Российский банк позволял злоумышленникам получить данные об остатках средств на чужих картах

Discussion in 'Мировые новости. Обсуждения.' started by KantIv, 12 Sep 2020.

  1. KantIv

    KantIv Member

    Joined:
    9 Sep 2013
    Messages:
    16
    Likes Received:
    24
    Reputations:
    0
    Банк раскрывал эти данные через голосовое меню.

    [​IMG]

    ЦБ предупредил банки о схеме, которая позволила злоумышленникам получить дополнительные сведения о клиентах одной из кредитных организаций и впоследствии использовать их для мошенничества с применением методов социальной инженерии, сообщает РБК .

    Злоумышленники обращались с подмененных номеров клиентов в систему интерактивного голосового меню при звонке в банк, написал в письме в адрес кредитных организаций Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России. банковском рынке.

    Использованная схема позволила мошенникам узнать информацию об остатках на счетах своих потенциальных жертв. В дальнейшем эти данные применялись при мошеннических звонках клиентам в целях кражи денежных средств с банковских карт, следует из письма.

    Как пояснил представитель ЦБ, такое мошенничество стало возможным из-за того, что один из банков не соблюдал рекомендации по противодействию мобильному мошенничеству и защите клиентов от несанкционированного доступа к их конфиденциальной информации через IVR (систему интерактивного голосового меню), которые были даны в 2019 году.

    ЦБ расследовал инцидент, после того как один из банков сообщил о резком росте числа звонков своим клиентам от мошенников, которым было известно об остатках денежных средств на счетах, следует из письма. В результате было установлено следующее:


    • Мошенники совершали телефонные звонки в систему IVR (интерактивное голосовое меню), подменяя телефонные номера клиентов. При звонке с номера клиента они запрашивали у системы сведения по остаткам денежных средств на картах клиентов, вводя для этого последние четыре цифры номеров этих банковских карт.
    • После этого мошенники, используя методы социальной инженерии (психологические методы, направленные на обман клиентов), звонили своим жертвам, представляясь сотрудниками банка. Как говорится в письме, «для преодоления барьера недоверия и успешного применения иных методов социальной инженерии» они использовали информацию об остатках денежных средств.
    • Номера телефонов клиентов и номера принадлежащих им банковских карт были скомпрометированы и распространялись в интернете. Источник получения этих данных однозначно не установлен, однако, как считают в ЦБ, мошенники могли их получить из клиентской базы маркетплейса Joom , которая ранее оказалась в открытом доступе, следует из письма.
    Источник: https://www.securitylab.ru/news/512047.php
     
  2. Stalker_Admin

    Stalker_Admin Well-Known Member

    Joined:
    17 Dec 2016
    Messages:
    144
    Likes Received:
    435
    Reputations:
    2
    Социальная инженерия выходит на новый уровень.
     
    KantIv likes this.
  3. uzeerpc

    uzeerpc Active Member

    Joined:
    11 Jul 2017
    Messages:
    127
    Likes Received:
    151
    Reputations:
    0
    И не говори...

    [​IMG]
     
  4. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,482
    Likes Received:
    7,062
    Reputations:
    693
    Злоумышленники узнавали остаток по счетам клиентов, зная данные их карт
    ЦБ после утечки данных покупателей маркетплейса Joom выявил схему, когда мошенники использовали номера телефонов и последние цифры карт банковских клиентов для получения сведений об их счетах через голосовое меню одного из банков


    [​IMG]

    ЦБ предупредил банки о схеме, которая позволила злоумышленникам получить дополнительные сведения о клиентах одной из кредитных организаций и впоследствии использовать их для мошенничества с применением методов социальной инженерии. Злоумышленники обращались с подмененных номеров клиентов в систему интерактивного голосового меню при звонке в банк, написал в письме в адрес кредитных организаций Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России. РБК ознакомился с письмом, его подлинность подтвердили два источника на банковском рынке.

    Использованная схема позволила мошенникам узнать информацию об остатках на счетах своих потенциальных жертв. В дальнейшем эти данные применялись при мошеннических звонках клиентам в целях кражи денежных средств с банковских карт, следует из письма.

    Как пояснил РБК представитель ЦБ, такое мошенничество стало возможным из-за того, что один из банков не соблюдал рекомендации по противодействию мобильному мошенничеству и защите клиентов от несанкционированного доступа к их конфиденциальной информации через IVR (систему интерактивного голосового меню), которые были даны в 2019 году.

