исследование черного рынка бд итог

ИССЛЕДОВАНИЕЧЁРНОГО РЫНКАБАЗ ДАННЫХ

2016Аналитический центр «МФИ Софт»

Исследование черного рынка баз данных.

Аналитический центр «МФИ Софт»

Каждый день появляются сообщения об очередной утечке данных — клиентов, сотрудников, пользователей услуг коммерческих и государственных организаций. Но публичная информация — это только капля в море.

«Черный» рынок баз данных гораздо шире, это целая индустрия, где каждая запись стоит определенных денег. Это и базы операторов связи, и клиенты магазинов, и персональные данные различных социально-демографических групп..

Легкость получения персональной информации тысяч людей ведет к росту уровня мошенничества и других преступлений. В опасности, сам того не подозревая, может оказаться каждый.

СодержаниеВведение: причины для исследования

Методология

Ключевые выводы

Возраст и актуальность продаваемых данных

Источники информации

Отраслевой анализ

Риски и последствия разглашения данных о пользователях

Выводы



Введение: причины для исследования

Исследования утечек в сфере информационной безопасности проводятся регулярно. Но обычно сбор данных осуществляется путём интервьюирования представителей бизнеса или анализа публикаций в СМИ об утечках и взломах.

Для многих государств такой подход вполне жизнеспособен, так как существуют юридические механизмы, обязывающие компании обнародовать данные по инцидентам, и открытое информационное поле, позволяющее провести достоверное кабинетное исследование.

В России причин обнародовать инциденты у бизнеса по большей части нет. Сформировать целостную картину состояния безопасности достаточно трудно в силу того, что получение любой информации упирается либо в доверие компании к аналитику, либо в желание или, скорее, его отсутствие, такие данные публиковать.

Несмотря на постепенную эволюцию наших представлений о том, что происходит с информационной безопасностью в бизнесе и какой урон ежегодно наносят инциденты компаниям, мы часто даже не догадываемся о том, что же в итоге происходит с данными, и какие угрозы несут утечки для субъектов данных.

В исследовании аналитического центра «МФИ Софт» представлен иной взгляд на утечку данных — со стороны преступника, а не бизнеса.

В основу исследования легли вопросы:

Это позволило оценить существующие риски для носителей информации — клиентов различных компаний, уязвимых слоёв населения и других лиц. Одновременно с этим проясняются очертания чёрного рынка баз данных в России, куда более обширного, чем принято считать. Представления россиян о «ворованных базах данных» в большинстве случаев заканчиваются телефонными справочниками и базами ГИБДД. На чем в действительности зарабатывают продавцы информации, выяснил аналитический центр «МФИ Софт».

Что с ними можно сделать?

Насколько легко получить нужную информацию?

Какие данные сегодня можно купить?



Для обзора черного рынка баз данных аналитический центр «МФИ Софт» исследовал предложения крупнейших пиратских интернет-форумов и теневых торговых площадок. В конечную выборку попало 134 уникальных баз данных, принадлежавших организациям из различных отраслей и регионов, которые находятся в открытом доступе.

После анализа полноты информации для каждой базы данных определён уровень риска для субъекта персональных данных, то есть потенциального пострадавшего от утечки:

Низкий — уровень риска, при котором максимум негативных последствий для человека — попасть в спам-рассылки или стать получателем нежелательной рекламы.

Средний — уровень, при котором достаточно высокая вероятность стать жертвой мелкого мошенничества, способного повлечь за собой финансовый ущерб.

Высокий — степень риска, означающая возможность стать жертвой преступления.

Параметры классификации баз данных:

� Число записей в базе

� Стоимость базы

� Стоимость одной записи

� Тип информации в базе

� Актуальность

� Степень риска

� Владелец данных

� Отрасль

� Возможный источник данных

Методология



30 000 000 Р–

10 Р–

15 000 Р– Наиболее распространены нелегальные базы данных финансовой (43%) и e-commerce (16%) отраслей.

Контактные данные (анонимные или персональные) практически любого пользователя российского сегмента интернета находятся в спам-листах;

78% баз данных оказались на рынке в результате инсайда, что указывает либо на недобросовестность оператора персональных данных, либо на недостаточные меры по обеспечению безопасности данных.

Каждая четвертая запись может использоваться в мошеннических целях. Обычно, это финансовая информация.

Каждый десятый носитель скомпрометированной информации — потенциальная жертва крупного преступления. При этом вред от компрометации баз данных может достигать десятков миллионов рублей — под угрозой находятся предприятия с массовыми продуктами и акционерные общества.

Ключевые выводы

объем черного рынка баз данных в России

максимальная стоимость информации об одном человеке

средняя стоимость базы данных

общее количество доступных записей в базах данных

1 215 000 000 шт.



201320122011 2014 2015 2016

51

20

48

39

18

Возраст и актуальность продаваемых данных

Количество баз данных, доступных на чёрном рынке, преимущественно растёт. Небольшой спад наблюдается с 2015 года, он связан с активностью самих продающих площадок — по очевидным причинам сообщества не могут существовать долго и вынуждены часто менять домены.

Актуальность самих данных чаще всего запаздывает на год — именно по этой причине базы, релевантные на момент написания этого отчёта, попадаются реже, так как еще не успели распространиться по достаточно большому количеству продавцов и реализуются единично и не так открыто. Свежие базы за 2016 год еще не успели выйти на «массовый рынок». Наибольшее количество данных актуально на 2014 год.

Год поступления данных в открытый доступ

1

8

9

3

1 51 101

1 11

13 3 3 12 2 3 5

15 3 111 5 22

111

1

4

2016

не опре-делено

2015

2014

2013

2012

2010

0 3020 504010

Финансовая отрасль

Торговля и недвижимость

Прочее

ПДН по группам интересов

Оператор связи

Онлайн-сервисы

Корпоративная информация

ГИБДД

Азартные онлайн-игры

Е-commerce



Источники информации

Базы данных достигают рынка несколькими путями.

Злонамеренный инсайд

Умышленные действия сотрудников компаний, выпускающих базы на чёрный рынок. Такие базы, зачастую, обладают наибольшей полнотой информации, и по характеру данных можно даже установить в какой службе компании работает сотрудник. Так, наличие в базе оператора связи технических данных по параметрам сессий абонентов указывает на то, что инсайдер, скорее всего, работает в IT, а детализированные данные по контрактам — указывают на отдел продаж.

Взлом

Категория баз, полученных в результате взлома IT-инфраструктуры компании. К таким базам относятся технические данные, в том числе и учётные записи от различных сервисов.

Целенаправленное распространение

Недобросовестный оператор персональных данных (ПД) — компании, целенаправленно распространяющие данные о своих клиентах на коммерческой основе. Причастность к этой категории объясняется количеством альтернативных источников в виде сайтов по продаже детализаций номеров и другой персональной информации абонентов и полнотой этих данных.

Парсинг

Базы, полученные в результате парсинга и структурирования данных, доступных в открытом виде. Такие базы данных пользуются спросом у спамеров, стоимость одной записи в них крайне невысока и может опускаться до 0,0002 руб. за одну запись.

Как видно на диаграмме, инсайдерская деятельность является острой проблемой для большинства организаций.

Взлом

1% (2)

Целенаправленное распространение

13% (18)

Инсайд

78%(105)

Интернет- парсинг

7% (9)

Причины утечекбаз данных

78% информации поступают на черный рынок от инсайдеров.



Источники информации(продолжение)

Путем фильтрации итоговой выборки до баз российских компаний выяснилось, что для России параметр хищения баз данных путем инсайдерских действий достигает 86%.

Доля баз данных, распространённых недобросовестными операторами ПД, в целом, не стала сюрпризом, основу этой категории составили азартные онлайн-игры, от которых вполне логично ожидать подобных действий.

С другой же стороны, доля баз данных, собранных в открытом доступе, высока — 7%, что говорит о недостаточной защите информации от машинного сбора. В разрезе количества учётных записей это более наглядно.

