PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Банки получили поддельные запросы налоговиков США с просьбой раскрыть информацию о клиентах

Для российских банков начали реализовываться неожиданные риски американского налогового закона FATCA. По сведениям "Ъ", ряд игроков получили поддельные запросы налоговиков США с просьбой раскрыть всю информацию об американских клиентах и их счетах. Реагировать на такие запросы рискованно. Использование злоумышленниками полученных от банков данных в мошеннических операциях чревато не только ущербом для банковских клиентов, но и уголовной ответственностью для поддавшихся на провокации банков.

В распоряжении "Ъ" оказалось письмо, направленное в один из банков якобы от лица Службы внутренних доходов США (IRS) с ее несколько видоизмененной эмблемой. Данные получателя письма в нем затерты, но, судя по его шаблону, рассылка прицельная — с указанием GIIN банка (уникальный номер, присваиваемый при регистрации в IRS, есть в открытом доступе).

В письме на английском языке от банка требуется в максимально короткий срок предоставить по "защищенному" номеру факса или e-mail информацию о счетах состоятельных американских клиентов с остатками от $500 тыс. у физлиц и от $1 млн у компаний. К этому необходимо приложить пакет документов, который дает представление о деятельности клиента, его расчетах, личности и т. д. Среди них — анкета, копия заявления об открытии счета и выписка по нему за последние три месяца. К письму приложена модифицированная спецформа FATCA. В отличие от оригинала в ней требуется указать имя персонального клиентского менеджера, его телефон, факс, e-mail. Отсутствует в модифицированной форме и ссылка на сайт IRS для проверки подлинности документа.

"Основной признак фиктивности в том, что требовать какую-либо отчетность с банков IRS начнет лишь с 1 января 2015 года, и даже тогда IRS не может запросить, например, операции по счету",— отмечает руководитель группы в области систем комплаенс и ПОД/ФТ КПМГ в РФ и СНГ Дмитрий Чистов. Кроме того, единственный используемый IRS канал передачи информации — защищенное интернет-соединение, никаких e-mail и факсов служба не использует в принципе, добавляет он. В IRS на запрос "Ъ" о том, рассылались ли такие письма, вчера не ответили.

FATCA — американский налоговый закон, требующий от финансовых организаций-нерезидентов предоставлять в IRS информацию о счетах американских резидентов и лиц, ими контролируемых, и выступать налоговыми агентами по операциям получения доходов от источников в США.

Пока проблема не носит массового характера: в нескольких опрошенных "Ъ" банках сообщили, что такие письма не получали. Но, по словам господина Чистова, таких случаев уже несколько. При этом в официальной беседе банкиры отрицают возможность, что кто-то откликнется на такие письма. "На подозрения наводит канал передачи информации — факсом уже давно никто не пользуется,— отмечает начальник юридического управления Интерпромбанка Тарас Марченко.— Кроме того, есть сроки предоставления информации в IRS, и как минимум банк перед отправкой данных проверил бы, получали ли аналогичные запросы в других банках, и сверился с сайтом IRS". Помешать реализации таких схем должен заслон в виде ЦБ и Росфинмониторинга, которые банки по закону обязаны запрашивать перед отправкой информации в IRS, напоминает зампред правления банка "Новый символ" (первым объявил о присоединении к FATCA) Зоя Смирнова. "Но вспомнят ли об этом банки на практике, получив срочный "запрос" из IRS?" — рассуждает один из собеседников "Ъ". "Сейчас август, руководство в отпусках, а тут еще и санкции",— говорит другой банкир. Получатель такого письма, увидев эмблему IRS и слово "срочно" и вспомнив, что банк вроде как присоединялся к FATCA, из опасений "как бы нам не заблокировали корсчет" вполне может взять да и скинуть всю информацию, добавляет он. Кое-кто из банкиров после звонка "Ъ" всерьез решил проверить, не ответили ли на эти письма их подчиненные.

Оценить риски происходящего банкиры не берутся. По мнению председателя совета директоров "Золотой короны" Николая Смирнова, собирать такую информацию можно для кражи денег со счетов клиентов. "Позвонить клиенту, назвать детали его персональных данных, расчетов, которые он производил, и потребовать сообщить секретные данные в целях проверки или разблокировки счета — например, пароль для входа в интернет-банк или банк-клиент, если речь идет о юрлице",— рассуждает он. Возможны и более серьезные схемы, например подделка платежных распоряжений, отмена совершенных ранее сделок и перечисление средств на другие счета, опасается Дмитрий Чистов. "Данных для этого достаточно. Печать компании и подпись должностных лиц — все это попадает в пакет запрашиваемых сведений",— поясняет он. Кроме того, указывают эксперты, не исключен риск шантажа банка, опрометчиво предоставившего запрошенные данные, возможностью наступления уголовной ответственности за разглашение банковской тайны. Это в зависимости от причиненного ущерба карается лишением свободы до пяти лет, а с тяжкими последствиями — до десяти лет.

Источник: kommersant.ru

инцидент | банки | phishing | в мире
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры