Angara Security: мошенники получают доступ к фискальным данным компаний

Специалисты отдела по защите бренда Angara SOC обнаружили новую схему мошенничества, нацеленную на компании, использующие услуги операторов фискальных данных (ОФД). Злоумышленники получают доступ к личным кабинетам клиентов ОФД, что позволяет им получать конфиденциальную финансовую информацию и персональные данные покупателей. 

Оператор фискальных данных — специализированная компания, которая предоставляет услуги по обработке и хранению сведений о платежах, поступающих от онлайн-касс. ОФД отвечает за прием, обработку, хранение и передачу фискальных данных от кассовых аппаратов и онлайн-касс до налоговых органов, за генерацию и передачу электронных чеков покупателям. Деятельность ОФД регулируется Федеральным законом №54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации». За нарушения требований закона предусмотрены административные штрафы.

Путем обмана пользователей злоумышленники получают доступ к личному кабинету клиента ОФД. Например, пользователю поступает звонок в WhatsApp от имени курьерской службы с просьбой подтвердить отправку или доставку заказа, для этого просят назвать пятизначный код, который приходит через СМС. Таким образом мошенник получает доступ в личный кабинет клиента ОФД, видит финансовое состояние компании (приход и расход, средний чек покупок, процент возвратов), суммы и даты покупок, персональные данные покупателей, налоговые отчисления, а также получает доступ к электронному документообороту.

Как отмечает Иван Захаров, эксперт по киберразведке Angara SOC, эта схема пока не получила массового распространения, но может привести к серьезным последствиям: «Злоумышленники нашли новый путь к данным онлайн-ритейлеров. Согласно российскому законодательству, все компании должны использовать контрольно-кассовые аппараты при расчетах с клиентами и потому подключены к сервисам ОФД (сайт ofd.ru). Новая схема пока не получила широкого распространения. Однако по мере накопления массива данных, полученных злоумышленниками через операторов ОФД от ритейла, можно будет говорить о потенциальной вероятности глобальной утечки данных. Что, согласно действующему законодательству, грозит компаниям огромными штрафами».

«Также злоумышленники могут прибегнуть к шантажу и требовать от организаций выкуп в обмен на неразглашение сведений об утечках, —продолжил Иван Захаров. Оператор фискальных данных в курсе участившихся инцидентов и собирает информацию о них для передачи регуляторам и правоохранительным органам».

Эксперты Angara SOC напоминают, что передача неизвестным лицам любой информации (имен, кодов), переход по ссылкам и QR-кодам, полученным через мессенджеры, электронную почту или соцсети от незнакомых контактов, чреваты потерей данных и доступов, могут привести к загрузке вредоносного ПО, а в последствии к остановке технологических и операционных процессов. Все это может нанести непоправимый вред бизнес-процессам и репутации организации.