Релокация данных: инсайдерам в банках за слив предлагают переезд

Сотрудников российских банков стали под новым предлогом вербовать в даркнете и Telegram-каналах — им обещают релокацию в западные страны. Об этом «Известиям» сообщили два источника в финансовой сфере, информацию подтвердили в «РТК-Солар» и DLBI. В ЦБ подчеркнули, что кредитные организации обязаны ограничивать перечень сотрудников, имеющих доступ к чувствительной информации. Инсайдеры могут достать необходимые для телефонных мошенничеств данные россиян, а также предоставить доступ к системам организации для проведения хакерской атаки. Почему расплата в виде релокации оказывается обманкой — в материале «Известий».

Предлоги меняются

О том, что сотрудников кредитных организаций стали вербовать под предлогом релокации, рассказали «Известиям» два источника на банковском рынке. Один из них отметил, что инсайдеров покупали всегда, но предложение релокации — это новшество.

Другой источник в крупном банке подтвердил, что подобные предложения встречаются в даркнете, предупредив, что сотрудники таких организаций могут согласиться и предоставить доступ к данным организации в обмен на релокацию. Нужно усилить контроль за поведением работников, подчеркнул он.

«Известия» направили запрос в крупнейшие российские банки.

Эту информацию «Известиям» также подтвердил директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Владимир Дрюков. По его словам, инсайдеров в банках, которых собираются завербовать для получения конфиденциальных сведений о работе кредитной организации или для участия в кибератаке на нее, стали заманивать релокацией в западные страны. Эксперт уточнил, что такие предложения встречаются в хакерских Telegram-каналах. Помимо помощи с переездом россиянам также предлагают оформление паспортов других государств.

— Хакеры работают «по потребности». Они формируют вознаграждение в том формате, в котором оно может быть интересно соискателю, — отметил Владимир Дрюков.

По его словам, в 2022 году возникали случаи, когда инсайдеры принимали участие в атаках на банки, и это приводило к успешному развитию хакерской атаки. Однако трудно сказать, какого рода вознаграждение им было обещано и что они получили. Размещать подобные предложения могут как отдельные хакеры, так и профессиональные группировки разной мотивации и принадлежности.

Кроме того, важно, что в этом году в целом изменился ландшафт киберугроз, подчеркнул эксперт. Если раньше теневые действия злоумышленников были коммерциализованы и хорошо монетизировались, то начиная с марта основной целью стало нанесение наибольшего вреда российским компаниям. Огромное количество инструментов для совершения атак и всевозможных баз слитой информации было выложено в открытый доступ с комментариями, предлагающими воспользоваться данными для нанесения ущерба.

— Также цель многих атак — получение списков сотрудников с должностями, аккаунтами, контактными данными. Это нужно для дальнейшего использования в задачах социальной инженерии. При солидном вознаграждении для части внутренних сотрудников продажа такой информации — большое искушение, — пояснил Владимир Дрюков.

Переезд не удастся

Предложение с вербовкой банковских инсайдеров под предлогом релокации в западные страны в Telegram-каналах также встречал основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Он рассказал «Известиям», что на теневых форумах таких предложений мало, так как более или менее профессиональным злоумышленникам подобная эмиграция неинтересна.

— Такие предложения размещают в основном украинские хактивисты, которые в принципе генерируют много странного контента. Западным хакерам вряд ли интересен доступ к российским банкам, так как вывести средства из них сейчас крайне трудно, — полагает Ашот Оганесян.

В ЦБ сообщили «Известиям», что в нормативных документах установлены требования к банкам и некредитным финансовым организациям по обеспечению информационной безопасности. Они предписывают внедрение многоступенчатой системы защиты чувствительных данных, а перечень сотрудников, имеющих доступ к ней, должен быть строго ограничен, подчеркнули в регуляторе.

Разумеется, предложение релокации — это лишь приманка, заявил директор технического департамента RTM Group Федор Музалевский. Он подчеркнул: стоимость базы, которая утекает к злоумышленникам, как правило, существенно ниже той суммы, которая потребуется для организации переезда по всем правилам.

— За время расследования подобных инцидентов установлено, что инсайдеры получают лишь незначительные суммы в денежном эквиваленте, а в каждом пятом случае злоумышленники вообще сдают их службам безопасности. Исключение могут составлять кейсы, когда речь идет о необходимости организовать направленную дорогостоящую атаку на конкретного клиента (или клиентов) банка, и договариваются тогда уже не с рядовыми сотрудниками, — отметил Федор Музалевский.

Инсайдеров могут вербовать для получения баз, чтобы прозванивать клиентов, или доступа к данным организации, пояснил руководитель отдела анализа и оценки цифровых угроз Infosecurity a Softline Company Константин Мельников. Он уточнил: хакеры готовы платить деньги за нужную информацию или возможность попасть в систему компании, если самостоятельно это сделать не получается.

Наталья Ильина

Опубликовал: Александр Абрамов (info@ict-online.ru)

Рубрики: Безопасность

Ключевые слова: информационная безопасность