Ещё
Долг платежом красен: Раскрыт оптимальный размер кредита
Долг платежом красен: Раскрыт оптимальный размер кредита
Личный счет
Apple рискует покинуть РФ
Apple рискует покинуть РФ
Компании
Китайским IT-компаниям запретили получать госсубсидии США
Китайским IT-компаниям запретили получать госсубсидии США
Компании
Многодетной матери отказали в пособии из-за 14 рублей
Многодетной матери отказали в пособии из-за 14 рублей
Личный счет

Клерки подвели клиентов: как воруют банковские данные 

Клерки подвели клиентов: как воруют банковские данные
Фото: РИА Новости
Новый способ хищения персональных данных клиентов из банков раскрыли эксперты по кибербезопасности. Мошенники присылают на рабочую почту ссылку, якобы предлагая сотруднику таким образом протестировать уровень профессиональных навыков. При регистрации на сайте необходимо ввести адрес рабочей почты и пароль от нее. Поскольку банковские клерки чаще всего не спорят с кадровиками, чтобы не лишиться премий, многие попадаются на уловку мошенников.
В России выявили новый способ воровства денег со счетов клиентов кредитных организаций. О нем сообщили «Известия» со ссылкой на .
Схема проста: обычно сотруднику банка на корпоративную почту приходит формальное письмо якобы от HR-службы банка, в котором сказано, что необходимо пройти аттестацию. В нем приводится ссылка на внешний сайт, где якобы размещен тест. При регистрации предлагается ввести для идентификации логин и пароль от рабочей почты.
Таким образом злоумышленник получает доступ к переписке сотрудника банка, которая может содержать, в том числе, файлы с персональными данными клиентов.
Мошенники особенно нацелены на получение информации от сотрудников, которые работают в департаментах, непосредственно связанных с обслуживанием клиентов, — выдачей кредитов, обслуживанием банковских карт, предоставлением дистанционного доступа, или, например, в отделе претензий. У них больше всего скапливается персональных данных клиентов, и они могут пересылать базы данных с ними.
В крупнейших банках «Известиям» рассказали, что регулярно проводят обучение и проверки сотрудников. Так что потенциальных жертв у мошенников может быть много.
Дело в том, что у сотрудника банка, который попадается на уловки мошенников, может сложиться ощущение, что речь идет об обязательной процедуре, не пройдя которую он может лишиться части премиальных выплат.
А премии и бонусы зачастую в банках составляют самую большую часть дохода сотрудников, поэтому с кадровиками в кредитных организациях практически никто не спорит.
Через доступ к почте украсть персональные данные клиентов можно, признает в беседе с корреспондентом «Газеты.Ru» заместитель комитета (ТПП) Тимур Аитов.
Однако, по его словам, очень редко в банках в аккаунтах менеджеров хранятся данные о большом количестве счетов, кредитов или карт — уже один факт того, что сотрудник банка собрал большую базу клиентуры на своем компьютере, может свидетельствовать, что он злоумышленник.
Обычно большие объемы хранятся на удаленных от рабочего места серверах внутри банка (или на аутсорсе — например, в облачных хранилищах вендоров — разработчиков ИТ-систем банков), к которым нельзя получить доступ лишь по данным корпоративной почты сотрудника, например, кредитного отдела. Но, конечно, определенное число клиентов при помощи такого доступа мошенники могут «скачать» с компьютера сотрудника банка, считает Аитов.
«Вся информация, распространяемая внутри банка в целях обучения или аттестации сотрудников, является служебной, передается по защищенным каналам связи, публикуется на недоступных для посторонних пользователей внутренних порталах», — говорит Петр Курило, начальник департамента информационной безопасности банка ТКБ.
По его словам, информацию подобного рода могут распространять только специально уполномоченные сотрудники.
Базы с данными клиентов почти не пересылаются в открытом виде еще и потому, что они громоздкие, их просто неудобно отправлять по электронке, отмечает Аитов.
Однако в отчете подразделения по кибербезопасности ФинЦЕРТ, презентованном в рамках конференции «Финополис» в Сочи, отмечалось, что получение доступа к информации с помощью ложных сайтов — фишинг — это самый распространенный способ, с помощью которого мошенники воруют банковскую информацию.
Самое слабое звено при фишинговых атаках — это сам сотрудник, который получает письма и выполняет инструкции в них, говорит Аитов.
Он отмечает, что при регистрации на различных родах профессиональных конференциях и тренингах организаторы таких мероприятий и правда просят в качестве логина использовать адрес банковской корпоративной почты. Но при этом никто и никогда из добропорядочных контрагентов не просит ввести еще и пароль.
«Чтобы ввести и адрес почты, и пароль от нее на внешнем по отношении к банку сайте — нужно быть очень непрофессиональным банковским служащим», — считает эксперт.
Видео дня. Mail.ru Group и Сбербанк создали совместное предприятие
Комментарии1
Читайте также
Новости партнеров
Новости партнеров
Больше видео