В одном из моих отечественных банков у меня есть так называемый "контактную агент клиента. Этот человек уже объявил свое назначение мне в два раза, с недели Aparts. "Поздравляем, вы были назначены новый «контакта с клиентом агента». И сегодня, во всем своем рвении угодить свой работодатель, он прислал мне предложение для «свободного» семинара, где я мог бы узнать больше о пенсионных планах. Как ни странно, на мой электронный почтовый ящик, там была другая электронная почта от одного контакта через 2 часа, заявив, что предыдущий адрес электронной почты был отозван. Очевидно, что это не работает или какое-либо воздействие на моего клиента электронной почты, и я предполагаю, что это не имело никакого эффекта в несколько сотен других клиентов, получающих тот же адрес электронной почты.

После дальнейшего осмотра я увидел, что все отделение банка корпоративных клиентов по иным видят CC электронной почты. ВСЕ ОНИ. Многие с именем лица, ответственного за банковский материал, с названием компании позади, как average.joe@lawyerfirm.com.

Во-первых, банк никогда не должен разглашать информацию третьим лицам кроме случаев, когда это требуется по закону. Поэтому я сразу же позвонил в банк и попросил о разговоре с руководителем IT-безопасности, после многих-х годах fiddeling вокруг в приемной, я наконец-то прошел через какой-то человек, который абсолютно не имел ни малейшего понятия, но кто взял мой номер и имя, а затем руководитель филиала перезвонил через несколько минут.

Единственное, что он мог сказать об инциденте в том, что ему было стыдно и очень жаль, но ущерб уже был нанесен. Я рассказал ему, как передаваемую информацию можно использовать в многочисленных фишинговых сценариев, и как легко извлекать информацию из других источников в Интернете, давая имя контактных лиц, название компании, и какой банк они используют. Учетные записи электронной почты могут быть взломаны, и хакер может получить доступ к информации, которая может быть использована в новых диалогах электронной почты с банком, или продолжением диалогов. Со всей информацией, которая может быть почерпнутые из такой протечки, умный социальной инженерии можно было бы использовать для денежной выгоды, а также.

Я попросил банк немедленно удалить мой выделенный «контакта с клиентом агента» и блокировать все его доступ к своим счетам. Я ошеломлен, что серьезное финансовое учреждение не в состоянии обеспечить информацию клиентов лучше, чем это. Проверка в моем онлайн банковский счет, не было даже упоминания о моей электронной почты, который я сразу же меняется на другой, так что это означает, что банк хранит свою электронную почту в некоторых других внутренних систем, а также, что я не имеют шансов изменить.

В этом банке использует генератор пин-код для входа в системе, а также специальное имя пользователя для каждой учетной записи, которые оба отправляются по почте без другого подтверждения, я задаюсь вопросом, если злоумышленник просто не мог утверждать, что он забыл свой PIN-код, а затем попросить новый пин генератора отправленного в адрес своего выбора, или он может представлять в банк и попросить клиента послать генератор пин к «безопасности компании» цитировал что-то не так с безопасностью генератора контактном и это необходимо адресовано. Возможно, это было бы мертвы поддавки, но если кто-то звонит и адреса клиента по имени, и представить себя в качестве «администратора безопасности» банки, я думаю, что некоторые из них могут быть обмануты.

Или какой-то умный хакер может просто сделать атаку человек-в-браузере и распространять код для клиентов через некоторые недавние подвиги.

Требования банка они никогда не могут делать какие-либо денежные переводы, инициированные общения по электронной почте, но мне интересно, если все бесчисленные банковские клерки придерживаться этого правила, особ. для клиентов, что они уже имеют высокий уровень доверия.

Если атакующий изменить физический адрес владельца банковского счета, я думаю, он мог бы иметь новый пин-код генератор и отправлен на этот адрес, а также. С мул счета, деньги быстро может быть извлечена из банкомата, чистенько мул.

Некоторые не-тек люди могут преуменьшить серьезность этой проблемы, но я думаю, что это очень серьезно, и что это показывает, что банк не имеет достаточно хорошие процедур, чтобы иметь дело с данными о клиентах. Я также задаюсь вопросом, как «клиент контакт агент» произошло, чтобы вставить все эти сотни адресов в CC-поле. Он извлечь его из какой-то внутренней системы, в которой он ставит заметки, на которых клиенты «трюк» рядом, то есть. продавать негодные продукты по завышенным ценам и так далее. Может быть, он просто хранить все АДРЕСА в слово-документ?

Я думаю, что серьезный банк никогда не должен иметь инцидент, как это, и на самом деле должны быть технические меры, в месте, которое помешало ему происходит в первую очередь. То есть. если сотрудник банка должен отправить по электронной почте к группе людей, то это должно быть добавлено к программе электронной почты по ИТ, так клерк просто необходимо выбрать «корпоративные клиент», а затем сообщение будет идти, как ОЦК к каждому из этих клиентов. Там не должно быть возможности для банковского служащего наклеить сотни сообщения электронной почты в CC или TO поле и нажмите кнопку отправить.

Я думаю, что это очень дилетантский, а не то, что можно было бы ожидать от профессионального финансового института.

Для тех, кто хочет копию по электронной почте я получил, я не буду давать его, так как я не хочу, чтобы способствовать эскалации проблемы.

Но это только доказывает, что это не только amateruish Bitcoin магазинов, которые трахают вверх. Даже крупные банки несколько миллионов долларов, не сильнее, чем их слабое место самый некомпетентный сотрудник.