Базу данных пользователей Robinhood «взломали» с помощью социального инжиниринга
Большая утечка данных инвесторов Robinhood снова демонстрирует, что самое уязвимое звено кибербезопасности — человек.
Что произошло
Онлайн-брокер Robinhood сообщил о крупной утечке данных пользователей, затронувшей примерно четверть клиентов компании. Злоумышленники получили 5 млн адресов электронной почты, полные имена около 2 млн других пользователей, расширенные данные 310 пользователей и еще более полные — 10 человек. Информация о номерах соцстрахования, банковских счетах и картах раскрыта не была, клиенты не понесли финансовых потерь, утверждает Robinhood.
Утечка произошла поздним вечером 3 ноября, когда в службу поддержки позвонил мошенник, представился уполномоченным работником, «подверг работника службы социальному инжинирингу и получил доступ к части систем поддержки клиентов». Потом злоумышленник потребовал выкуп, о чем Robinhood немедленно известил правоохранителей. Для расследования всех обстоятельств компания наняла специалистов по кибербезопасности из компании Mandiant, работающей в том числе с администрацией США. Произведен ли выкуп, компания не комментирует.
Mandiant сообщила WSJ, что наблюдала другие атаки злоумышленника, отметившегося в Robinhood, и ожидает, что он продолжит попытки вымогательства у других компаний «в следующие несколько месяцев».
Котировки Robinhood после закрытия торгов в понедельник снизились на 3,5%.
Почему это важно
Robinhood можно считать идеальной целью для хакеров — это онлайн-бизнес с 22,4 млн активных пользователей, заведомо распоряжающихся немалыми деньгами (у брокера порядка $95 млрд в активах).
Одна из причин особой уязвимости Robinhood — болезни роста. С одной стороны, «мемная» компания открыла миллионам новых пользователей фондовый рынок, с другой — она сделала своим лозунгом «безопасность прежде всего». После того как в 2020 году злоумышленники обчистили 2000 аккаунтов (а пользователи не могли дозвониться в техподдержку), Robinhood в разы увеличил персонал и в октябре этого года запустил круглосуточную поддержку по телефону.
Однако голосовой фишинг, или вишинг, становится отдельной большой угрозой для любого бизнеса и физлиц. По данным ФБР, которые приводит The Wall Street Journal, в 2020 году зафиксирована 241 тысяча успешных фишинговых, вишинговых и связанных атак — вдвое больше, чем за 2019 год. Суммарный прямой ущерб от них достиг $54 млн.
О том, что именно человек — самое слабое звено кибербезопасности, известно давно. Новое исследование Visa, которое сегодня цитирует РБК, лишний раз демонстрирует насколько. Точно знают, какие данные банковской карты и кому нельзя называть, только 0,2%, или один из 500 опрошенных. Раскрыть по телефону CVC-код с обратной стороны карты могут 9%, примерно столько же — подтверждающий код из sms.
Не исключено, что если бы похожей атаке подвергся не Robinhood, а российская компания, мы бы о ней не узнали. Как пишет «Коммерсант», в этом году российские компании (особенно мелкие) стали чаще платить хакерам, если размер потенциального ущерба меньше выкупа. Похоже, «камерность» утечек становится национальной особенностью: ни одна из групп, работающих в России, не использует публичные сайты для размещения данных жертв, отказавшихся платить выкуп, и не выставляет на аукцион украденные данные. Как правило, злоумышленники представляют доказательства выгрузок на переговорах с жертвой, сказал изданию руководитель лаборатории компьютерной криминалистики Group-IB Олег Скулкин.
Узнайте больше
The Bell подробно писал о хайповой модели бизнеса Robinhood, его провальном «народном» IPO и о том, каким образом котировки смогли выправиться.