Контакты
Подписка 2025
ТБ Форум 2025
Отечественные ИT-платформы и ПО для объектов КИИ. Онлайн-конференция | 6 марта 2025
Регистрируйтесь и участвуйте!

Мошенники похищают деньги канадских налогоплательщиков с помощью украденных у компании данных

01/11/24

images - 2024-11-01T144554.360

Канадское налоговое агентство (CRA) столкнулось с серьёзной киберугрозой, в результате которой мошенники получили доступ к данным тысяч налогоплательщиков. В ходе расследования стало известно, что злоумышленники использовали конфиденциальные данные крупной налоговой компании H&R Block Canada, чтобы получить доступ к личным аккаунтам канадцев в CRA и похитить более 6 миллионов долларов через поддельные налоговые возвраты, пишет Securitylab.

Мошенники не только получили доступ к личным данным, но и изменили банковскую информацию на счетах пострадавших, чтобы перевести деньги себе. Так, в одном случае злоумышленники указали поддельный адрес на несуществующей улице, что помогло скрыть махинации. По словам профессора права Андре Ларо из Университета Лаваля, ситуация демонстрирует серьёзные пробелы в безопасности CRA.

Источники сообщают, что после этого инцидента CRA обратилась в офис министра доходов Канады Мари-Клод Бибо. Агентство подготовило комментарии для СМИ, но публичного оповещения об инциденте не последовало, и министерство предпочло не раскрывать детали, включая сведения о времени и масштабах нарушений конфиденциальности.

Компания H&R Block отрицает причастность к утечке данных, утверждая, что их внутреннее расследование не выявило компрометации собственных систем безопасности. При этом CRA не смогло установить личность злоумышленников, но исключило возможность внутреннего проникновения. Имена источников информации не разглашаются, так как они не уполномочены комментировать ситуацию публично.

Согласно отчёту в парламенте, в 2024 финансовом году агентство зафиксировало резкое увеличение числа утечек данных — более 31 тысячи нарушений конфиденциальности, затронувших 62 тысячи налогоплательщиков. Несмотря на серьёзные масштабы угрозы, CRA официально доложило о нарушениях уже после окончания отчётного периода, что вызвало вопросы среди общественности и экспертов. Само агентство заявляет, что при выявлении утечки пострадавшим предлагаются меры по защите кредитной истории и другие защитные услуги.

Эксперты отмечают, что CRA действует по принципу «платить и разбираться потом», что позволяет злоумышленникам оперативно получать средства, пока агентство пытается обнаружить и предотвратить махинации. Согласно источникам, подобный подход привёл к многомиллионным потерям из-за мошенничества, однако агентство утверждает, что такие практики «повышают оперативность» работы.

В ходе расследования стало известно, что сотрудники CRA обнаружили утечку данных H&R Block через публикации на теневых онлайн-ресурсах, где предлагались украденные данные. Таким образом, киберпреступники использовали доступ к электронной системе компании для изменения информации о банковских счетах налогоплательщиков.

На текущий момент CRA утверждает, что приняло меры по ужесточению защиты данных и онлайн-сервисов, однако темпы борьбы с мошенниками всё ещё вызывают вопросы. Представитель агентства Ким Тиффо отметил, что CRA адаптирует свои системы безопасности в ответ на растущие угрозы, однако критика в сторону агентства продолжается, поскольку мошенники продолжают использовать слабые места системы в свою пользу.

Темы:Персональные данныеналогиПреступленияКанада
КИИ
Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Регистрируйтесь и участвуйте 6 марта 2025
Статьи по темеСтатьи по теме

  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.
  • Новогодние рецепты против оборотных штрафов
    Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек.
  • Рецепты от стагнации и формализма в защите ПДн
    В конце 2024 г. гипотетический эксперт по защите ПДн с профильным высшим образованием и многолетним опытом работы в отрасли мог бы сделать недвусмысленный вывод о полной незащищенности персональных данных граждан РФ. Почему так? Потому что наборы данных, идентифицирующие практически каждого россиянина, с высокой долей вероятности уже утекли в Интернет в период с 2022 г. по настоящее время. Наборы утекших ПДн накапливаются в Даркнете и трансформируются злоумышленниками под конкретные задачи в рамках какой-либо схемы мошенничества.
  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Что нужно знать про новые штрафы в области ПДн?
    Валерий Нарежный, к.э.н., советник юридической фирмы “Городисский и Партнеры”
    В сфере обработки ПДн в России произошли серьезные изменения – приняты поправки в УК РФ и КоАП РФ, направленные на повышение ответственности организаций и физических лиц за нарушения.
  • Персональные данные на корпоративных мероприятиях: что скрывается за кадром
    Алексей Майоров, юрист в области информационного права юридической компании Lukash&Partners
    В преддверии новогодних корпоративов для многих организаций становится актуальным вопрос избегания штрафов при размещении фотографий, полученных при проведении мероприятия.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Кибербезопасность инфраструктуры, данных и приложений. 7 марта 2025
Регистрация →

Еще темы...

More...