Спецпроекты

DeviceLock: к телефонным атакам на клиентов Сбербанка причастны инсайдеры

Безопасность Техническая защита

DeviceLock, российский производитель DLP-систем (Data Leak Prevention), представил анализ январской атаки на клиентов Сбербанка. В компании пришли к выводу, что столь масштабная и успешная атака стала возможной благодаря кратковременному доступу злоумышленников к информации о клиентах банка.

По мнению специалистов компании, именно доступ к внутренней информации, а не подмена исходящего номера на номера банка, стал ключевым фактором успеха примененной мошенниками социальной техники.

В пользу этой версии свидетельствует, в частности, тот факт, что первые инциденты со звонками с подмененных номеров происходили еще в декабре 2018, но преступники не достигали успеха потому что не обладали достаточной информацией, чтобы выдавать себя за сотрудников Сбербанка и вынуждать клиентов к необходимым им действиям.

Массовый повтор таких инцидентов в конце января уже включал использование преступниками полных паспортных данных, а также информации об остатках на картах клиентов банка. Кроме того, по свидетельствам пострадавших, после блокировки карты атаки немедленно прекращались, что также свидетельствует о доступе мошенников к информации о картхолдерах, причем в режиме реального времени. При этом сама январская атака была массовой, но короткой во времени и длилась всего 2-3 дня, а прекратилась, вероятно, после того, как служба безопасности банка выявила и ликвидировала источник утечки клиентских данных.

Как отметил технический директор и основатель DeviceLock Ашот Оганесян, эта атака, несмотря на относительно небольшие потери, понесенные клиентами банка, безусловно, является самой опасной из всего, что мошенники реализовали в России в этом и прошлом году.

«Был использован целый комплекс техник, включавший социальную инженерию, инсайдерский доступ к данным пользователей и подмену А-номера (Caller ID). При этом в атаке были задействованы десятки, а возможно и сотни участников, включая «операторов» криминальных колл-центров, что говорит об обширной и разветвленной преступной структуре. При этом утечка клиентских данных выступила своего рода уязвимостью нулевого дня, которая была использована немедленно после получения. А с учетом того, что криминальная группа, реализовавшая эту атаку не выявлена, стоит ожидать, что и в дальнейшем утечки информации из Сбербанка и других крупных банковских структур будут использованы, в первую очередь, для организации аналогичных атак на их клиентов. В такой ситуации пользователям стоит игнорировать любые входящие коммуникации по вопросам безопасности и стараться связываться с банками через каналы с проверкой подлинности - например, встроенные в банковские приложения мессенджеры», - отметил Ашот Оганесян.

Специалисты DeviceLock прогнозируют, что рост телефонных социальных атак в целом связан с повышением уровня защиты банковских приложений и будет продолжаться в течение всего года. При этом вряд ли банкам удастся полностью решить проблему защиты от подмены А-номера, так как средств проверки его подлинности действующими протоколами связи не предусмотрено и остается уповать только на добросовестность операторов связи, которые должны следить за тем, чтобы их клиенты использовали А-номера только из определенного пула. По мнению специалистов, банкам необходимо сосредоточиться на проблеме т.н. «пробива», чтобы максимально затруднить злоумышленникам доступ к данным клиентов. Сегодня этот вид криминальных услуг легко доступен на черном рынке, и кто угодно, за небольшие деньги, может по номеру мобильного телефона или полному имени владельца счета или карты узнать информацию об остатках и транзакциях.

По данным исследования DeviceLock, в 2018 году более 50% утечек корпоративных данных в России и мире происходило по вине инсайдеров, а не хакеров. Несмотря на то, что банки являются одними из наиболее защищенных операторов клиентских данных, количество утечек в финансовой сфере в последнее время растет, что связано, в первую очередь, с возможностью легкого извлечения дохода из похищенной банковской информации.

Пресс-служба Сбербанка прокомментировала CNews информацию DeviceLock.

Никаких утечек конфиденциальной информации о клиентах в Сбербанке не было. Выводы, приведенные в статье, основываются на предположениях, а не на фактах, что говорит о неосведомленности авторов. Факты говорят о том, что атакам с подменой номера подверглись клиенты нескольких крупных банков (об этом, в частности, говорилось на Уральском форуме), и такие атаки продолжаются до сих пор. По логике авторов, для таких атак мошенники должны и сейчас иметь прямой доступ к данным клиентов всех этих банков, что представляется невозможным. Кроме того, в СМИ обсуждается недавно появившаяся запись разговора с мошенником, который утверждает, что источник базы – государственная структура. Утверждения о том, что в Сбербанке произошла утечка, не соответствуют действительности, а вопросы подделки номеров телефонов следует адресовать операторам связи, отметили в пресс-службе банка.

«В любом случае, мы рекомендуем всем нашим клиентам проявлять бдительность и никому не сообщать полные данные своих банковских карт, CVV2-коды, СМС-коды и одноразовые пароли. Если звонящий представляется сотрудником банка и просит клиента сообщить ему эту информацию или кодовое слово – лучше повесить трубку и перезвонить в банк по телефонам, указанным на банковской карте или на сайте Сбербанка. Подробнее о безопасности можно узнать в разделе «Ваша безопасность» на сайте Сбербанка», - заявили в пресс-службе Сбербанка.



Взгляд месяца

Цифровизация электросетей реализуется преимущественно на отечественных технологиях

Игорь Маковский

генеральный директор «Россети Центр»

Тема месяца

Обзор: Телеком 2019

Рейтинги CNews

Крупнейшие телекоммуникационные компании России 2019 Крупнейшие поставщики ИТ в телеком 2019