В октябре на черном рынке оказались персональные данные клиентов одного из крупнейших российских банков. Продавцы заявили, что обладают данными о 60 миллионах кредитных карт — как действующих, так и закрытых.
Информация об утечке быстро распространилась. Компания нашла виновного — 28-летнего сотрудника «одного из бизнес-подразделений», тот сознался. Как сообщали СМИ, у работника был доступ к базам данных клиентов и он пытался украсть информацию «в корыстных целях». Банк признал утечку учетных записей кредиток 200 клиентов, а потом и пяти тысяч клиентов одного из отделений.
В конце месяца ситуация повторилась. Подозреваемый — сотрудник Национальной службы взыскания из Волгограда. НСВ работала с рядом крупных финансовых организаций. Пока подтверждена лишь одна попытка продажи базы данных. Молодой человек арестован до 24 декабря.
Коснулось ли это реальных клиентов
«МК в Рязани» поступила информация от горожан, которые столкнулись с тем, что о них знают больше, чем они рассчитывали.
Так, одной из жительниц Рязани звонили с городского номера: он заканчивался теми же цифрами, что и телефон горячей линии банка. Звонившая представилась сотрудником технического отдела, назвала ФИО клиентки и сумму, лежащую на карте (совпала с действующем остатком), предупредив о якобы странной транзакции: «Мы заметили странную операцию по переводу денежных средств с карты. Для блокировки операции я сейчас отправлю вам код, вы мне продиктуйте его и я заблокирую карту». Клиентка заподозрила неладное, положила трубку и решила сама перезвонить в банк.
Предположительно, это были обладающие персональными данными мошенники, которые хотели таким образом войти в мобильный банк, а якобы «код от банка» — не что иное, как код подтверждения для входа в личный кабинет.
В другом случае клиенту банка пришли пять СМС с кодом безопасности с комментарием, что поданная заявка на кредит одобрена — хотя человек никаких заявок не оставлял. Оказалось, что мошенники вошли в его личный кабинет, взяли кредит, но не успели перевести деньги между счетами и снять. Мужчине удалось вовремя заблокировать карту.
Что делать
Финансовые страсти октября улеглись, но осадок остался, и успокаиваться не следует. «МК в Рязани» решил еще раз предостеречь читателей. Представители областного отделения Центробанка (он отвечает за банковскую кибербезопасность) дали конкретные рекомендации и инструкции.
Важно: в 2018 году более 97% хищений со счетов физических лиц и 39% — со счетов фирм совершены с использованием приемов социальной инженерии. Смысл — напугать, заинтриговать, запутать, то есть сыграть на эмоциях и незнании ситуации, а потом потребовать мгновенно принять решение — сообщить персональные данные, данные карты или самому перевести деньги на счет мошенника.
Схемы мошенничества
Один из классических методов злоумышленников выглядит так. С неизвестного номера приходит СМС: «Пополнение баланса на сумму N». Сообщение выглядит как традиционное письмо от банка. Затем звонит неизвестный и уверяет, что случайно перевел деньги, просит их вернуть. Многие в этот момент не проверяют, ни с какого номера пришло сообщение, ни изменился ли счет, а просто перечисляют ту сумму, которую просит злоумышленник.
Очень распространена ситуация, когда человеку якобы пишет официальная организация — банк, налоговая, магазин. В зависимости от того, кем представляется преступник, меняется легенда. Он может говорить, что карта заблокирована, клиенту положена компенсация за ранее потерянные деньги или он что-то выиграл. В СМС или электронном письме будет ссылка. Перейдя по ней, вы откроете злоумышленнику доступ к виртуальному кошельку. Это пример так называемого фишинга.
Также популярна схема, когда мошенник представляется сотрудником банка и сообщает, что держателю карты одобрен кредит, но, чтобы его получить, нужно перевести некую сумму в качестве страхового депозита, комиссии. Некоторые делают по 3-4 таких платежа в адрес злоумышленника, пока не осознают окончательно, что никакого кредита они не получат. Важным признаком мошенничества здесь будет то, что «клерк» под любым предлогом просит деньги за еще не оказанную услугу. Вариант предлога — блокировка карты.
Не так давно появился новый вид мошенничества — с использованием виртуальных АТС. Мошенники меняют номер на действующий номер кредитной организации. Затем следует звонок клиенту якобы с официального номера, и в разговоре у жертвы под разными предлогами узнают информацию о платежной карте: номер, срок действия, трехзначный CVC-код, PIN-код.
