Где искать виноватых в утечках данных из банков
Одним из главных источников подробных знаний телефонных мошенников о клиентах банков могли стать утечки данных непосредственно из банков. Сами представители кредитных организаций отрицают массовые исходы информации - с их точки зрения, всему виной скорее человеческий фактор.
Жертвами телефонных мошенников за последний год становились не только обычные граждане, но и профессионалы банковской отрасли и даже известные специалисты по информбезопасности, рассказывает основатель и технический директор компании DeviceLock Ашот Оганесян. По его данным, под новый вид "бизнеса" переквалифицировались практически все криминальные кол-центры России, а также было создано большое количество новых в странах ближнего зарубежья.
Звонящие называли не только паспортные данные жертв, но и номера их счетов и карт, остатки по ним, а во многих случаях и перечень последних транзакций. Источник этих данных, по мнению Оганесяна, - массовые инсайдерские утечки информации из банков, которые до этого боролись в основном с хакерами, а на возможность хищения данных своими сотрудниками обращали мало внимания. Проблемы утечек из банков решаются "со скрипом", так как требуют от служб безопасности признания того, что данные клиентов не защищены и похищались, а это плохо влияет на имидж финансовой организации на рынке.
По итогам расследований телефонных мошенничеств выяснялось, что злоумышленники с легкостью получают всю информацию от клиентов, используя приемы психологического давления, говорит начальник департамента кибербезопасности банка "Зенит" Олег Волков. Получение информации от банков требует значительных затрат, так как необходимо как-то мотивировать инсайдера (подкупом, шантажом, угрозами). Но это слишком затратно и рискованно, говорит Волков. По его словам, подробную информацию о клиентах банков злоумышленники достают через дистанционные каналы обслуживания (онлайн-банкинг, мобильные приложения), выманивая одноразовые пароли у самих клиентов.
Проблемы утечек из банков решаются "со скрипом", так как требуют от служб безопасности признания того, что данные не защищены
В банках не так легко получить данные, даже сотрудникам, говорит управляющий директор Абсолют Банка Олег Кусеров. Но если это и происходит, то службам безопасности нужно провести внутреннее расследование, которое занимает время. Кусеров подчеркивает, что ему неизвестны случаи, что у какого-то банка была похищена крупная и актуальная база клиентов. По его словам, мошенники используют нелегально продающуюся информацию о клиентах, которая утекла скорее от сотовых операторов, чем от банков.