Общее количество записей, попавших на чёрный рынок в результате инсайда — 67 миллионов.

Ценность инсайдерской информации в десятки раз выше парсинга, так как содержит наиболее полные данные клиентов, партнеров, сотрудников компаний, данные о разработках и проектах, и сама цель хищения этих данных — перепродажа конкурентам и другим заинтересованным лицам.

При этом число записей, собранных по открытым источникам, составляет только половину всех данных — 33 миллиона. Несмотря на то, что ценность и опасность использования этих данных крайне низки, их объём и доступность влечёт за собой негативные последствия в виде спам-рассылок, и даже при уровне конверсии спама в 0,1% можно создать ботнет в несколько десятков тысяч машин и использовать его для киберпреступлений.

Количество записей по типу сбора данных

ВзломЦеленаправленное распространение

Интернет-парсинг Инсайд

5%25%23% 47%

Данные клиентов, партнеров, сотрудников компаний, данные о разработках и проектах, состояние банковских счетов продаются свободно...




E-commerce


ПДн по группам интересов




ГИБДД

Прочее


21 (16%)

18 (13%)

3 (2%)

3 (2%)

5 (4%)

6 (4%)

15 (11%)

3 (2%)

2 (1%)

58 (43%)

Отраслевой анализ

Количество баз данных по отраслям

Чаще всего в продаже оказываются базы, содержащие данные клиентов банков и других финансовых организаций. В рамках исследования были обнаружены базы клиентов 18 крупных российских банков — среди них есть представители ТОП-10 крупнейших российских банков, а также базы популярных микрофинансовых организаций. Это объясняется тем, что именно банковский инсайдер наиболее заинтересован в хищении базы для дальнейшей ее продажи конкурентам. Также высок интерес к таким базам у различного рода мошенников, в том случае, если база обогащена информацией по счетам. К примеру, на счету у клиента из украденной базы находится крупная денежная сумма, обладая его персональными данными мошенник, сможет вывести ее со счета, обойдя системы защиты. Еще один вариант развития событий — оформление кредитов на

паспортные данные пользователей банковских услуг и перепродажа базы коллекторам.

На втором месте по популярности в сети базы без отраслевой привязки — данные физических лиц. Продаётся информация об имуществе, финансовом положении. Эти базы могут иметь высокий риск негативных последствий при попадании в руки криминальных структур. Базы клиентов электронных торговых площадок на третьем месте, и ценны для распространителей спама.

Стоит отметить низкую популярность баз ГИБДД в продаже. Эти базы можно легко найти в свободном доступе или на специализированных сайтах, поэтому для площадок «рыночного» типа они не представляют большого интереса.

Информация о клиентах представителей ТОП-10 российских банков доступна злоумышленникам.



E-commerce





ГИБДД



43,81 (40%)

35,13 (32%)

16,27 (15%)

9,53 (9%)

2,64 (2%)

0,94 (1%)

0,18 (~0%)

0,06 (~0%)

Количество записей на рынке

Интерес представляет не только количество баз данных, но и число записей, которые та или иная отрасль «теряет» в результате недобросовестных действий с базами. Нет ничего удивительно в огромном количестве записей о клиентах интернет-магазинов — именно они, в первую очередь, становятся получателями разного рода рекламных рассылок — таких записей, с домашними адресами и даже списками покупок, в выборке оказалось 43 миллиона.

На втором месте по количеству данных — сфера азартных онлайн-игр. Эта категория пользователей более уязвима к мошенническим схемам с применением социальной инженерии. Таких данных в доступе — 35 миллионов.

На третьем месте по количеству утекших записей — финансовая отрасль. Данные банков и страховых компаний ценятся очень высоко, в силу их сложной доступности — в поле зрения исследования оказалось

16 миллионов записей. На количество данных влияет фактор достаточно высоких стандартов безопасности финансовой отрасли. Несмотря на это, базы утекают, хоть и не миллионами записей, как в интернет-магазинах, но тысячами контактов реальных вкладчиков.

