DeviceLock: телефонное мошенничество питают утечки у подрядчиков банков

DeviceLock: телефонное мошенничество питают утечки у подрядчиков банков

DeviceLock: телефонное мошенничество питают утечки у подрядчиков банков

Специалисты DeviceLock (ранее Смарт Лайн Инк) проанализировали последние случаи обзвона клиентов российских банков с целью мошенничества и пришли к выводу, что злоумышленники используют данные, утекшие из маркетинговых подразделений банков и компаний-аутсорсеров.

В этом году аферисты предпочитают представляться по телефону сотрудником правоохранительных органов, а не служащим банка. По данным DeviceLock, за последние месяцы доля таких мошеннических звонков возросла с 40 до почти 80%.

Примечательно, что число таких атак резко возрастает после подачи заявки на открытие счета или другой банковский продукт. По мнению аналитиков, это свидетельствует о том, что данные для обзвона мошенники получают в результате утечки баз, которыми оперируют специалисты по маркетингу — в самом банке или у подрядчика.

«Банки начали уделять внимание информационной безопасности операционных подразделений, что вызвало снижение объема утечек и рост цен на базы их клиентов на черном рынке, — комментирует гендиректор DeviceLock Олеся Ярмоленко. — Но это, в свою очередь, привело к росту утечек из подразделений, работающих с похожими данными, но не включенными в основной периметр безопасности. Особенно эта проблема касается компаний-аутсорсеров процесса привлечения клиентов».

Поскольку банки стали чаще прибегать к услугам сторонних компаний, специалисты по защите от утечек советуют финансистам обратить внимание на проблему В частности, кредитно-финансовым организациям рекомендуется в интересах клиентов распространить стандарты информационной безопасности, включая использование DLP-систем, на своих подрядчиков.

По оценке DeviceLock, в 2020 году количество утечек данных увеличилось на 30%. В этом году аналитики ожидают двукратный рост этого показателя — из-за новой волны ковида.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Атака Mice-E-Mouse: прослушка через геймерскую мышь

Исследователи из Калифорнийского университета в Ирвайне доказали, что высокопроизводительная оптическая мышь вроде Razer Viper может слить на сторону секреты, озвученные пользователем во время работы на компьютере.

Разработанная ими атака Mic-E-Mouse полагается на высокую частоту опроса и чувствительность датчиков мыши, способных улавливать вибрации рабочей поверхности, создаваемые акустическими волнами.

Для сбора таких данных в сыром виде использовался опенсорсный софт, для их очистки — цифровая обработка сигналов, для анализа и воссоздания речи — ИИ-модель Whisper разработки OpenAI, обученная на готовых наборах аудиозаписей (англоязычных).

 

Тестирование показало точность распознавания от 42 до 62%; этого достаточно для скрытной прослушки, и микрофон в этом случае не понадобится.

Наиболее уязвимы к Mice-E-Mouse оптические мыши 1-8 кГц, оборудованные датчиками с разрешением 20 000 DPI (точек на дюйм) и выше.

В качестве сборщика сырых данных годятся видеоигры, приложения для творчества и прочий высокопроизводительный софт. Злоумышленнику придется лишь получить к нему доступ, а обработку и реконструкцию можно выполнять удаленно и в удобное время.

 

Издавна известно, что беспроводные мыши также уязвимы к Mousejacking — подмене пользовательского ввода с целью развития атаки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru