США: сотрудницу банка арестовали за торговлю номерами счетов

США: сотрудницу банка арестовали за торговлю номерами счетов

В США сотрудницу банка арестовали за незаконную продажу большого количества данных счетов клиентов этого учреждения различным злоумышленникам.



Как сообщает CNews со ссылкой на издание Northjersey, работница банка TD Bank в городе Элмвуд-Парк Давасия Вилльямсон (Davasia Williamson) была арестована еще 28 февраля по подозрению в причастности к банковскому мошенничеству. 

В ходе следствия выяснилось, что Вилльямсон в течение несколько месяцев, с ноября 2010 г., продавала данные счетов клиентов своего банка ряду лиц. Всего она передала злоумышленникам доступ примерно к десяти счетам с крупными суммами, говорится в отчете правоохранительных органов.

В результате ее действий мошенники украли со счетов сумму в размере $39,900. Банк возместил своим клиентам ущерб. Другие лица, причастные к этим преступлениям, пока не найдены.

Сотрудницу банка обвиняют в краже компьютерных данных, краже персональной информации, заговоре с целью осуществления кражи с помощью компьютерных сетей и краже путем обмана.

«Банку повезло, что аппетиты инсайдера были относительно скромными, и возместить клиентам пришлось совсем не большую сумму — жаль только, что не из карманов топ-менеджеров. Ведь истинным виновником инцидента является не столько корыстная сотрудница, сколько руководство банка, просмотревшее такую грубую брешь в системе информационной безопасности, которая позволила инсайдеру беспрепятственно действовать на протяжении четырех месяцев», - отметил Александр Ковалев, директор по маркетингу компании SecurIT, российского разработчика DLP-решений.

ИИ-браузеры обманули игрой и заставили сливать логины пользователей

Оказывается, современный ИИ можно взломать не только сложным промптом, но и головоломкой. Исследователи из компании LayerX представили технику BioShocking, которая заставляет ИИ-браузеры добровольно воровать данные пользователя. Под удар попали сразу несколько популярных решений, включая ChatGPT Atlas, Perplexity Comet и браузерное расширение Claude от Anthropic.

Суть атаки строится вокруг так называемой косвенной инъекции в промпт. Пользователю достаточно открыть специально подготовленную веб-страницу.

Для человека это обычная игра с абсурдными правилами вроде «2 + 2 = 5». А вот ИИ воспринимает встроенные в страницу инструкции как часть задания и постепенно начинает следовать логике злоумышленника.

Финал игры выглядит так: агенту предлагают получить учётные данные пользователя и передать их атакующему. Во время эксперимента ни один из шести протестированных ИИ не распознал это как опасное действие.

 

В демонстрации LayerX агент самостоятельно открыл рабочий репозиторий GitHub пользователя, получил учётные данные SSH и отправил их злоумышленнику. Исследователи использовали безвредный текстовый файл, однако отмечают, что аналогичным способом можно добраться до открытых вкладок браузера, корпоративных сервисов, внутренних инструментов и других ресурсов.

Самое опасное здесь не сама головоломка, а возможности ИИ в режиме агента. Такие браузеры умеют нажимать кнопки, переходить по ссылкам, читать содержимое сайтов и выполнять действия от имени пользователя. Если агент уже имеет доступ к аккаунтам, вредоносная страница может превратить его в помощника злоумышленника.

 

По данным LayerX, реакция разработчиков оказалась неодинаковой. OpenAI устранила проблему в ChatGPT Atlas. Perplexity, как утверждают исследователи, закрыла отчёт без патча. Anthropic выпустила обновление для расширения Claude, но, по мнению LayerX, оно не решило проблему полностью.

Эксперты считают, что ИИ-браузеры должны запрашивать явное разрешение перед доступом к данным из сервисов. А пользователям советуют не держать агентный режим включённым без необходимости.

RSS: Новости на портале Anti-Malware.ru