Особое внимание мы обратили на сектор баз данных по группам интересов — настолько разнородные и неожиданные компоновки данных здесь встречаются. Например, злоумышленникам доступны данные о малолетних детях и их мамах, адреса одиноких пенсионеров, владельцев IPhone или сотрудников конкретных компаний.

Экстраполировав результаты выборки на население России, можно сделать вывод, что злоумышленникам доступно порядка 1,215 млрд записей — сюда входят интернет-аккаутны, данные ритейлеров, страховых компаний, банков, госучреждений и т.д.

Число учётных записей по отраслям (млн.)

Злоумышленникам доступно более 1 миллиарда персональных данных — это интернет-аккаутны, данные ритейлеров, информация о банковских счетах, застрахованном имуществе и многое другое.






ГИБДД



E-commerce

Прочее

0,718

0,289

0,102

0,063

0,048

0,047

0,033

0,005

Стоимость информации

Записи, используемые для рекламных рассылок, в России не столь ценны, как в США или Европе, средняя стоимость одного контакта — 2 копейки и достигает максимума 0,9 руб.

Наибольшей ценностью обладают данные о страховых полисах, стоимость одной записи может достигать 10 руб., при средней - 2,73 руб. Такая стоимость объясняется выгодой, которую может получить злоумышленник в результате фрода.

Данные трейдеров, полученные у брокерских компаний, тоже ценятся достаточно высоко, до 2,75 руб. за контакт.

Этот тип баз оценивается также параметром финансовой эффективности, с точки зрения инвестирования в трейдеров. Несмотря на то, что серьёзной угрозы доступность этих данных не представляет, количество информации демонстрирует масштабы нарушения ФЗ-152 «О персональных данных».

Экстраполируя стоимость баз данных, попавших в исследование, предполагаем общий объем рынка баз данных в России равным 30 миллионам рублей.

Стоимость записи по отраслям (руб.)

Наибольшей ценностью обладают данные о страховых полисах, стоимость одной записи может достигать 10 рублей.



Риски и последствия разглашения данных о пользователях

Риск для субъектов данныхПоследствия утечек данных для компаний – владельцев баз данных могут варьироваться, в зависимости от отрасли и полноты утерянной клиентской информации.

С точки зрения бизнес-рисков можно отметить такие последствия:

� отток клиентов, при передаче базы конкурентам � ущерб репутации — при обнародовании факта утечки.

В большинстве случаев утечки данных происходит нарушение ФЗ-152 «О персональных данных», а, следовательно, можно ожидать санкций со стороны регуляторов. В правовой сфере также есть риск обращения клиентов в суд, с целью компенсации вреда, причинённого в результате утечки. В конечном счёте, утечки информации влекут за собой в том или ином виде финансовый ущерб.

Последствия для тех, чьи личные данные обнародованыВероятность наступления негативных последствий напрямую зависит от отраслевого характера базы данных. Так, утечка «в третьи руки» данных электронных торговых площадок не грозит ничем серьёзным, кроме получения спама, а вот база с информацией о благосостоянии, с указанием такой информации, как адрес проживания, данные банковских счетов и т.д. могут «помочь» стать жертвой преступления.

Почти каждая десятая запись (8% обнаруженных данных) может с высокой вероятностью повлечь за собой тяжелые негативные последствия — например, использоваться для подделки кредитных договоров, махинаций с недвижимостью, банковским мошенничеством или более тяжелым последствиям с применением социальной инженерии. В продаваемой базе можно найти полные контактные данные лица, с его паспортными данными, текущим местом проживания, выпиской по банковским счетам и перечислением имущества, информацией о налогах и штрафах! Именно к таким базам данных проявляют интерес преступники, с целью грабежа, шантажа и совершения другой противоправной деятельности.

