Как устроен черный рынок данных

Как устроен черный рынок данных: кто продает, кто покупает и можно ли защитить себя

02.06.2020 

Karolina Salinger

Май обозначился рядом крупных утечек персональных данных — хакеры опубликовали на одном из даркнет-форумов данные 129 млн российских автовладельцев, в Украине обнаружили базу паспортов и водительских прав, появилась информация о продаже данных 200 тысяч пользователей криптовалютных платформ.

Часть баз продают в Telegram-каналах, однако по-настоящему масштабный черный рынок персональных данных обосновался и развивается в даркнете

ForkLog разобрался в особенностях этого даркнет-рынка и выяснил, кто и с какой целью покупает данные, а также в какой валюте предпочитает рассчитываться. 

Дисклеймер

Этот материал опубликован в ознакомительных целях и не является призывом к совершению незаконных действий.

В соответствии с уголовным законодательством преследуются: 

  • Сбор и распространение сведений, составляющих личную или семейную тайну, без согласия их владельца [Статья 137, УК РФ]. 
  • Сбор и распространение сведений, составляющих коммерческую, налоговую или банковскую тайну [Статья 183, УК РФ].
  • Неправомерный доступ к компьютерной информации [Статья 282, УК РФ].

Покупка, продажа и иное использование чужих персональных данных также может преследоваться согласно законодательству вашей страны. 

Как устроен черный рынок данных?

В общих чертах — как и любой другой. Есть продавцы и покупатели, спрос и предложение. 

Продажа персональных данных в даркнете происходит через специальные форумы или маркетплейсы. Сделка осуществляется напрямую или через гаранта — человека, проверяющего, что предоставленная продавцом информация соответствует запросу покупателя.

«На любом форуме в даркнете есть гаранты, работающие за процент. Чаще всего процент идет в фонд самого форума. Покупатель скидывает гаранту деньги, продавец — базу данных. После проверки гаранта происходит обмен», —рассказал ForkLog независимый эксперт Иван Петров (имя изменено из соображений конфиденциальности).

Существуют также сервисы автогарантов, однако, по словам Петрова, они не пользуются популярностью, так как «то, что может оценить человек, не всегда способна сделать программа».

По словам CEO Hacken Дмитрия Будорина, сейчас продажа скомпрометированных персональных данных распространилась за пределы даркнета:

«Массмаркет, назовем его B2C, отчасти мигрировал в мессенджеры. Есть еще В2В — тут сделок меньше, товар более уникальный, продажи происходят как на доверии продавцу, так и с участием гаранта».

Что продают?

В даркнете можно найти различную персональную информацию — от простого адреса электронной почты до полного пакета данных на определенного человека.

«Если говорить о российском сегменте рынка незаконной торговли персональной информацией, он состоит из двух частей – продажи баз данных и услуг по «пробиву» конкретных лиц», — заявил ForkLog основатель DeviceLock Ашот Оганесян.

Большей популярностью на даркнет-форумах пользуются именно базы данных. Цена таких баз зависит от актуальности информации в них и типа данных.

«Если это просто список мейлов, ценность у такой базы сомнительная. Если это список мейлов с паролями, то ценность у нее выше. Сейчас в связи с борьбой со взломами куча дополнительных проверок, поэтому чем разнообразнее информация, тем она ценнее», — рассказал Иван Петров.

К примеру, базу с телефонами, ФИО и городами проживания можно приобрести от $200, базу физлиц РФ — от $100. Цены зависят от количества строк в базе.

Цена за разворот российского паспорта в среднем составляет $1, загранпаспорта — $2,5. Большинство продавцов торгуют данными оптом и меняют цены в зависимости от количества строк или полноты информации.

В даркнете можно приобрести программы, взламывающие определенные системы, или же «заказать» информацию о конкретном человеке. Этот товар гораздо дороже и в большинстве случаев как продавцами, так и покупателями выступают спецслужбы.

«Услуги «пробива» позволяют получить практически любую информацию о конкретном лице, включая движение средств по счетам, детализацию звонков и даже данные о перемещениях. Они используются для более сложных мошеннических схем, а также различных проверок, проводимых службами безопасности компаний и частными детективами», — заявил Оганесян.

Специалист по информационной безопасности и CEO HackControl Никита Кныш подчеркнул, что стоимость услуг, вроде установки специального ПО для отслеживания человека на IPhone без JailBrake, обычно настолько высока, что «обычные злоумышленники себе такого позволить не могут».

По словам Ивана Петрова, на просторах даркнета реже можно встретить базы с данными биткоин-кошельков или информацией о банковских счетах, позволяющими вывести деньги.

«Если у хакера есть база с мейлами, он просто ее «сольет» кому-то. Но если база позволяет вывести какие-то средства, например, с тех же бирж, где есть какая-то уязвимость, то никто ее продавать не будет, а воспользуется сам», — считает Петров. 

В даркнете можно найти продажу верифицированных аккаунтов криптобирж. К примеру, зарегистрированный на российские документы профиль на Binance или Coinbase обойдется почти в 3000 рублей (около $43), а на LocalBitcoins — от 2000 ($28).

Кто продает?

По словам опрошенных ForkLog экспертов, есть два основных источника сбыта персональных данных в даркнет — взлом или работа инсайдеров.

«Продают как базы, так и услуги по пробиву посредники, у части которых есть интернет-магазины в даркнете, а часть присутствует на специализированных форумах и в Telegram-каналах. Значительная доля таких баз не продается, а предоставляется бесплатно или на обмен в различных закрытых сообществах», — отметили в DeviceLock. 

Чаще всего причиной утечек персональных данных становится именно перепродажа со стороны сотрудников учреждений, имеющих доступ к подобной информации, — от работников банков или операторов связи до правоохранителей.

«Современные технологии объективно позволяют оставаться незамеченным кому угодно. Сегодня необязательно быть хакером, чтобы продавать какие-то данные», — заявил Кныш. 

Продавцы действительно далеко не всегда являются взломщиками — часто крупные базы формируются из нескольких мелких. К примеру, недавно задержанный в Украине мошенник, продававший базу из 773 млн уникальных адресов электронной почты и более 21 млн паролей, не взламывал никакие ресурсы, а лишь собирал уже выложенные в сеть данные.

Непосредственно взломом занимаются хакерские группировки, продающие полученную информацию в даркнете. 

«Они либо взламывают доступные серверы баз данных через известные уязвимости, либо просто находят и копируют базы данных, открытые для всеобщего доступа в результате разгильдяйства администраторов», — заявил Оганесян из DeviceLock.

Данные конкретного человека, вплоть до отслеживания по телефону, также можно найти в даркнете. Зачастую такую информацию сливают работники спецслужб, говорят эксперты.

«Это либо взлом, либо кто-то из сотрудников выносит информацию и перепродает ее», — говорит Иван Петров.

Кто покупает?

Главными покупателями персональных данных выступают бизнес и мошенники, отмечают собеседники ForkLog.

«Для обоих мотивация — первичная разведка и обогащение дополнительной информацией. Имеющиеся данные нужны, чтобы планировать линию поведения», — говорит Дмитрий Будорин.

Компании могут покупать базы данных для спам-рассылок или для получения информации о конкурентах. Злоумышленники же используют персональные сведения для фишинга или различных форм мошенничества, например — телефонного.

«Самой известной из них является звонок от якобы службы безопасности банка с требованием назвать приходящие SMS-коды подтверждения операций в интернет-банке»,  отметил Ашот Оганесян из DeviceLock.

«Пробивом» конкретного человека чаще всего пользуются представители спецслужб. Причем в постсоветских странах подобная услуга распространена больше, чем в других странах, отмечают эксперты. 

Какая основная валюта в таких сделках?

Сделки на большинстве даркнет-маркетплейсах, продающих персональные данные, осуществляются в биткоинах, говорят специалисты. Это подтверждается и недавним исследованием Rand Corporation.

Ранее для незаконной продажи данных использовалась система Liberty Reserve, организованная гражданином Коста-Рики украинского происхождения. После ее закрытия сотрудниками ФБР и роста популярности даркнет-маркетплейса Silk Road, использовавшего биткоин, участники рынка обратили свое внимание на криптовалюты.

«В основном для оплаты сделок используют Perfect Money и биткоин. Среди продвинутых пользователей популярны Zcash и Monero из-за повышенной анонимности, но из-за нестабильности курса многие предпочитают принимать биткоин», — говорит Никита Кныш.

Ашот Оганесян из DeviceLock отмечает, что криптовалюты в большей степени используют при проведении транзакций между посредником и источником данных, а также продаже эксклюзивной информации.

«При дальнейшей перепродаже криптовалюты, конечно, принимают, но чаще используются либо электронные кошельки, либо банковские карты, зарегистрированные на номинальных владельцев. Аналогичная ситуация и в секторе пробива, где встречаются даже наличные, так как часть инсайдеров работает, например, со своими знакомыми, которые и выступают посредниками», — отметил он.

Тем не менее утверждение, что криптовалюты способствуют развитию даркнета, неверно, подчеркнул Кныш:

«Люди, не принимающие развитие технологий, склонны клеветать на то, что они не понимают. Например, я могу сказать, что изобретение кредитных карт способствовало наркоторговле, а изобретение ручки — что террористы начали писать письма с угрозами. Но это же бред».

Его слова подтверждают и результаты исследования Chainalysis — согласно данным аналитиков, только одна из ста биткоин-транзакций связана с противоправной деятельностью.

Дальше — хуже?

Черный рынок  данных действительно масштабировался, в том числе благодаря переходу части продавцов и покупателей в мессенджеры, и эта тенденция продолжится в связи с общим экономическим кризисом, считает Дмитрий Будорин: 

«Очень скоро люди, которые потеряли работу, пойдут заниматься мелким хакерством. Те форумы, которые продавали слитые базы данных, уже стали известными широкому кругу людей. Более предприимчивые стали организовывать каналы сбыта через мессенджеры, чтобы зарабатывать не на самих взломах, а на перепродаже информации».

Говорить о начавшемся «буме» утечек не совсем корректно, считает Кныш. По его мнению, в последнее время о слитых базах данных стали говорить чаще в первую очередь потому, что самой информации стало больше. 

«Защищать данные нужно не от утечки, а от несанкционированного использования», — подчеркнул Кныш.

Сегодня мы предоставляем свои данные различным сервисам и структурам, будь то оформление кредита или подписка на Netflix, потому говорить о полной защите нашей конфиденциальности довольно сложно. 

«Приватность мы уже проехали, упустили — мы все в цифровом мире. Ящик Пандоры уже открыт», — заявил в прошлом году глава платежного сервиса Qiwi Сергей Солонин.

Тем не менее некоторые шаги для того, чтобы обезопасить свои данные, предпринять можно:

  • не привязывайте аккаунты в социальных сетях и почту к основному номеру телефона, который вы используете как контактный в различных сервисах. Заведите для этих целей отдельную сим-карту, номер которой будет известен только вам. Не вставляйте эту сим-карту в ваш основной телефон. 
  • заведите разные почты — рабочую и для личных целей. Удаляйте письма, содержащие конфиденциальную информацию (пароли, данные паспорта, номера телефонов).
  • используйте двухфакторную идентификацию, но не через смс-сообщение. Пользуйтесь сервисами вроде Google Authenticator.
  • устанавливайте пароли, состоящие из большого количества символов разного типа (цифры, заглавные и маленькие буквы). Не используйте один и тот же пароль для нескольких почт.
  • периодически проверяйте свою почту на взлом. Сделать это можно с помощью сервисов вроде Have I Been Pwned или HackenAI.

Ранее ForkLog также рассказывал, как защитить свою конфиденциальную информацию, если ваш телефон хотят досмотреть правоохранители. 

О том, сколько в среднем в даркнете стоит пакет документов для создания новой личности, можно узнать из исследования SafetyDetectives.