فروش اطلاعات جعلی به بهانه افشاگری

به گزارش کارگروه بین‌الملل سایبربان؛ به‌تازگی ایلیا ساچکوف (Ilya Sachkov)، مدیر شرکت بین‌المللی امنیت سایبری «Group-IB»، در مصاحبه با خبرگزاری ریا نوواستی (RIA Novosti) بخش اعظم افشاگری‌های بانکی را نامعتبر و بزرگنمایی دانسته و اعلام کرد کارشناسان بانک مرکزی طی نیم سال اول سال 2019، 13 هزار آگهی خریدوفروش داده‌های شخصی را گزارش کرده‌اند که 1500 مورد از آن‌ها متعلق به سازمان‌های مالی و اعتباری و ناشی از اقدامات خرابکارانه یکی از کارکنان و یا ضعف امنیتی سیستم‌های بانکی بوده است. او در این خصوص به افشای اخیر اطلاعات اسبربانک (Sberbank) اشاره کرد که در آن برخی کاربران در فروم‌های تخصصی که توسط روسکام نادزور (Roskomnadzor)، سازمان نظارت بر ارتباطات، فناوری اطلاعات و رسانه‌های جمعی روسیه فیلتر بوده مدعی شده بودند داده‌های بیش از 60 میلیون کارت اعتباری را افشا کرده‌اند.

اسبربانک در بیانیه مطبوعاتی خود اعلام کرده بود نشت احتمالی داده‌های شخصی مشتریان و اطلاعات کارت‌های بانکی شامل  200 مشتری بانکی می‌گردد و تعداد کارت‌های صادر‌شده نیز تاکنون بیش از 40 میلیون نبوده است. درنتیجه تحقیقات بخش امنیت بانك با همکاری سازمان‌های انتظامی در 4 اکتبر 2019 مدیر یکی از بخش‌های تجاری بانک به سرقت و افشای اطلاعات 200 کارت اعتباری اعتراف کرده بود. ضمن اینکه بخش اعظم این اطلاعات غیرفعال و منسوخ بوده است. وجه مشتریان بانک نیز سرقت نشده بود. 

ساچکوف بیان داشت: « افشاگران در افشاگری‌های خود به‌شدت اغراق و بزرگنمایی می‌کنند. بسیاری از آن‌ها نمونه‌برداری کرده و یا داده‌های قدیمی و نامعتبر را که از چندین منبع جمع‌آوری کرده‌اند ترکیب می‌کنند. دسترسی به این داده‌ها امکان سرقت وجه از حساب یا کارت را به مجرمان سایبری نمی‌دهد، اما این اجازه را می‌دهد که اقدام به ویشینگ و مهندسی اجتماعی نمایند.» ویشینگ، یک حمله فیشینگ صوتی است که در آن یک مهاجم پشت نقاب کارمند بانک یک تماس صوتی با قربانی موردنظر می‌گیرد تا به‌نوعی وی را متقاعد به ارائه اطلاعات محرمانه کرده و به‌واسطه این اطلاعات اقدام به سرقت وجه نماید.