом работы, которая на них сваливается, в сети их действительно много. Конечно, следует сделать поправку на то, что в даркнете один дроповод может создать сразу несколько сервисов и заниматься их раскруткой под разными названиями, но можно предположить, что один дроповод вытянет управление максимум тремя. Не стоит забывать, что в даркнете важным является понятие репутации, поэтому в большинстве случаев дроповоды раскручивают только одно представительство.
Это обстоятельство, описанное выше, может сократить количество сервисов по поиску инсайдеров максимум наполовину, но в реальности их число, скорее всего, равно 50, что в любом случае много.
Если заказов на получение конфиденциальной информации мало, то наём инсайдера в банке или телекоме происходит лично «пробивщиком». Однако, сейчас количество таких «просьб» в некоторых сервисах доходит до 50 в день, то есть их хватает для содержания целой индустрии. Поэтому поиском инсайдеров и занимаются специализированные структуры.
Все схемы дроповодов с использованием персональных данных сейчас успешны и эффективны, поэтому нарушители активно ищут инсайдеров в банках и телекомах, обнальные группы, в том числе и в местах лишения свободы, могут эту информацию монетизировать, пользуясь возможностями по хищению и выводу денежных средств. Организации зачастую не хотят тратиться на средства и работу по защите этих данных, а также экономят на зарплатах сотрудников и инженеров электросвязи. В результате появляется целый пласт наёмных служащих, которые мало мотивированы, да ещё и видят, что корпоративную информацию никто не защищает, и её легко и относительно безопасно можно продать на стороне.
В отличие от самих «пробивщиков», которые открыто размещают свои объявления на форумах даркнета и в Telegram, вербовщики — это более засекреченная «каста». Они рассказывают о себе лишь в специализированных чатах, либо рекламируя свои услуги сообщениями напрямую заказчику.
Цена вопроса
По нашим данным, вербовщик получает от «пробивщика» в среднем 300 долларов за каждого сотрудника. В задании указываются критерии поиска — например, позиция в организации. Дальше заказчик просто ждёт, пока вербовщик скинет ему в Telegram или Jabber контакты готового к работе сотрудника. Ожидание в среднем длится 5–7 суток.
Стоимость вербовки колеблется от 100 до 1.500 долларов и зависит от сложности задачи. Если служба безопасности банка работает эффективно, цена будет намного выше.
«Наем» сотрудника происходит обычно через социальные сети, мессенджеры, личные контакты, LinkedIn. Однако до сих пор существуют и вербовщики, которые работают вживую в полях. Эти люди подходят к сотрудникам банков, например, в курилках, и предлагают им подзаработать, в своем выборе они ориентируются на бейдж работника. Обычно это общительные и харизматичные парни 21–25 лет. В практике был случай, когда вербовщик — бывший банковский служащий — просто приходил к своему офису, останавливал действующих сотрудников и предлагал деньги за пробив.
Однако, гораздо чаще сообщения присылают просто через Telegram. Одно из них поступило и нашему специалисту. Для того, чтобы убедиться в его рабочем статусе, специалист представился сотрудником Сбербанка из Москвы с доступом к информации о паспортных данных, номеру карты и мобильному телефону клиента. Вербовщик уточнил, есть ли у будущего инсайдера доступ к информации об остатках по счетам. За каждый пробив такой информации специалисту было обещано 50 долларов, но с примечанием, что этот заработок может быть нерегулярным — от двух запросов в неделю до десяти в день. «Рынок плавающий, — написал вербовщик, — всё зависит от количества клиентов. Бывает так, что придется один счет каждый день по два раза пробивать на остаток, ждать, пока туда упадут деньги, и сообщать мне».
После этого специалист договорился подробнее узнать об условиях вечером, но так и не написал вербовщику повторно. Однако, через полторы недели вербовщик сам вышел на связь с предложением посмотреть баланс.
Ревнивые супруги и хакеры
Точное количество сервисов по вербовке назвать сложно, одни дроповоды точечно ищут людей, которые работают в определенных банках. Другие — хантят сотрудников любых финансовых учреждений. Существуют услуги предоставления части базы банка по выборке. Например, есть некий дроповод, желающий узнать ФИО VIP-клиентов, у которых на карточных балансах более 1 млн рублей. Дроповод просит через сервис пробива сделать выгрузку выборки с персональными данными. Потом по клиенту могут работать разводилы, для того чтобы вывести деньги. Второй вариант запроса — кодовое слово. То есть у дроповода уже есть данные какой-то карты и ему надо вывести деньги, но не хватает кодового слова.
Кроме дроповодов, подобными услугами пользуются представители конкурентных организаций, ревнивые супруги и хакеры. Они являются основными покупателями на этом рынке. В штате у пробив-сервиса вполне может быть от 5 до 30 инсайдеров. Притом в некоторых особо популярных банках вербуются сразу нескольких человек, чтобы распределить нагрузку. Сервисы стараются не нагружать одного сотрудника более чем двумя заказами в день, потому как мониторинг активности инсайдера может быть отслежен службой безопасности банка, в котором он официально трудоустроен.
В последние несколько лет спрос на услуги и сервисы по обеспечению защиты финансовых организаций стабильно высок.
Обычно службы безопасности банков и коммерческие SOCи проводят анализ сети, содержимого журналов, жестких дисков, запросов к базам данных, это позволяет отвечать на вопросы, откуда, как и когда были получены украденные данные, под какими учетными записями был доступ, с каких устройств. Понять, был ли это инсайдер или нет, обычно пытается сама организация на основании информации, полученной от технических экспертов. В последнее время участились обращения из финансовых организаций с просьбой провести пентесты (тестирование на проникновение).
Ранее мы направляли в топ-30 банков запрос, обладают ли они информацией по возможной вербовке их сотрудников, и были ли в прошлом году зафиксированы случаи утечек. В Сбербанке от комментариев отказались. В ВТБ сообщили лишь, что постоянно проводят работу по предотвращению случаев утечек данных.
Обычно в банке осуществляется разграничение прав доступа к информации, ведётся учет работников, имеющих доступ к защищаемой информации, используются технические средства контроля потенциальных каналов утечки, также уделяется повышенное внимание контролю над действиями работников, ознакомившихся с конфиденциальными данными, в том числе IT-специалистов.