Новый способ хищения персональных данных клиентов из банков раскрыли эксперты по кибербезопасности. Мошенники присылают на рабочую почту ссылку, якобы предлагая сотруднику таким образом протестировать уровень профессиональных навыков. При регистрации на сайте необходимо ввести адрес рабочей почты и пароль от нее. Поскольку банковские клерки чаще всего не спорят с кадровиками, чтобы не лишиться премий, многие попадаются на уловку мошенников.
В России выявили новый способ воровства денег со счетов клиентов кредитных организаций. О нем сообщили «Известия» со ссылкой на «Лабораторию Касперского».
Схема проста: обычно сотруднику банка на корпоративную почту приходит формальное письмо якобы от HR-службы банка, в котором сказано, что необходимо пройти аттестацию. В нем приводится ссылка на внешний сайт, где якобы размещен тест. При регистрации предлагается ввести для идентификации логин и пароль от рабочей почты.
Таким образом злоумышленник получает доступ к переписке сотрудника банка, которая может содержать, в том числе, файлы с персональными данными клиентов.
Мошенники особенно нацелены на получение информации от сотрудников, которые работают в департаментах, непосредственно связанных с обслуживанием клиентов, – выдачей кредитов, обслуживанием банковских карт, предоставлением дистанционного доступа, или, например, в отделе претензий. У них больше всего скапливается персональных данных клиентов, и они могут пересылать базы данных с ними.
В крупнейших банках «Известиям» рассказали, что регулярно проводят обучение и проверки сотрудников. Так что потенциальных жертв у мошенников может быть много.
Дело в том, что у сотрудника банка, который попадается на уловки мошенников, может сложиться ощущение, что речь идет об обязательной процедуре, не пройдя которую он может лишиться части премиальных выплат.
А премии и бонусы зачастую в банках составляют самую большую часть дохода сотрудников, поэтому с кадровиками в кредитных организациях практически никто не спорит.
Через доступ к почте украсть персональные данные клиентов можно, признает в беседе с корреспондентом «Газеты.Ru» заместитель комитета Торгово-промышленной палаты (ТПП) Тимур Аитов.
Однако, по его словам, очень редко в банках в аккаунтах менеджеров хранятся данные о большом количестве счетов, кредитов или карт – уже один факт того, что сотрудник банка собрал большую базу клиентуры на своем компьютере, может свидетельствовать, что он злоумышленник.
Обычно большие объемы хранятся на удаленных от рабочего места серверах внутри банка (или на аутсорсе – например, в облачных хранилищах вендоров – разработчиков ИТ-систем банков), к которым нельзя получить доступ лишь по данным корпоративной почты сотрудника, например, кредитного отдела. Но, конечно, определенное число клиентов при помощи такого доступа мошенники могут «скачать» с компьютера сотрудника банка, считает Аитов.
«Вся информация, распространяемая внутри банка в целях обучения или аттестации сотрудников, является служебной, передается по защищенным каналам связи, публикуется на недоступных для посторонних пользователей внутренних порталах», — говорит Петр Курило, начальник департамента информационной безопасности банка ТКБ.
По его словам, информацию подобного рода могут распространять только специально уполномоченные сотрудники.
Базы с данными клиентов почти не пересылаются в открытом виде еще и потому, что они громоздкие, их просто неудобно отправлять по электронке, отмечает Аитов.
Однако в отчете подразделения Банка России по кибербезопасности ФинЦЕРТ, презентованном в рамках конференции «Финополис» в Сочи, отмечалось, что получение доступа к информации с помощью ложных сайтов — фишинг — это самый распространенный способ, с помощью которого мошенники воруют банковскую информацию.
Самое слабое звено при фишинговых атаках — это сам сотрудник, который получает письма и выполняет инструкции в них, говорит Аитов.
Он отмечает, что при регистрации на различных родах профессиональных конференциях и тренингах организаторы таких мероприятий и правда просят в качестве логина использовать адрес банковской корпоративной почты. Но при этом никто и никогда из добропорядочных контрагентов не просит ввести еще и пароль.
«Чтобы ввести и адрес почты, и пароль от нее на внешнем по отношении к банку сайте – нужно быть очень непрофессиональным банковским служащим», — считает эксперт.