Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

Клерки подвели клиентов: как воруют банковские данные

Мошенники разработали новую схему кражи данных клиентов банков

Новый способ хищения персональных данных клиентов из банков раскрыли эксперты по кибербезопасности. Мошенники присылают на рабочую почту ссылку, якобы предлагая сотруднику таким образом протестировать уровень профессиональных навыков. При регистрации на сайте необходимо ввести адрес рабочей почты и пароль от нее. Поскольку банковские клерки чаще всего не спорят с кадровиками, чтобы не лишиться премий, многие попадаются на уловку мошенников.

В России выявили новый способ воровства денег со счетов клиентов кредитных организаций. О нем сообщили «Известия» со ссылкой на «Лабораторию Касперского».

Схема проста: обычно сотруднику банка на корпоративную почту приходит формальное письмо якобы от HR-службы банка, в котором сказано, что необходимо пройти аттестацию. В нем приводится ссылка на внешний сайт, где якобы размещен тест. При регистрации предлагается ввести для идентификации логин и пароль от рабочей почты.

Таким образом злоумышленник получает доступ к переписке сотрудника банка, которая может содержать, в том числе, файлы с персональными данными клиентов.

Мошенники особенно нацелены на получение информации от сотрудников, которые работают в департаментах, непосредственно связанных с обслуживанием клиентов, – выдачей кредитов, обслуживанием банковских карт, предоставлением дистанционного доступа, или, например, в отделе претензий. У них больше всего скапливается персональных данных клиентов, и они могут пересылать базы данных с ними.

В крупнейших банках «Известиям» рассказали, что регулярно проводят обучение и проверки сотрудников. Так что потенциальных жертв у мошенников может быть много.

Дело в том, что у сотрудника банка, который попадается на уловки мошенников, может сложиться ощущение, что речь идет об обязательной процедуре, не пройдя которую он может лишиться части премиальных выплат.

А премии и бонусы зачастую в банках составляют самую большую часть дохода сотрудников, поэтому с кадровиками в кредитных организациях практически никто не спорит.

Через доступ к почте украсть персональные данные клиентов можно, признает в беседе с корреспондентом «Газеты.Ru» заместитель комитета Торгово-промышленной палаты (ТПП) Тимур Аитов.

Однако, по его словам, очень редко в банках в аккаунтах менеджеров хранятся данные о большом количестве счетов, кредитов или карт – уже один факт того, что сотрудник банка собрал большую базу клиентуры на своем компьютере, может свидетельствовать, что он злоумышленник.

Обычно большие объемы хранятся на удаленных от рабочего места серверах внутри банка (или на аутсорсе – например, в облачных хранилищах вендоров – разработчиков ИТ-систем банков), к которым нельзя получить доступ лишь по данным корпоративной почты сотрудника, например, кредитного отдела. Но, конечно, определенное число клиентов при помощи такого доступа мошенники могут «скачать» с компьютера сотрудника банка, считает Аитов.

«Вся информация, распространяемая внутри банка в целях обучения или аттестации сотрудников, является служебной, передается по защищенным каналам связи, публикуется на недоступных для посторонних пользователей внутренних порталах», — говорит Петр Курило, начальник департамента информационной безопасности банка ТКБ.

По его словам, информацию подобного рода могут распространять только специально уполномоченные сотрудники.

Базы с данными клиентов почти не пересылаются в открытом виде еще и потому, что они громоздкие, их просто неудобно отправлять по электронке, отмечает Аитов.

Однако в отчете подразделения Банка России по кибербезопасности ФинЦЕРТ, презентованном в рамках конференции «Финополис» в Сочи, отмечалось, что получение доступа к информации с помощью ложных сайтов — фишинг — это самый распространенный способ, с помощью которого мошенники воруют банковскую информацию.

Самое слабое звено при фишинговых атаках — это сам сотрудник, который получает письма и выполняет инструкции в них, говорит Аитов.

Он отмечает, что при регистрации на различных родах профессиональных конференциях и тренингах организаторы таких мероприятий и правда просят в качестве логина использовать адрес банковской корпоративной почты. Но при этом никто и никогда из добропорядочных контрагентов не просит ввести еще и пароль.

«Чтобы ввести и адрес почты, и пароль от нее на внешнем по отношении к банку сайте – нужно быть очень непрофессиональным банковским служащим», — считает эксперт.

Новости и материалы
Россияне стали чаще ходить к гадалкам
Родителей предупредили, какие симптомы при ОРВИ у ребенка должны насторожить
Губернатор рассказал о ночных атаках на Курскую область
В первом туре президентских выборов в Румынии победу одерживает Джорджеску
Под Калугой ликвидировали возгорание на предприятии после атаки дронов
Пассажирка загоревшегося самолета в Анталье рассказала об увиденном
Москвичей предупредили о гололедице в понедельник
В России планируют ввести крупные штрафы за продажу энергетиков детям
Российские десантники при помощи дронов уничтожили пехоту ВСУ в Курской области
Рейс Анталья — Сочи задерживается еще на 4 часа после пожара в аэропорту Турции
За неделю в ДНР предотвратили почти 200 атак украинских беспилотников
Генконсульство РФ проработало вопросы оказания содействия авиапассажирам в Анталье
Суд признал Минздрав виновным в регистрации антибиотика с поддельными документами
В Совфеде допустили появление новых ипотечных программ в 2025 году
Россиян предупредили об опасности старых обоев
В Германии призвали Украину заплатить за ущерб после подрыва «Северных потоков»
Су-34 уничтожил планирующими авиабомбами технику и военных ВСУ в курском приграничье
На Украине назвали новую должность Зеленского
Все новости