Лаборатория Касперского: мошенники воруют данные банков благодаря персоналу
Новый способ кражи данных из крупных организаций озвучила старший контент-аналитик «Лаборатории Касперского» Татьяна Щербакова, 6 ноября в интервью газете «Известия».
Сотрудникам организаций (в том числе финансового сектора) мошенники рассылают приглашения пройти аттестацию от имени кадровой службы атакуемого учреждения. Если сотрудник переходит по ссылке из приглашения, то попадает на ложный сайт, на котором его просят ввести логин и пароль от корпоративной почты.
Введенные работником данные попадают к злоумышленникам, в результате чего последние получают доступ к переписке сотрудника, в которой могут содержаться как личные данные клиентов, так и параметры доступа к другим внутренним информационным ресурсам организации.
Так как в финансовом секторе продукты часто меняются, то переобучение и аттестация персонала проводятся постоянно, а общение, как и в других крупных компаниях, как правило, формализовано и происходит в основном через электронную почту. Поэтому подобные рассылки сотрудникам привычны и могут не вызывать подозрений.
Напомним, сообщения об утечках персональных данных клиентов в финансовом секторе и в крупных корпорациях появляются регулярно. Так 2 октября 2019 года Сбербанк признал факт утечки записей по владельцам кредитных карт банка. По оценкам экспертов объем похищенных записей мог достигать 60 млн карт.
Читайте также: Сбербанк сообщил об утечке персональных данных по кредитным картам
Также, годом ранее, в октябре 2018 года СМИ сообщали о публикации в открытом доступе базы действующих и уволенных сотрудников Сбербанка, которая содержит около 420 тысяч записей, а в августе 2019 года сообщалось о нахождении в свободном доступе персональных данных 703 тысяч сотрудников РЖД.
Читайте также: В сеть утекли персональные данные сотрудников РЖД
В Российском законодательстве закон о защите персональных данных есть, но фактически наказывают лишь за нарушение его формальных требований.
За утрату персональных данных клиентов или сотрудников при формальном соблюдении норм законодательства никакой серьезной ответственности ни банки, ни другие организации не несут, поэтому данные граждан постоянно всплывают на черном рынке в том или ином виде. Утратившая же эти данные организация отделывается лишь временными репутационными потерями, успешно нивелируемыми в дальнейшем работой собственных пиар-подразделений.
Таким образом, проблемы потери персональных данных клиентов, в конечном итоге становятся проблемами самих клиентов. Так, злоумышленники, обращаясь по телефону к пожилому или малограмотному гражданину с целью хищения денег с банковской карты, могут использовать «потерянные» банком сведения, для того, чтобы убедить жертву, что она общается не с мошенниками, а с сотрудниками банка.
Банки же при этом винят во всем самих граждан, поддавшихся на уговоры мошенников.