Чем утечка данных из Сбербанка Грефа опасна для каждого россиянина?
Цифровизация на марше и она, как революция, пожирает своих зачинателей, отличие только в том, что с революцией это вопрос дискуссионый, а с цифровизацией неизбежный.
Про скандал в ведомстве Грефа, Сбере, все, конечно же, уже слышали?
Коротко по результатам, что пишут в телеграм-каналах, считающихся самыми осведомленными и быстро реагирующими - слита база данных сотрудников Сбера, что не может (не)радовать по ряду причин:
[Spoiler (click to open)]
Базу данных 420 тыс сотрудников Сбербанка, опубликованную в ходе утечки, можно скачать здесь.
Пароль на архив grefisgay. Этот госбанк зарабатывает на хакерских атаках против своих клиентов.
Когда вы устанавливаете приложение Сбербанка, то получаете шпиона, сканирующего все ваши файлы. «Сбербанк онлайн» архивирует ваши контакты, записывает ваше местоположение и логи ваших звонков, делает снимки, управляет Bluetooth, Wi-Fi и фоновыми процессами, звонит, меняет настройки телефона, модифицирует историю вашего браузера, следит за другими приложениями.
Преступникам, чтобы удаленно ограбить вас, не требуется взлом устройства - достаточно иметь партнера в Сбербанке
https://tgstat.ru/channel/@obrazbuduschego
---
Если вы, простые клиенты Сбербанка, полагаете, что это не имеет отношения лично к вам, то очень напрасно, вот послушайте мнение эксперта -
Чем утечка данных из Сбербанка может быть опасной для клиентов
Кроме репутационных потерь Сбербанка, инцидент, хоть и не касается клиентов, несет косвенные риски для них
[Spoiler (click to open)]
МОСКВА, 30 октября 2018, 16:25 - REGNUM К заявлениям о том, что угроз в связи с утечкой из Сбербанка данных клиентов нет, стоит относиться с осторожностью. Да и в целом ситуация выглядит неприятной, считают опрошенные ИА REGNUM эксперты.
С учетом заявлений самого Сбербанка наиболее вероятно, что данные выгрузил сотрудник банка, обладающий административными правами в IT-системе. Далее он либо сам их опубликовал, либо сохранил куда-то, например, в облако, оттуда эти данные еще раз украли, считает основатель и технический директор компании DeviceLock Ашот Оганесян.
«Сбербанк говорит о том, что угрозы данным клиентов нет, но я бы отнесся к этому с осторожностью. Да, в эту выгрузку данные клиентов не попали, но похититель явно имел достаточно широкие права в системах банка, чтобы получить доступ в том числе и к клиентской информации.
Для противодействия хищениям данных сотрудниками во всем мире используются DLP-системы (Data Leak Prevention), которые контролируют их действия при доступе к информационным ресурсам компании и блокируют действия, которые могут выглядеть как неправомерные - например, попытки скопировать большой объем информации.
Важно, чтобы такая система предотвращения утечек работала на компьютерах пользователей (на конечных точках). У Сбербанка есть система, претендующая на DLP, но в этот раз она либо не сработала, либо отправила сигнал тревоги, но само копирование информации предотвратить не смогла».
Говоря о работающей в банке DLP-системе, ведущий аналитик «СёрчИнформ» Алексей Парфентьев назвал ситуацию «неприятной». Причиной данной утечки может быть недостаточно эффективная защита баз данных в банке.
«Пользовательскую базу такого типа как в описанном инциденте довольно просто украсть - доступ к ней есть даже у рядового сисадмина банка. Но подозревать абсолютно любого работника - неправильно. Служащий должен иметь хотя бы минимальные технические знания и доступ к Active Directory.
Современные системы контроля решают задачу защиты подобных данных, и, как видим на практике, подобные базы довольно редко утекают в Сеть из финансовых компаний. Причиной данной утечки может быть недостаточно эффективная защита баз данных в банке.
Предположения о том, что утечку допустил бывший сотрудник, учетная запись которого была доступна после увольнения, также не лишены смысла. «Мертвые души» часто оказываются причинами утечек такого рода, хотя их существование само по себе должно настораживать.
Кроме репутационных потерь, инцидент, хоть и не касается клиентов, несет косвенные риски для них. Слитые данные могут быть использованы для фишинговых и DDoS-атак, информация о подразделении, в котором работает сотрудник, может быть использована социальными инженерами для получения доступа во внутреннюю сеть».
С тем, что похищенные данные такого рода используются злоумышленниками в первую очередь для организации направленных фишинговых атак на организацию, согласен заместитель директора Центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин.
«Имея данные об электронной почте, ФИО и должности сотрудников, можно сформировать письма, которые пользователи откроют с высокой долей вероятности. Это представляет угрозу в первую очередь для самого банка. В случае успешной атаки путем взлома банковских систем, даже если деньги выводятся со счетов клиентов, финансовая организация, как правило, полностью компенсирует все потери.
Данные такого рода действительно доступны, как правило, всем работникам организации. Доступ закрыть нельзя, можно лишь контролировать и блокировать массовые выгрузки таких данных, хотя и это не всегда просто.
Если говорить о способе хищения данных, то злоумышленники либо пользуются помощью нелояльного работника, либо взламывают любой из сотен тысяч компьютеров банка и выгружают данные».
Ранее стало известно о публикации базы данных работников Сбербанка на специализированном форуме phreaker.pro. В пресс-службе банка эту информацию подтвердили. База представляет собой текстовый файл размером около 47 мегабайт, в нём содержатся не только ФИО сотрудников, но и их логины для входа в операционную систему, которые в большинстве случаев совпадают с адресами их почты.
https://regnum.ru/news/it/2510518.html
---
Жалеете бедных банкстеров? Наемные же работники, трудяги, такие же как вы? Такие, да не дело даже не в несравнимом уровне зарплат и бонусов сотрудников банков в сравнении со средней организацией, отнюдь.
Вот смотрите, этим летом, за три месяца до слива БД сотрудников -
Цена тайны. Как сотрудники Сбербанка сливают мошенникам данные клиентов
[Spoiler (click to open)]
24-летний Виталий Будашов работал в Сбербанке старшим специалистом сектора обращений физических лиц. Весь день он решал денежные вопросы клиентов. И грустил: самому ему денег не хватало. Нужно было платить за съёмную квартиру и погашать кредит на машину. Плюс он попал в аварию - автомобиль надо чинить. На поездку к морю или новый телефон (у Виталия iPhone 5S) накопить было трудно.
И тогда он "в Интернете нашёл способ подзаработать", как следует из текста приговора, вынесенного Советским районным судом Нижнего Новгорода. В Сети есть специальные сайты, где можно найти быстрый заработок. На одном из таких порталов Виталий увидел объявление "с незаконным предложением покупки сведений, составляющих банковскую тайну".
Виталий согласился. Он сливал мошенникам всё, что они просили. Это номер карты, паспортные данные, адрес регистрации по месту жительства, срок действия карты, баланс, а также первые три буквы кодового слова клиента (остальные буквы Виталий не мог увидеть в системе).
Если вы думаете, что банковская тайна дорого стоит, то это не так. Банковские сотрудники готовы продать ваши данные всего за несколько тысяч рублей. Виталий, например, получил от мошенников такие суммы на свой "кошелёк" на "Яндексе" (отдельно за каждого слитого клиента): 500 рублей, четыре тысячи рублей, 500 рублей, 2,5 тысячи рублей, две тысячи рублей, две тысячи рублей, три тысячи рублей, 5,5 тысячи рублей.
"Хотел заработать 30-35 тысячи рублей, чтобы погасить все долги", - так Виталий объяснил свой поступок в суде.
В итоге после седьмого слитого клиента Виталия вычислила служба безопасности Сбера. Сотрудник службы подал заявление в правоохранительные органы. Суд оштрафовал Виталия на 100 тыс. рублей и запретил в течение двух лет заниматься банковской деятельностью.
"Я во всём раскаялся"
Лайф связался с Виталием в соцсети "ВКонтакте". Он сказал, что штраф уже выплачен. Свой кредит, из-за которого он пошёл на преступление, Виталий тоже закрыл - семья помогла. Он глубоко раскаивается в том, что "совершил ошибку".
- Ругал себя, понимал, что поступил неправильно, - сказал молодой человек. - До суда сильно похудел в связи с переживаниями. Сейчас всё равно какое-то волнение осталось. Но прежде всего это опыт. Опыт хоть и грустный, но полезный в плане того, как делать не надо. И что нужно жить правильно и зарабатывать честно и своим трудом.
Сейчас у Виталия новая жизнь. Молодой человек зарабатывает на пару с приятелем постройкой домов, беседок и бань. В банковскую сферу Виталий возвращаться не собирается. У него другие планы - закончить магистратуру и работать по специальности "антикризисное управление".
- Это специалист, который способен вывести предприятие из состояния кризиса или банкротства, - сказал Виталий. - Снижение финансовых рисков предприятия и предупреждение потерь.
Расценки на банковскую тайну
В Екатеринбурге у Виталия был коллега по фамилии Чилимов (в судебных материалах только инициалы, поэтому условно назовём его Алексей). Он работал старшим специалистом сектора обслуживания вызовов в Сбербанке.
К Алексею, как следует из текста приговора Орджоникидзевского суда Екатеринбурга, обратился мошенник, попросив предоставлять информацию об интересующих его клиентах. Чилимов согласился и раскрыл данные четырёх человек. Какую сумму он за это получил, в тексте приговора не сказано.
Поскольку в ходе следствия Алексей сотрудничал с правоохранительными органами и во всём признался, то суд в мае 2018 года назначил ему довольно мягкое наказание: год исправительных работ с удержанием 10% от заработка в доход государства.
В феврале 2018 года тот же суд приговорил старшего специалиста сектора обслуживания вызовов Сбербанка по фамилии Тарасов к штрафу в 150 тысяч рублей.
Как установило следствие, к Тарасову обратился злоумышленник (против него потом было возбуждено отдельное уголовное дело) и попросил за плату предоставлять информацию о некоторых клиентах.
"Всего в период с 11.03.2017 по 04.04.2017 Тарасов А. С. незаконно разгласил сведения, составляющие банковскую тайну ПАО "Сбербанк России"... о тринадцати клиентах ПАО "Сбербанк России", систематически получая … денежное вознаграждение в общей сумме не менее 140 000 рублей", - говорится в материалах дела.
Это самая большая стоимость банковской тайны, которую нам удалось найти в судебных материалах. Обычно она продаётся гораздо дешевле. Продавцы - сотрудники не одного только Сбербанка (но они фигурируют в делах чаще всего, потому что это самый большой банк страны).
В марте 2018 года Засвияжский районный суд Ульяновска вынес приговор бывшему сотруднику "Бинбанка" по фамилии Розинько (в доступных судебных документах только инициалы, условно назовём его Виктор). Он работал специалистом группы по обслуживанию действующих клиентов.
Виктор слил мошенникам данные по трём клиентам и получил за это 16 тысяч рублей. Его приговорили к штрафу в размере 30 тысяч.
Зачем мошенникам ваши данные
Как рассказал глава некоммерческого партнёрства "Союз защитников информации" Александр Бражников, мошенники, получив данные банковского клиента, легко могут делать за его счёт покупки в интернет-магазинах.
- Есть ещё много интернет-магазинов, которые не требуют идентификации, то есть СМС с паролем, - сказал эксперт. - И поскольку мошеннику становится известен ещё и остаток на карте, то с выбором товара легче определиться. А если есть адрес регистрации, да ещё и кодовое слово, плюс известен номер телефона, то можно провести транзакцию без ведома владельца. Мошенник просто звонит в кол-центр банка и жалуется, что с "его" картой проблема и он хочет перевести деньги в другое место. Чем больше данных, тем проще украсть деньги.
