Сотрудники сотовых компаний в Саранске продавали информацию о клиентах

Сотрудники сотовых компаний в Саранске продавали информацию о клиентах

Два сотрудника саранских сотовых компаний попались на продаже персональных данных абонентов третьим лицам, их деятельность удалось пресечь благодаря УФСБ по Мордовии. На данный момент суд в Саранске уже вынес преступникам приговор.

Как утверждает следствие, в феврале прошлого года некому Анатолию Панишеву, занимавшему должность оператора контактного центра ООО «Т2Мобайл», поступило предложение подзаработать.

Интересный способ заработка предложила его знакомая — специалист ПАО «Вымпелком» 24-летняя Анна Синевая.

Схема была следующей: Панишев должен был выборочно отправлять Синевой паспортные данные абонентов, используя для этих целей мессенджер Telegram. При этом Синевая отмечала, какие номера телефонов ее наиболее интересуют.

За информацию по каждому номеру Панишев получал от Синевой по 200 рублей.

В результате подельники осуществляли подобную незаконную деятельность три месяца. Синевая получала фамилии, реквизиты документов, удостоверяющих личность, сведения о движении денежных средств на лицевых счетах, а Панишев по 200 за абонента.

После получения данных специалист ПАО «Вымпелком» перепродавала их эти данные в Сети.

Как итог — условный срок 1 год 7 месяцев получил Панишев, Синевая получила 1 год 4 месяца. В течение двух с половиной лет преступники не смогут занимать определенные должности.

Данную ситуацию согласился прокомментировать для нашей редакции основатель и технический директор DeviceLock DLP Ашот Оганесян:

«Дело незадачливых торговцев персональными данными выглядит откровенно незаконченным. Полученный ими условный срок говорит о том, что значительного ущерба владельцам этих данных они нанести не успели. Однако ни кто выступал покупателями, ни с какой целью приобретались данные именно этих абонентов, так и не известно. Наиболее вероятно, что заказчиками выступили хакерские группировки и после суда опасность для абонентов сотовой связи, паспортные данные и номера которых были проданы преступниками, никуда не исчезла».

«Эта информация может быть использована для телефонного мошенничества или взлома систем дистанционного банковского обслуживания, привязанных к номерам мобильных телефонов. Для этого могут быть изготовлены фальшивые доверенности, по которым затем получены новые сим-карты, после чего смс-подтверждения систем двухфакторной авторизации окажутся в руках мошенников».

«Особо неприятен тот факт, что преступников нашли сотрудники ФСБ, а не собственные службы безопасности операторов при том, что были украдены данные более, чем 70 абонентов из самых разных городов. Это свидетельствует о крайне низком уровне защиты доступа к клиентским данным в «Теле2» и «Вымпелкоме» и фактическом отсутствии контроля за деятельностью сотрудников. Хотя именно на такой случай существуют DLP-системы (Data Loss Prevention), которые легко выявили бы «странный» интерес работника из Саранска к данным абонентов из других городов или просто резко выросшее количество его запросов и заблокировали бы его доступ, известив службу безопасности. Но на суде подсудимые извиняются перед потерпевшим, которым признан почему-то оператор, а не абоненты, а Роскомнадзор, который обязан начать проверку соблюдения закона о персональных данных, хранит молчание. Ведь он очень занят - блокировка Телеграма по IP в самом разгаре, а сегодня нет вопроса важнее», — подчеркивает господин Оганесян.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru