Сколько мошенники зарабатывают на утечках персональных данных

Всплеск мошенничества в результате утечек персональных данных отмечается уже много лет. Утечка персональных данных ведет к многомиллиардным потерям граждан ежегодно. Злоумышленники постоянно совершенствуют сценарии фишинговых атак и на основе разноплановой информации формируют точечные варианты воздействия.

Министерство внутренних дел, финансовый регулятор, крупнейшие банки и ряд других организаций регулярно оценивают сумму потерь, связанных с незаконным оборотом данных. Самые внушительные цифры приводит Сбербанк. Зампред этого крупнейшего финансового учреждения Станислав Кузнецов в начале ноября сообщал, что, по предварительной оценке, российская экономика может потерять на мошеннических схемах 1 трлн рублей. Сюда входят убытки от кибератак, мошеннических звонков, различных утечек данных и т.д. Ущерб российских граждан от мошеннических звонков и утечек персональных данных в 2024 году может составить 250 млрд рублей, уточнил Кузнецов.

По данным МВД, в России за 2022–2024 годы (до августа 2024 г.) произошло 1,5 млн киберпреступлений. За это время мошенники похитили у россиян более 350 млрд рублей, сообщил на Восточном экономическом форуме заместитель начальника следственного департамента МВД РФ Данил Филиппов.

Центральный банк Российской Федерации регулярно выпускает отчеты по итогам исследования мошеннических действий по отношению к людям, использующим электронные средства платежей (платежные карты и иные электронные платежные средства). В терминологии ЦБ РФ такие действия с электронными платежными средствами называются операциями без согласия клиента (ОБСК). Посмотрим на динамику количества таких операций и сумму потерь от них. В 2021 году количество ОБСК выросло на 33,8% и составило 1,035 млн. В 2022 году финансовый регулятор зарегистрировал 876 тыс. операций (снижение к предыдущему году на 15,3%). В 2023 году количество операций резко выросло — до почти 1,1666 млн (+33,1% к уровню 2022 года). Сумма потерь граждан от ОБСК устойчиво растет: 9,783 млрд рублей в 2020 году, 13,582 млрд рублей в 2021 году, 14,165 млрд рублей в 2022 году, 15,791 млрд рублей в 2023 году.

В 2024 году количество операций без согласия клиентов вначале начало снижаться: 294 тыс. операций в I квартале и 257 тыс. операций во втором квартале. Однако, в третьей четверти года мошенники повысили результативность своих атак и совершили уже порядка 348 тыс. ОБСК. Таким образом, за 9 месяцев 2024 года количество операций без согласия клиентов составило почти 900 тысяч. Общая сумма потерь за этот период составила более 13,2 млрд рублей, в том числе 4,263 млрд рублей в I квартале, 4,775 млрд рублей во втором квартале, 4,164 млрд рублей в третьем квартале.

Средства и методы: ситуативность, точность, оперативность

Основным инструментом злоумышленников остается использование методов и приемов социальной инженерии, когда жертва под психологическим давлением фактически добровольно переводит денежные средства или раскрывает сведения, которые позволяют преступникам совершить хищение. Уже много лет мошенники представляются «сотрудниками правоохранительных органов» и «менеджерами банков». Также в последнее время часто в ход идут мошеннические обращения от «операторов связи». Бывает, преступники адаптируют свои сценарии под актуальную повестку. Например, в 2022 году при «разводах» нередко использовалась тема частичной мобилизации.

Мошеннические группировки быстро берут на вооружение новейшие технические средства. Жертва фишинговой атаки вначале может слышать роботизированного помощника, который переводит человека на «первого освободившегося оператора». В арсенале злоумышленников все чаще можно встретить средства искусственного интеллекта. Так, с их помощью можно моделировать голос человека при реализации сценария типа «ваш родственник попал в больницу». Среднестатистический человек практически не может отличить имитацию от голоса близкого человека, тем более находясь в шоке от услышанного.

Злоумышленники чаще стали применять комбинированные схемы мошенничества, когда жертву «ведут» по нескольким каналам и с помощью нескольких «сотрудников полиции» и «менеджеров банка».

