Последствия утечки информации из банков Trustmark National Bank и Green Bank

Последствия утечки данных из банков Trustmark National Bank и Green Bank

Банки Trustmark National Bank и Green Bank, пострадавшие в результате атаки на Target, подали в суд на ритейлера и компанию Trustwave. Эта компания занималась вопросами безопасности безналичных платежей и, в частности, сертифицировала информационную систему Target на соответствие стандарту PCI DSS.

Trustwave впервые напрямую связали с масштабной атакой Target, пишет Crain’s Chicago Business. Компания проводила сканирование компьютерных систем ритейлера 20 сентября 2013 года, и не обнаружила никаких уязвимостей в компьютерных системах.

Кроме того, Trustwave предоставляет сети Target услуги круглосуточного мониторинга, который включает в себя обнаружение вторжения в системы и компрометации персональных данных или другой информации ограниченного доступа. Получается, что во время атаки (с 27 ноября по 15 декабря 2013 года) злоумышленники действовали «под наблюдением» Trustwave, говорится в тексте иска, сообщает pcidss.ru.

Trustwave также обвиняют в том, что компания вовремя не уведомила Target и общественность об атаке, как требует законодательство.

Затраты пострадавших банков только на перевыпуск кредитных карт составят около 172 млн долл., общие потери, в том числе от мошеннических операций по счетам, могут достичь 18 млрд. долл. Банки намерены компенсировать за счет Target и Trustwave понесенный ущерб.

Эдвард Феррара (Edward Ferrara) аналитик Forrester Research Inc. считает, что данный иск лишь вершина айсберга. Многие ритейлеры формально соответствуют требованиям регуляторов платежных систем, однако имеют те же проблемы с безопасностью, что и Target.

Причина довольно низкого уровня безопасности ритейлеров кроется в сложившейся практике, когда за утечку платежных данных отвечает не ритейлер, а банк, эмитировавший пластиковую карту, уверен Фрэнк Киттинг, (Frank Keating) президент Американской ассоциации банков.

Вице-президент, аналитик Gartner Авива Литан (Avivah Litan) считает, что сложившаяся в сфере пластиковых карт система не при чем, а сам стандарт PCI DSS неплох. Но, по аналогии с консалтинговым бизнесом, заниматься сертификацией и предоставлением услуг должны разные компании. Или хотя бы разные подразделения. Иначе возникает конфликт интересов.

Директор компании Digital Security и организатор конференции PCI DSS Russia Илья Медведовский в своем твиттере обращает внимание на другой аспект этой истории. «Это хороший урок и предостережение всем любителям сертифицировать за деньги даже электровеник», пишет эксперт.

Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch комментирует:

«Не стоит ставить знак равенства между «Сертификацией» компании по международным стандартам информационной безопасности и «Безопасностью». Сертификат подтверждает лишь то, что компания выполняет обязательные требования, прописанные в стандарте. Да, PCI DSS довольно хороший и комплексный стандарт, обязывающий компании внедрять правильные механизмы информационной безопасности (к примеру, управлять уязвимостями, использовать средства криптографической защиты и регулярно проводить тесты на проникновение). Компании, которые следуют ему, зачастую чуть более защищены, чем те, кто его игнорирует. Но это вовсе не значит, что первые находятся в абсолютной безопасности. В данной ситуации вина Trustwave, вероятно, не будет доказана, но доверие к ней как к аудитору, скорее всего, снизится».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники маскируют Android-троян под приложение OnlyFans

Эксперты компании F6 зафиксировали новую схему обмана, связанную с удалённой работой. Злоумышленники размещают фальшивые вакансии модераторов контента на OnlyFans — популярной платформе для взрослых, которая официально недоступна в России. Обещают работу из дома, гибкий график и оплату от 10 тысяч рублей в неделю.

Но чтобы «устроиться», кандидату предлагают пройти регистрацию в сервисе и оплатить «подписку за 1 рубль» через приложение.

Проблема в том, что приложение — поддельное, и устанавливается не из Google Play, а по ссылке из мессенджера. На деле пользователь скачивает вредоносный APK-файл, который получает доступ к банковским СМС, а затем — к деньгам.

По данным специалистов, только одна группа скамеров с начала 2025 года таким образом обманула 93 человека, похитив 869 тысяч рублей. Суммы варьировались: от 800 рублей до 155 тысяч.

Объявления публикуют на популярных площадках: ищут «модераторов», якобы для контроля качества контента. В описании — стандартные требования: знание русского языка, внимательность и смартфон на Android 7+.

Для связи используют телеграм-аккаунты с подпиской Premium и «деловыми» аватарками. Далее в переписке объясняют, что нужно создать аккаунт модератора и подтвердить его, оплатив «символическую подписку» — всего 1 рубль. Деньги якобы нужны, чтобы привязать банковскую карту и потом выплачивать на неё зарплату.

 

Когда пользователь соглашается, ему присылают ссылку на сайт с адресом вроде only-fans[.]in — он маскируется под страницу Google Play. Скачиваемое приложение — это шпионская программа. Как только человек вводит данные карты, мошенники получают доступ ко всем операциям, включая переводы и оформление кредитов.

Схема с подпиской на OnlyFans используется давно — ещё с 2023 года. Тогда мошенники притворялись девушками, знакомились с жертвами в соцсетях, отправляли откровенные фото и предлагали установить приложение, чтобы получить «доступ к остальному».

Сейчас сценарии стали изощрённее. Например, мошенники могут представляться психологом-блогером, который ведёт страницу на OnlyFans о полигамных отношениях, и также предлагать перейти по ссылке и подписаться.

Вариации на тему фейкового трудоустройства продолжают множиться. Весной аналитики фиксировали случаи, когда под видом заполнения резюме похищались телеграм-аккаунты, а зимой — когда обман происходил через объявления о работе в пунктах выдачи заказов на маркетплейсах.

Вот несколько простых правил, которые помогут защититься от подобных схем:

  • Не переходите по ссылкам от незнакомцев, даже если предложение кажется правдоподобным.
  • Скачивайте приложения только из официальных магазинов (Google Play, App Store), обращая внимание на правильность адреса.
  • Не вводите данные банковских карт, логины и пароли в непроверенных приложениях и на подозрительных сайтах.
  • Проверяйте, какие разрешения запрашивает приложение. Если требует доступ к СМС, контактам или банковским данным — это тревожный сигнал.
  • Если вы всё же ввели данные карты в подозрительном месте — немедленно заблокируйте карту через приложение банка или по горячей линии.
  • Насторожитесь, если вам предлагают зарплату выше рыночной, при этом почти ничего не требуют. Такие предложения — любимый инструмент мошенников.

Мошенники продолжают использовать тему работы и доверие людей как основной инструмент. Поэтому критическое мышление — главное средство защиты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru