Наши персональные данные давно перестали принадлежать только нам. Речь не только про телефонные номера (с ними всё давно ясно), но и про прописку, цифры из паспорта, фотографии. В процессе подготовки этого материала мы узнали кто, за сколько и зачем сливает информацию, которая, как мы раньше думали, принадлежит только нам. А главное, мы поговорили с человеком, который занимается этим бизнесом.
Кто нас сливает?
Чтобы ответить на этот вопрос, мы поговорили с Львом Богачевым, специалистом по кибербезопасности, который предоставляет компаниям услуги по расследованию кибер-преступлений и техническим аудитам. По словам специалиста, примерно половина сливов идет от рядовых сотрудников с доступом к нужным базам данных.
— Это так называемые инсайдеры. То есть люди, которые имеют доступ к какой-либо информации или базам данных. Человек, имеющий доступ к данным, всегда искушен тем, что может их продать. Либо конкурентам, либо незнакомым людям на теневых форумах в даркнете. Это в основном рядовые сотрудники с не очень большими зарплатами. Они хотят как-то заработать, и жажда наживы у них на первом месте, — считает Богачев.
Фактически любой сотрудник салона сотовой связи уже имеет доступ к важным сведениям. При оформлении сим-карты большинство из нас оставляют свои паспортные данные. Сотрудники банков знают наши адреса, а работники силовых структур зачастую могут сказать о нас больше, чем близкий друг. Сами компании заинтересованы в том, чтобы предотвращать утечки, но сделать это практически невозможно из-за человеческого фактора.
— Корпорации пытаются защитить данные от утечек. Устанавливают специальное программное обеспечение, физически удаляют возможности вставлять флешки в компьютер и блокируют возможность отправлять по сети важную информацию и запускать исполняемые файлы, но это все не работает. Человек просто фотографирует с монитора на телефоны. И с этим ничего поделать нельзя. Поэтому главная проблема — низкий уровень заработной платы рядовых сотрудников и низкая правовая ответственность корпораций перед клиентами, — говорит Лев Богачев.
По мнению криминолога Данила Сергеева, основные сливы происходят все-таки из структур МВД. У них собрано больше всего данных.
— В основном идет слив баз МВД. Например, кому и какая машина принадлежит, у банков ведь нет таких данных. Скорее всего, это также делает кто-то из сотрудников. Я видел, как устроена эта слитая база. Видно, что она официальная, принадлежит МВД. Самые популярные базы — МВД, потому что там есть всё, что интересует людей: где зарегистрирован, какое имущество есть, номера телефонов, — считает Сергеев.
Также сливы могут происходить из-за халатности системных администраторов, говорит Лев Богачев. Однако это случается гораздо реже — подавляющее большинство утечек происходит из-за намеренной передачи данных третьим лицам.
Это дорого?
Как ни странно, нет. Конечно, не существует конкретной цены за такие услуги. Все они нелегальны, и стоимость определяется продавцом. Так, самый простой «пробив» номера стоит от тысячи до десяти. За эти деньги вы узнаете Ф. И. О. человека, его день рождения, прописку.
— Большие базы редко кто покупает, на них массового спроса нет. Их, как правило, покупают мошеннические кол-центры, например. Такие базы плавают в интернете, они старые.
«А новые появляются редко, и, даже если они есть, их никто не палит»
Потому что, если новая база всплывет в интернете, начнется расследование, и виновника утечки обязательно найдут, так как опыт расследований данных инцидентов у службы безопасности и правоохранительных органов уже имеется, — объясняет Богачев.
Стоить такие базы могут от 100 рублей до сотен тысяч, и они действительно не нужны частным покупателям. Как правило, ими пользуются «спамеры» и мошенники, которые представляются сотрудниками службы безопасности. В интернете также можно найти предложения о продаже баз для коммерческих фирм, которым нужно наращивать количество клиентов.
В основном стоимость базы данных зависит от количества контактов. Если их там мало (то есть несколько тысяч), то и стоить она будет приемлемо — не больше пары десятков тысяч рублей, а иногда и меньше десяти.
Правда ли так легко купить чужие данные?
По словам экспертов, это действительно несложно. Для того чтобы «пробить человека», нужно просто знать конкретные сайты.
— Необязательно даже заходить в даркнет (закрытая сеть, доступная не всем пользователям. — Прим. ред.). Обычно все эти предложения выложены на специальных форумах, — рассказывает специалист.
Корреспондент E1.RU попытался сам найти в интернете тех, кто по номеру телефона сможет выдать личную информацию. Нужный форум получилось найти за полчаса. Он сразу встречает пользователя огромным количеством ярких баннеров с рекламой нелегальных услуг.
За несколько минут на форуме мы нашли человека, который за тысячу рублей согласился пробить нужный номер (для чистоты эксперимента мы взяли новенький номер нашего журналиста). Нелегальный продавец предложил обсудить все условия сделки в Telegram. Данные он пообещал скинуть в течение дня, после того как мы закинули ему тысячу на банковскую карту. Как только мы сообщили ему, что мы журналисты, и попросили ответить на пару вопросов на условиях анонимности, тон разговора сразу сменился.
— Глеб, вот не рекомендую вам заниматься ерундой. Вы не по адресу, — написал аноним.
Тем не менее отработать гонорар и пробить номер он согласился, пообещал сделать это в течение дня.
Через несколько часов нашему корреспонденту в Telegram стали приходить сообщения от других продавцов.
Получается, что у продавцов есть свой форум, на котором они предупреждают «коллег» о нежелательных контактах, одним из которых стал журналист E1.RU. Но, увидев это, некоторые решили написать нам в обход остальных. Дескать, никто теперь с вами сотрудничать не будет, но мы можем. За умеренную плату.
К слову, человек, который пожаловался на нас своим «коллегам», так и не скинул персональные данные по телефону нашего корреспондента. Тысяча рублей сгорела впустую.
Какие бывают базы
Мы поговорили с человеком, который в свое время купил большую базу данных МВД. Она содержит в себе данные по жителям трех регионов. Мужчина работает коллектором и на условиях анонимности рассказал о том, как это работает.
— Есть несколько вариантов покупки такой базы. Первая — на дисках. Она может быть от ГАИ, МВД, Росреестра. Продают их в интернете, потом диск приходит к тебе по почте. Кто-то берет через знающих людей. Но те, кто в теме, знают, как их купить. Продают их не сотрудники органов, а левые люди. А вот к ним, вероятно, базы попадают от сотрудников органов.
Второй вариант — обновляемая онлайн-база, и покупатель платит за доступ к ней. Ее сервис находится в Европе, поэтому вероятность блокировки такой базы минимальна. Наш собеседник купил себе именно такую.
— База обновляется. Стоит она в зависимости от набора опций. Можно купить только один регион, можно всю страну. Есть цена за разовую установку и ежемесячная плата за пользование. У меня база по трем регионам, каждый месяц я плачу 15 тысяч. Но за установку восемь лет назад я заплатил намного больше, но точную сумму уже не помню.
«И в базе есть всё: телефоны, адреса, имущество, судимости, выезды за границу»
«Мы плохие и делаем плохое дело»
Нам все-таки удалось поговорить с человеком, который занимается продажей чужих личных данных. Он также попросил за это тысячу рублей (кажется, у них единая такса на всё), после чего ответил на наши вопросы в Telegram. Приводим его рассказ в формате интервью.
— Откуда берутся данные? Их сливают работники банков, салонов связи или какие-то силовые структуры?
— Смотря какие данные. Если нужен номер телефона, то проще взять у сотрудника сотовой связи. Если нужны какие-то конкретные данные, например место работы, то силовые структуры. Что касается номеров карт и баланса, то банковские сотрудники.
— То есть у всех, кто занимается этим бизнесом, есть источники в разных сферах?
— Верно, и их несколько. К примеру в салонах сотовой связи может быть по 2–3 сотрудника на каждого оператора. Соответственно, и в МВД так же. С одним источником нет смысла начинать бизнес.
— Кто обычно обращается к вам? Частные лица, которым нужно пробить кого-то, или, например, компании, которые собирают базу клиентов?
— В основном коллекторы и детективы.
— Почему цены на рынке так разнятся? Кто-то просит 1000 рублей за то, чтобы пробить один номер, а кто-то — 8000.
— Есть селлеры, которые напрямую работают с клиентом, а есть посредники между ними. Вот и получается, что цены у всех разные. Напрямую — это сервис, у которого есть свои клиенты, сформировавшиеся за время работы, а посредники — это те, кто работает с сервисами, и у них есть источники информации, но нет клиентов. Дороже — у тех, кто через посредников.
— Бытует мнение, что такие сливы — сверхприбыльный бизнес. Это так?
— Да, большие проценты накладывают сервисы — почти до 800℅ на одну услугу.
«С одного источника информации в месяц может выходить до 50 тысяч рублей чистыми»
Зависит от услуги: если просто пробить номер, то много наварить не получится, так как конкуренция большая. Если уже нужны какие-то документы, то тут закуп может быть 1000 рублей, а продажа — до 10 000 рублей спокойно.
— А источников могут быть десятки человек?
— Даже больше.
— Есть на рынке какие-то известные гиганты, которых все знают? Или большинство — частные и анонимные?
— Да, есть. Они в разных даркнет-форумах скупают рекламу на миллионы рублей.
— В одной компании сколько работает человек в среднем? В вашей, к примеру.
— В моей не так много, есть крупные продавцы, у которых сотни людей работают. У них есть свои кадровики, менеджеры, бухгалтеры, администраторы, руководство и сами источники информации.
— Вам известен хотя бы один случай, когда кого-то из представителей этого бизнеса ловила полиция, заводились уголовные дела, кто-нибудь получал бы срок?
— Если имеете в виду сотрудников, то да, частое явление в нашем бизнесе. Их ловят очень быстро, многих просто увольняют, до уголовки редко доходит.
— А те, кто этот бизнес ведет?
— Нет, таких случаев не встречали. Нужно быть настолько глупым владельцу сервиса, чтобы его поймали. В основном наша задача — принимать деньги через разные анонимные обменники с использованием VPN, и всё. Сами же мы сидим совсем в другой стране.
— Это страны СНГ?
— В том числе.
— То есть по всему миру есть представители бизнеса?
— Да. Золотое правило даркнета: не веди бизнес там, где ты сам находишься.
— Я правильно понимаю, что найти данные можно вообще на любого жителя страны, если у него есть банковская карта, телефон или хотя бы просто паспорт? Уберечься не может никто?
— Абсолютно.
«Достаточно знать Ф. И. О. и дату рождения человека, и можно узнать всё, что угодно»
— Вас никогда не интересовала моральная сторона вопроса? Продаются данные людей, которые не давали на это согласия, их может использовать кто угодно в самых разных целях.
— Да, мы плохие и делаем плохое дело. Но нам чихать на мораль, законы и правительство. Мы живем по своим принципам. И мне не стыдно за свою деятельность, потому что это мой хлеб. И другого хлеба у меня в жизни нет.
— А как вы вообще к этому пришли? Вы когда-нибудь работали на обычной, легальной работе?
— Современное общество постоянно мне внушало, что «мужик должен быть состоятельным, умным и успешным». Но в жизни я физически не так силен, как, например, Шварценеггер. И не особо умен, как, например, Павел Дуров. Так как в жизни я умею только лихо строчить сообщения на смартфоне и отлично знаю, как находить людей для своей работы. Больше, к сожалению, я ничему не научился, пока «выбирался из финансовой жопы». Все мы когда-то работали на легальной работе. И все пришли сюда только из-за проблем с деньгами.
Что за это грозит?
По словам криминолога Данила Сергеева, в законе есть две основные статьи, по которым могут судить продавцов наших персональных данных.
— Владелец базы пойдет по 137-й и 272-й статьям уголовного кодекса — о разглашении персональных данных и неправомерном доступе к компьютерной информации. Посредник, который помогает продавать эти базы, пойдет пособником того же преступления. А тот, кто их купил, может получить административный штраф (статья 13.11 КоАП), он до тысячи рублей, — говорит Сергеев.
Но, как мы уже выяснили, до уголовных статей по таким делам в России доходит крайне редко. Те, кто зарабатывает на этом деньги, находятся в другой стране, а ловят обычно рядовых сотрудников банков, которых просто увольняют.
Недавно мы рассказывали вам о том, кто постоянно звонит жителям Екатеринбурга и бросает трубку. Почитайте также текст о том, кто и как взламывает наши персональные данные. А о том, как мошенники пользуются слитыми данными, мы рассказываем вам регулярно.