Вызывает серьезную тревогу и тот факт, что в последнее время стало больше сильно таргетированных атак, которые направлены на конкретные ситуации, причем происходящие в довольно сжатый промежуток времени. Пример: человек сдал машину на техническое обслуживание в сервис и отъехал по делам. Через некоторое время ему поступает звонок якобы из сервиса: «Здравствуйте! Вы сдавали нам машину. Найден ряд неисправностей, требуются дорогостоящие материалы. Необходимо перевести 20 тысяч рублей». Как произошел слив данных, можно только гадать. Но человек попал на «удочку» мошенников, ничего не подозревая: сверхточный фокус, свежие данные (и двух часов не прошло), крайне убедительный антураж и совпадение деталей. Эта схема быстро получила распространение, поэтому автосервисы были вынуждены отреагировать и разместить в зонах приемки объявления типа: «Мы принимаем оплату только через кассу. Не ведитесь на просьбы перевести деньги — это мошенники».

Экономика мошеннических данных

По данным экспертно-аналитического центр InfoWatch, только за I полугодие 2024 г. из российских госорганизаций и коммерческих компаний утекло без малого 1 млрд записей ПДн. С 2013 года скомпрометировано более 3,7 млрд записей. По данным Сбера, в открытом доступе находятся более 3,5 млрд записей, содержащих персональные данные, и эти данные затрагивают более 90% взрослого населения России. Согласно опросу ВТБ, проведенному в 2024 году, 53% россиян сталкивались с телефонным мошенничеством, а 7% стали его жертвами.

Разнообразие источников и типов утекших данных позволяет злоумышленникам иметь не просто карточки с базовой информацией обо всех или почти всех людях (ФИО, контактная информация, возраст), но составлять подробные цифровые профили граждан, собирая данные о семейном положении, уровне доходов, хобби, покупательских паттернах и т.д. Чем больше информации о человеке в мошеннических базах, тем проще злоумышленникам создать опорную точку для атаки и сформулировать возможные варианты обмана человека, если изначально выбранная схема пойдет не совсем по их сценарию.

Пока эксперты спорят о путях развития отечественной экономики «больших данных», мошенники уже создали собственную экономику на основе информации о гражданах. Уровень телефонного мошенничества в 2023–2024 годах беспрецедентный. По оценкам мобильных операторов и Сбера, каждый день совершается до 20 миллионов мошеннических звонков, которые ежемесячно приносят преступникам десятки миллиардов рублей. «Ну ‎что‏ ‎ж, ‎можно‏ ‎констатировать, ‎что ‎«экономика ‎данных» ‎в‏ ‎нашей‏ ‎стране ‎уже‏ ‎работает. Неплохой ‎оборот‏ ‎— ‎сотни ‎миллиардов ‎рублей ‎в‏ ‎год,‏ ‎побольше‏ ‎некоторых ‎отраслей,‏ ‎отличный ‎рост‏ ‎от ‎года‏ ‎к‏ ‎году», — пишет генеральный директор компании «Ашманов и партнеры» Игорь Ашманов.

Президент ГК InfoWatch и председатель правления АРПП «Отечественный софт» Наталья Касперская в интервью ТАСС в начале декабря заявила, что около 80% телефонного мошенничества идет с территории Украины. Именно там расположены сотни подпольных колл-центров. Часть денег, украденных у российских граждан, направляется на финансирование ВСУ.

В этом году правоохранительным органам и спецслужбам удалось остановить деятельность нескольких сетей подпольных колл-центров. Например, МВД и ФСБ недавно сообщили о раскрытии в Москве крупной мошеннической сети, похитившей у граждан десятки миллионов долларов. В этих колл-центрах работало порядка 500 человек. Ранее в декабре ФСБ сообщила о задержании руководителей и сотрудников международной сети колл-центров, которые под видом заключения инвестиционных контрактов занимались мошенничеством в отношении граждан иностранных государств. По оценке ведомства, потерпевшими от деятельности мошенников стали порядка 100 тыс. граждан из 50 стран, а ежедневный доход преступников достигал 1 млн долларов США.

Таким образом, незаконный оборот персональных данных — огромная угроза российскому обществу и экономике страны. Становясь жертвами мошенников, люди могут терять доверие к государственным институтам и сервисам на основе современных технологий. Поэтому ужесточение ответственности за утечки данных (введение оборотных штрафов компаниям) выглядит пусть несколько запоздалой, но необходимой мерой. Наряду с повышением цифровой  грамотности людей и ростом эффективности борьбы с преступностью,  она призвана сдержать развитие мошеннической «экономики данных».