Двойка за киберграмотность: мошенники освоили новый способ воровства данных из банков
О появлении нового способа корпоративного фишинга заявили в «Лаборатории Касперского»: сотруднику банка или любой другой организации присылают «приглашение» на аттестацию и предлагают ввести логин и пароль от рабочей почты. Таким образом злоумышленник получает доступ к переписке, которая может содержать и файлы с персональными данными клиентов, сообщили «Известиям» в компании по борьбе с киберугрозами. В крупнейших банках рассказали, что регулярно проводят обучение и проверки сотрудников, поэтому у подобного фишинга могут быть огромные масштабы. Не исключено, что таким способом уже взломано несколько тысяч почтовых аккаунтов, оценили эксперты.
Мошенники аттестуют
Новая схема корпоративного фишинга связана с имитацией процесса аттестации сотрудников компании: мошенники рассылают письма с предложением пройти оценку знаний и навыков, рассказали «Известиям» в «Лаборатории Касперского». Таким образом у жертвы может сложиться ощущение, что речь идет об обязательной процедуре, которая к тому же способна обернуться денежными бонусами. На якобы HR-портале сотрудника просят авторизоваться, введя логин и пароль от рабочей почты, после чего эти данные отправляются мошеннику, рассказала «Известиям» старший контент-аналитик «Лаборатории Касперского» Татьяна Щербакова.
Фишинговые письма с поддельными ссылками поступают на адреса сотрудников различных компаний, в том числе в банковской сфере, подчеркнула эксперт. Первое, к чему могут получить доступ мошенники, — это корпоративная переписка. А если логины и пароли от баз данных с персональной информацией о клиентах или сами базы пересылаются в открытом виде, то злоумышленники и их получат в распоряжение, отметила Татьяна Щербакова. Она также добавила, что успех и масштаб дальнейших атак с использованием украденной информации зависит от содержимого взломанного ящика. О новом способе фишинга компания по борьбе с киберугрозами узнала от своих клиентов.
В Центробанке не ответили на вопросы «Известий» о новом канале утечек данных. Однако в отчете подразделения регулятора по кибербезопасности ФинЦЕРТ (есть в распоряжении «Известий») фишинг упоминается первым среди основных факторов, способствовавших успешным атакам на банки с целью завладеть персональными данными россиян. Часто мошенники эксплуатируют человеческий фактор при рассылке писем сотрудникам банков, подчеркнули аналитики ФинЦЕРТ.
Фишинг — одна из самых серьезных угроз 2019 года, а его сценарии могут быть самыми неожиданными, отметил начальник управления режима информационной безопасности Газпромбанка Алексей Плешков. Директор департамента информационной безопасности Росбанка Михаил Иванов отметил, что все финансовые организации регулярно сталкиваются с попытками таких атак, при этом мошенники постоянно совершенствуют методы и технологии их реализации.
Человеческий фактор
В банках постоянно проводится обучение и аттестация сотрудников по профильным направлениям работы, рассказали «Известиям» в крупнейших российских кредитных организациях. Поэтому банковские служащие привыкли к такого рода рассылкам. Аттестация проводится дистанционно, а ее регулярность зависит от должности сотрудника, подчеркнули в банках «Открытие» и «Ак Барс».
Самое слабое звено при фишинговых атаках — это сам сотрудник, который получает письма и выполняет инструкции в них, уверен директор департамента информационной безопасности «ФК Открытие» Владимир Журавлев. По его словам, для повышения осведомленности работников финансовые организации часто проводят тренинги и знакомят сотрудников с реальными фишинг-кейсами.
Обычно письма проходят проверку через антиспам и антивирус, в результате чего подозрительные сообщения блокируются. Кроме того, переход по вредоносной ссылке будет приостановлен, если ресурс категоризирован как фишинговый, рассказал начальник отдела информационной безопасности Райффайзенбанка Денис Камзеев. Кроме того, банки разграничивают доступ к информации так, чтобы один сотрудник не мог обладать всеми данными о клиенте, а также ведут учет работников, ознакомившихся с конфиденциальными сведениями, отметили в ВТБ.
В финансовой сфере «аттестационный» фишинг может быть более эффективным, чем в компаниях из других отраслей. Во-первых, кредитные организации представляют собой крупную формализованную систему, и общение сотрудников разного ранга, как правило, происходит только посредством рабочей почты. А во-вторых, в этой сфере продуктовая линейка часто меняется, что требует регулярного (до одного раза в квартал) контроля знаний работников, уверен главный аналитик Центра аналитики и финансовых технологий (ЦАФТ) Антон Быков. Количество взломанных корпоративных почтовых аккаунтов уже может составить несколько тысяч, оценил он.
Банки часто работают с базами клиентов, в которых содержится большой объем данных по конкретному вкладчику или владельцу карты за несколько лет — такую информацию мошенник вполне может получить из корпоративной почты, предположил коммерческий директор процессинговой компании Chronopay Сергей Алпатов. Он пояснил, что по рабочей почте часто передается информация о клиентах, в отношении которых ведется активная работа.
В основной зоне риска с точки зрения утечки персональных данных окажутся сотрудники кредитных отделов, в почте которых накапливаются анкеты претендентов на займы, считает директор Центра компетенций по информационной безопасности компании «Техносерв» Сергей Терехов. Однако он полагает, что из-за новой вариации фишинга ожидать волны утечек информации всё же не стоит.
Наталья ИЛЬИНА