Высокий

8%

Средний

22%

Низкий

70%

Риск для субъектов данных



Сценарии использования информации Сценарий использования данных зависит от отрасли. Примеры последствий, которые могут наступить в той или иной отрасли:

Риски и последствия разглашения данных о пользователях(продолжение)

Отрасль Типы данных Последствия

Электронная торговляКонтактные данные, информация о покупках

� Снижение доверия покупателей

ФинансоваяКонтактные данные, личные документы, информация по счетам

� Отток клиенов � Хищение средств � Подделка кредитных документов

Азартные игрыКонтактные данные, редко – информация о выигрышах

� Получение нежелательной рекламы � Мошеннические схемы для вывода денежных средств

БрокерскиеКонтактные данные, описание трейдерской деятельности

� Получение нежелательной рекламы � Переход к другому брокеру � Хищение средств

Оператор связиКонтактные данные, данные об услугах, балансе

� Переход к другому оператору � Мошеннические схемы с балансом � Социальная инженерия

Данные автовладельцевКонтактные данные, данные по имуществу, данные по страховке

� Получение нежелательной рекламы � Угон автомобиля � Мошенничество со страховкой

«Личные» базы данныхКонтактные данные, информация об имуществе, социальном статусе, интересах

� Получение нежелательной рекламы � Преступления, связанные с хищением финансовых средств и имущества

� Мошеннические схемы

Выводы

Анализ полноты баз данных, их отраслевой принадлежности, и оценка потенциальной угрозы для субъектов данных позволили сделать выводы в разрезе нескольких направлений:

� контактные данные (анонимные или персональные) практически любого пользователя российского сегмента интернета находятся в спам-листах;

� каждая 10 запись в доступных базах данных несёт серьёзный риск для субъекта данных;

� половина доступных данных скомпрометирована инсайдерами, и источником утечки в компании чаще всего является сотрудник технической или коммерческой службы.

Такой уровень доступности персональных данных в России стимулирует объёмы спама, который находится на уровне 50% всего мирового трафика. Даже при минимальной конверсии рассылки вредоносных вирусов, приобретение базы окупается в результате как прямых атак (фишинга, рассылки шифровальщиков и т.д.), так и в результате создания ботнетов.

Стоимость одной клиентской записи крайне мала, что влечёт за собой активную ротацию данных на рынке — базы могут объединяться, в итоге, попадая в руки большому кругу злоумышленников.

Стоимость и количество баз дынных, включенных в исследование, позволяют предположить, что чёрный рынок баз данных в России составляет несколько десятков миллионов рублей в год. Регулярность обновления баз одних и тех же компаний указывает на стабильность рынка.

Основная причина утечки — низкий уровень информационной безопасности бизнеса в стране.

Чтобы обеспечить безопасность баз данных должным образом, владельцы информации должны выделять дополнительные ресурсы, не только финансового, но и организационного характера:

� Штатная единица. В компании должен быть сотрудник, от-ветственный за информационную безопасность, с необхо-димой квалификацией и должностными полномочиями.

� Модели угроз, описывающие все возможные пути компрометации ценной информации.

� Политика безопасности. Практически применимые и обновляемые правила работы с информационной собственностью компании для предотвращения всех видов угроз.

� Специальные технологические средства для защиты баз данных, выявления аномалий, контроля политик безопасности - доступа к информации, превышения полномочий, выявления попыток взлома из внешних источников.

В силу неочевидности финансового и репутационного урона, который может быть нанесен при разглашении украденных баз, в основном лишь представители крупного бизнеса выделяют ресурсы на защиту баз данных. Небольшие компании часто не знают о случившейся утечке до наступления последствий.



Чтобы получить персональные данные любого интересующего человека, по статистике потребуется потратить от 1500 до 30000 рублей на несколько баз данных из различных секторов. Потратив несколько часов на изучение сайтов по продаже баз данных, можно найти любую нужную информацию — включая состояние банковских счетов, имя и возраст ребенка, место работы и должность... Конечно, поступление баз на открытый рынок обычно задерживается на год-два, но как часто вы меняете банковские счета?

Аналитический центр«МФИ Софт»

Декабрь, 2016

исследование черного рынка бд итог

Data & Analytics