    Как мошенники использовали голосовое меню

    ЦБ расследовал инцидент, после того как один из банков сообщил о резком росте числа звонков своим клиентам от мошенников, которым было известно об остатках денежных средств на счетах, следует из письма. В результате было установлено следующее:

    Мошенники совершали телефонные звонки в систему IVR (интерактивное голосовое меню), подменяя телефонные номера клиентов. При звонке с номера клиента они запрашивали у системы сведения по остаткам денежных средств на картах клиентов, вводя для этого последние четыре цифры номеров этих банковских карт.
    После этого мошенники, используя методы социальной инженерии (психологические методы, направленные на обман клиентов), звонили своим жертвам, представляясь сотрудниками банка. Как говорится в письме, «для преодоления барьера недоверия и успешного применения иных методов социальной инженерии» они использовали информацию об остатках денежных средств.
    Номера телефонов клиентов и номера принадлежащих им банковских карт были скомпрометированы и распространялись в интернете. Источник получения этих данных однозначно не установлен, однако, как считают в ЦБ, мошенники могли их получить в том числе из клиентской базы маркетплейса Joom, которая ранее оказалась в открытом доступе, следует из письма.

    Что рекомендовал ЦБ

    После обнаружения мошенничества ФинЦЕРТ ЦБ еще раз указал на необходимость следовать рекомендуемым мерам, пояснил представитель регулятора: «Банки при обслуживании клиентов в системе телефонного банкинга в автоматическом режиме должны использовать дополнительный параметр аутентификации, например секретный код, который устанавливается клиентом при заключении договора. Кроме того, последние четыре цифры номера карты не могут являться дополнительным параметром аутентификации. Соблюдение таких рекомендаций позволит банкам предотвратить подобные инциденты».

    В самом письме отмечается, что безопасным идентификатором не может считаться и телефонный номер клиента из-за проблемы с подменой номеров и утечек клиентских данных. Банкам также следует обеспечить синхронизацию обращений в системы интерактивного голосового меню с системами антифрода (борьбы с мошенничеством) и выявлять аномальную активность клиентов после использования интерактивного голосового меню.

    РБК направил запрос в крупнейшие банки. Представитель Райффайзенбанка рассказал, что получение данных о балансе через систему IVR — достаточно распространенный на банковском рынке функционал. «К сожалению, мы видим, что мошенники стали все чаще использовать подложные номера телефонов клиентов для получения доступа к некоторым данным», — пояснил он, добавив, что сейчас данные по остатку счета направляются на контактный номер клиента через СМС или пуш-сообщение. Такой способ, по словам представителя банка, полностью закрывает сценарий раскрытия информации посредством подмены номера мошенниками при звонке через IVR.

    ВТБ, который использует функцию интерактивного голосового меню, настроил систему безопасности таким образом, чтобы максимально защищать клиентов при использовании данной услуги, сказал представитель банка. «Яндекс.Деньги» не фиксировали роста числа звонков мошенников клиентам, а для запроса баланса по карте необходимы логин и пароль, в отдельных случаях также может быть запрос СМС или одноразового пароля, отметил представитель компании. МКБ не отметил жалоб клиентов на подобные звонки.

    Банк «Открытие» для своих клиентов, которые были в базе Joom, установили запрет на получения финансовой информации через голосовой помощник с самого начала.

    РНКБ для предоставления баланса с помощью IVR использует доверенный номер телефона и последние четыре цифры номера карты, но при этом не фиксирует резкого роста мошеннических звонков своим клиентам. Также банк рассматривает возможность применения для этих целей биометрии.

    Интерактивное голосовое меню дает возможность узнать баланс счета, сменить PIN-код и т.д., отмечает руководитель направления «Информационная безопасность» ИТ-компании КРОК Андрей Заикин. «Между тем для расширения функционала требуется интеграция со все большим количеством систем внутри банка, что влечет за собой дополнительные риски с точки зрения информационной безопасности (ИБ). Ведь один метод защиты, примененный в одном приложении, может полностью закрыть угрозу ИБ, а в другом приложении сработать не так эффективно», — предупреждает он.

    Лучше давать голосовому помощнику дополнительный функционал только при использовании заранее заданного специального кода, а не только номера телефона и последних цифр карты, говорит Заикин, и многие банки уже это делают. Банки могут установить в голосовом меню для проверки клиента СМС или push-уведомления, отмечает ведущий эксперт «Лаборатории Касперского» Сергей Голованов.

     
    _________________________
    KantIv, Spinus and seostock like this.
  5. nynenado

    nynenado Member

    Joined:
    30 Oct 2019
    Messages:
    89
    Likes Received:
    11
    Reputations:
    0
    Нараяна?
     
Loading...