Русских туристов выставили на продажу

Неизвестная группа хакеров взломала базу данных ситуационно-кризисного центра МИД России и издевательски вывесила в официальном аккаунте этого департамента в Twitter объявление о продаже данных российских туристов за биткойны. Как такое оказалось возможным и о чём это говорит?

Автор:
Егор Кучер

Согласитесь, взлом хакерами базы данных одного из департаментов МИД России – случай неслыханный. Справедливо считать, что МИД – это что-то достаточно хорошо защищённое априори. Ведь российские дипломатические секреты и чувствительные данные о внешнеполитической деятельности страны вообще – это вам не просто так. Это вопрос национальной безопасности, престижа, в конце концов, успешности страны на международной арене.

Оказалось, всё несколько проще. Хорошая новость состоит в том, что хакерский взлом не коснулся никакой дипломатической информации. Как заявляют злоумышленники, он коснулся тех туристов, которые остались за границей после её закрытия на карантин и которым выделялись средства финансовой помощи. А вот плохая новость – это про нас с вами. Ведь если база подлинная, то крайними в этой истории снова окажутся российские граждане, данные которых выставлены на продажу.

Вы, конечно, обратили внимание и на откровенно издевательский характер этого взлома: объявление о продаже базы данных было выставлено прямо на официальной странице ситуационно-кризисного центра МИД в Twitter. Безусловно, угрозу быстро купировали, но факт состоит также в том, что база данных не была вырвана из цепких лап киберпреступников, да и сами они не найдены.

МИД сошёл с ума

Это была первая мысль всех тех, кто увидел на странице ДСКЦ в Twitter сообщение о продаже базы данных. Злоумышленники указали и контакт в jabber для связи с продавцами. В данный момент доступ к аккаунту уже восстановлен и сообщение удалено. Но я его процитирую:

Продаётся база "Туристы база ЕПГУ актуальность июнь 2020 выплаты заграница". Подлинность базы подтверждается данным твитом, так же как и доступы к определённым аккаунтам. Цена 66 BTC.

66 биткойнов – это почти 43 млн рублей по нынешнему курсу. Также стоит обратить внимание на аббревиатуру ЕПГУ, которая расшифровывается не иначе как Единый портал государственных услуг. Тот самый, на котором уже аккумулированы данные миллионов граждан России. Зачем хакерам было ещё и издеваться над МИД, публикуя объявление о продаже на официальной странице? Ведь чаще всего краденые базы данных сразу выставляются на продажу в даркнете, где объявления видят те, кому нужно, а не все подряд. Ответ прост, и дело в тонком расчёте.

Во-первых, злоумышленники якобы подтвердили подлинность базы, доказав, что могут взломать и страницу в Twitter. Во-вторых, даже после удаления пресловутого поста о продаже адрес продавца в теневом мессенджере jabber продолжил гулять по просторам Рунета в виде скриншотов и его везде выставляют на обозрение.

Но предлагаю вернуться к вопросу о самом объявлении и способе его размещения чуть позже – это немаловажный момент, который даёт ответы на главные вопросы. Например, как хакерам удалось украсть базу и была ли кража вообще?

С чего всё началось

По поводу этого взлома высказались уже многие авторитетные специалисты. Главный тезис состоит в том, что хакеры ломали не сами Госуслуги, а перехватили информацию от консульских учреждений России за рубежом. Напомню, что в апреле, когда Россия уже закрыла авиасообщение с другими странами из-за коронавируса, тысячи наших соотечественников остались за рубежом без возможности вернуться и нередко ещё и без средств к существованию.

В апреле же кого смогли – эвакуировали, причём иногда даже бортами ВКС. Остальных застрявших за границей призвали обратиться за помощью в консульские учреждения, а также подать заявление на Госуслугах на оказание финансовой помощи.

Помощь оказывается за период с даты предполагаемого отъезда (указана в проездном документе) и до возвращения в Российскую Федерацию. Сумма выплаты: 2400 рублей в сутки гражданам от 14 лет и 1600 рублей в сутки на детей до 14 лет. Средства перечисляются на счёт заявителя в банке, действующем на территории Российской Федерации,

– сообщалось на странице услуги.

То есть граждане контактировали с консульствами, те их регистрировали, записывали данные о поездке, констатировали факт отсутствия средств к существованию, а затем передавали эти данные в МИД, где их уже сверяли с заявлениями на Госуслугах. Система выглядит достаточно надёжной.

С третьей попытки

Объявление в Twitter о продаже базы данных российских туристов за рубежом от 2 июля уже не первое. Первое было размещено как раз на одном из форумов даркнета 30 апреля 2020 года. Продавец сообщал, что в базе, которая представляет собой файл формата Excel, 79 тыс. 653 строки и 58 столбцов. В них содержится сразу целый ворох чувствительных данных туристов: ФИО, дата рождения, полные паспортные данные, телефон, адрес электронной почты, дата выезда/въезда из России, дата подачи заявления на ЕПГУ, номер банковской карты, имя на карте, срок действия, название банка, номер расчётного счёта и ряд других данных. За базу продавец хотел 240 тыс. долларов (17,1 млн рублей).

Но то ли на эту базу никто не клюнул, то ли её не удалось продать оперативно, но 12 июня на том же форуме уже от другого пользователя появилось ещё одно объявление о продаже той же базы данных российских граждан, находящихся за границей в ожидании эвакуации на родину. На этот раз в ней насчитывалось уже около 115 тыс. строк, а цена выросла до тех самых 66 биткойнов.

2 июля мы наблюдали уже третий "заход", когда объявление внаглую было размещено в Twitter для всеобщего обозрения. СМИ сразу забили тревогу, вскоре отреагировал и МИД, восстановивший доступ к аккаунту в Twitter. Представитель МИД Мария Захарова вечером 2 июля подтвердила взлом. Однако официально никакие органы не комментировали подлинность базы данных.

Методика взлома

Теперь присмотримся ближе. Чаще всего взломы – это вовсе не результат работы странного человека в капюшоне, склонившегося над компьютером, по монитору которого бегут зелёные цифры. Чаще всего это человеческий фактор, когда доступ в систему или на адреса электронной почты уводят при помощи фишинга. То есть сотрудник, например, может сам передать пару логин/пароль, если введёт их в каком-либо рекламном объявлении в одном из писем в своей почте. Также распространены фейковые страницы популярных почтовых сервисов, где всё выглядит так, будто вы зашли на страницу Mail.ru или Gmail. Ничего не подозревающий сотрудник вводит там данные, и они попадают напрямую к злоумышленникам. Они спокойно заходят в ящик и просто копируют информацию, стараясь ничем не выдать своего присутствия.

Но как такое возможно, скажете вы, если МИД России имеет собственный почтовый сервер на домене mid.ru? Имеет. Но им почему-то не пользуются консульские учреждения, которые указывают адреса на популярных коммерческих сервисах – как раз на Gmail или на Mail.ru. Причём адреса на этих доменах указаны на разных страницах МИД. Не верите?

Вот так это выглядит в примере с консульством России в США на странице подачи заявления на гражданство. Используется почта от Google, а не на домене mid.ru. Вот пример страницы посольства России в США. У самого посольства адрес на домене российского МИД (rusembusa@mid.ru), а вот у консульского одела как раз на Gmail (russconswdc@gmail.com).

Примерно то же самое можно найти и на страницах других посольств России на сайте МИД. Безопасен ли такой подход? Конечно же, нет. Я уверен, что при взломах базы застрявших туристов если не целиком, то во многом мог использоваться именно такой метод. Ведь инструкций по взлому (в том числе фишинговому) почты на Gmail в интернете пруд пруди.

Что это за база?

Однако реальна ли база, которую продают? В этом есть обоснованные сомнения. Во-первых, было уже как минимум три попытки её продать, хотя обычно такие "лоты" покупаются достаточно быстро. Во-вторых, третья попытка выглядит уже как крик отчаяния "ну купите!", так как объявление выставлено на странице ДСКЦ МИД, то есть для всех и каждого. Злоумышленники также выбрали подходящий момент, так как апрель, май и июнь – это как раз те месяцы, когда информация о застрявших туристах стекалась в МИД, и он начал выплачивать им деньги. Вспомним, что база данных якобы содержит и номера карт, и платёжные реквизиты.

Неизвестная группа хакеров взломала базу данных ситуационно-кризисного центра МИД России. Фото: Сергей Киселев/АГН "Москва"

Но мы пока не слышали жалоб, что эти деньги кто-то украл со счетов застрявших соотечественников, верно? А значит, базу никто (или почти никто) не покупает. Оба автора объявлений о продаже почти ничем не смогли доказать достоверность базы, а журналисты РБК, например, попытались связаться с туристами по 34 номерам телефонов из списка, но так и не дозвонились.

Выводов я делаю сразу несколько. Первый – российским министерствам необходимо лучше защищать чувствительные данные граждан, особенно за рубежом. Только свой сервер, только российский домен. Ведь, ещё раз, министерства – это те интересанты, которым граждане предоставляют самую чувствительную информацию, как и Госуслугам. Сомнения в безопасности этой информации вызывают резонные вопросы о том, имеют ли вообще право власти при таком подходе собирать с нас данные, например, для единого цифрового регистра граждан? Чтобы потом они оказались в руках у хакеров и были проданы?

Второй вывод – база данных, вероятно, поддельная. Злоумышленники могли её сфабриковать, чтобы потом устроить широкую рекламную кампанию. Даже до Twitter ДСКЦ МИД дотянулись, и это в тот момент, когда в получении такой базы могут быть заинтересованы многие. Ведь она свежая, актуальная, её формируют "по живому". Для пущей острастки хакеры даже написали гордое "ЕПГУ", хотя к самим Госуслугам взлом мог не иметь вообще никакого отношения. Но что-то у них не срослось.

Наконец, скажу, что у нас уже были масштабные утечки из Сбербанка. Виноват в них оказался некий безымянный сотрудник, которого якобы даже нашли. И если Сбербанк только прикидывается государственным, то в случае с департаментом МИД России речь идёт о самом что ни на есть государственном подходе. И если уж власти готовы защищать интересы граждан за границей, то это же должно касаться и защиты их персональных данных.

Источник: bazaistoria.ru

уникальные шаблоны и модули для dle