Есть и более сложные схемы, которыми пользуются мошенники. Например, как рассказывал Лайф, недавно ГУ МВД РФ по Санкт-Петербургу и Ленинградской области накрыло преступную группировку, которая сначала узнала данные счёта VIP-клиентки, а потом обналичила часть денег. Причём в эту группировку входило четыре сотрудника Сбербанка.
По словам экспертов, от таких ситуаций порой невозможно себя защитить - этим должна заниматься служба безопасности банка. Но всё же есть несколько советов, которые помогут избежать неприятностей. Например, деньги лучше хранить не на карте, а на счёте.
- Когда деньги приходят на карту, переводите их на сберегательный счёт и по мере необходимости пополняйте свою карту. Не нужно держать большие деньги на них, - сказал он.
Если человек уже попал в такую ситуацию, нужно блокировать карту. Но практика показывает, что, пока карта заблокируется, пройдёт много времени. Лучше в онлайн-банке сразу перевести деньги или на другую карту, или на счёт.
- Однажды у моего знакомого украли ВИП-карту. Он позвонил в банк, чтобы карту заблокировали, - сказал эксперт. - Блокировка шла в течение часа. Этот человек зашёл в свой онлайн-банк и полностью списал деньги на другую карту. А потом ему посыпались сообщения, что мошенники пытались оплатить бензин на заправке, потом пытались зайти в интернет-магазин, но денег уже на карте не было.
Как рассказывал Лайф, эксперты советуют также для перестраховки не хранить деньги в одном-единственном банке.
- Лучше всего пользоваться услугами нескольких банков сразу. У каждого есть свои конкретные преимущества, - сказал специалист департамента аналитики компании "Аналитика онлайн" Николай Котов.
https://life.ru/t/%D1%81%D0%B1%D0%B5%D1%80%D0%B1%D0%B0%D0%BD%D0%BA/1136273/tsiena_tainy_kak_sotrudniki_sbierbanka_slivaiut_moshiennikam_dannyie_kliientov
---
Историй с мошенничествм сотрудников СБ море разливанное, только набери в поисковике и утонешь, ну вот хоть заголовки таких новостей, к примеру -
---
На самом деле, таких заголовков сотни и тысячи в сети, лень заливать в пост, как бы государственный российский (на самом деле, почти наполовину иностранный) СБ под руководством Германа нашего, Оскарыча, славен в народе своей отмороженностью и склоностью к мошенничеству, напоминать, наверное, не стоит, в этом блоге славная подборка по Грефу, достаточно в его поисковике вбить фамилию и обрящете, вот последний его подвиг -
Агент-инноватор Греф и "архаичные" физматшколы - кто кого?
А вот масса других -
Как россиян ПРОДАЛИ В ЦИФРОВОЕ РАБСТВО банкстерам?
ГРЕФ РЕДЛАГАЕТ СДАВАТЬ РОДИТЕЛЕЙ В БОГАДЕЛЬНИ СБ?
Знакомьтесь: молодые да ранние - дети элиты как будущие хозяева РФ..
Кого нужно отправить к Грефу и в Сбер вместо йога - следователя или психиатра?
Кому принадлежит Сбербанк и посадят ли Грефа?
ПРЕДАТЕЛЬСТВО ЭЛИТ-2018: Греф и Кудрин сдают Россию.
"Последний звонок"&"Добиться лучших в ... качества образования": по Семину или Грефу?
Роль цифрового АВАТАРА будет ключевой: ... прозрачными"- НИЧЕГО не удастся скрыть?
Сенатор, оскорбивший Германа Грефа, отказался извиняться за свои слова
Но, человек, похожий на президента, упорно держится за ценный кадр (или кадр пока доволен человеком и не препятствует его нахождению на должности) - так что и последний скандал не скажется на карьере лучшего банкира всех времен и народов, не считая прекрасной Эльвиры, конечно же.
Вывод же из этой истории только один - если уж данные своих сотрудников СБ не в состоянии защитить длжным образом, то все клиенты Сбера могут быть уверены, что биг дата на каждого из них уже, считайте, находится в распоряжении любого желающего и платежеспособного гражданина.
И это - только начало. Цифровизация - на марше.