Встречаются и сайты, которые призывают узнать, есть ли карта в базе данных хакеров. Создатели порталов позиционируют себя как борцов с мошенниками. Посетителю предлагается ввести номер карты и трехзначный CVC-код, в некоторых случаях после этого на телефон владельца приходит СМС с цифрами, которые тоже нужно ввести. Сообщая эти данные, человек как раз и позволяет мошеннику получить доступ к счету.
Жители Рязанской области сталкивались практически с каждым из данных видов мошенничества.
За гранью морали
Если раньше преступники использовали одну и ту же легенду для всех, то сегодня они получают информацию о конкретном человеке через соцсети. И уже знают, как зовут кошку, когда человек родился — а ведь все эти данные люди нередко используют в качестве пароля.
Некоторые мошенники выходят за все границы морали. Они взламывают страницы пользователей соцсетей и начинают рассылать сообщения о смерти кого-то из близких родственников владельца аккаунта — как правило, родителей или супругов. Одновременно в качестве аватарки устанавливается свеча, меняется статус.
После получения слов соболезнования начинается вторая часть циничного спектакля. Мошенники просят «взаймы» несколько тысяч, оговаривают срок, в который обещают вернуть деньги. Средства предлагается перевести на карту или счет виртуального кошелька. Ставка делается на то, что людям, получившим сообщение, будет неудобно перезванивать «пережившему горе» знакомому.
Мошенников стало больше
Увеличение финансовых потерь от кибератак — мировой тренд. Схемы обмана постоянно обновляются, раз в три-четыре месяца мошенники корректируют направление деятельности, хотя цель остается той же — похищение чужих средств. Основной источник несанкционированных операций сегодня — интернет.
Объем несанкционированных операций с использованием карт российских банков в 2018 году достиг 1,384 млрд рублей. Количество мошеннических сайтов (лжеопросы, лжекомпенсации, лжевыигрыши и так далее) с прошлого августа выросло в семь (!) раз.
Существенно участились и сообщения о телефонах, которые используют злоумышленники. За год по стране заблокировали без малого пять тысяч номеров мобильных операторов и номеров с кодом 8-800, задействованных в мошеннических СМС-рассылках, атаках, распространении вирусов.
При звонках «из банка»
Следует помнить, что настоящие сотрудники не запрашивают персональные данные, пин-код, код безопасности и прочие сведения, которые позволяют получить доступ к счету. Если поступил такой звонок, скорее всего, это мошенники.
Но если вы сами звоните в банк, его работник может попросить назвать определенные сведения (например, кодовое слово). Так он проверяет, что действительно говорит с конкретным клиентом, а не посторонним человеком.
Кибергигиена
Чтобы не лишиться средств, нужно соблюдать простые правила кибергигиены. Уточните у звонящего причину обращения, имя, фамилию и должность, а затем — завершите разговор и перезвоните по официальному номеру банка, указанному на сайте или на вашей карте.
При этом необходимо самостоятельно набрать номер, а не перезванивать на тот, с которого поступил звонок ранее — чтобы вновь не попасть на линию к мошенникам. Если в СМС, полученном якобы от банка, содержится ссылка, безопаснее не переходить по ней, чтобы не получить вирус или не попасть на фишинговый сайт.
Если деньги все-таки присвоили
Если пришло сообщение о списании средств с карты, но при этом никаких операций вы не совершали, в первую очередь необходимо лишить злоумышленника возможности управлять деньгами.
Для этого необходимо заблокировать карту, связавшись с банком, в котором открыт счет. Телефоны горячей линии обычно указаны на самой карте, на официальном сайте банка и в договоре обслуживания. Многие банки дают возможность заблокировать карту через свои официальные приложения.
Затем следует написать заявление в правоохранительные органы, а в банке — запросить выписку по счету и подать заявление о несогласии с операцией. Если спорная операция была совершена на территории Российской Федерации, заявление рассматривается в течение 30 дней, для международных операций срок вдвое больше.
На возмещение ущерба можно рассчитывать, если банк не докажет, что держатель карты нарушил условия ее использования, в том числе меры безопасности, и обратился в банк не позднее дня, следующего за днем получения уведомления о совершении операции.
За девять месяцев этого года в Центробанк поступило 15 жалоб от рязанцев на списание денежных средств с карт третьими лицами и 8 — на списание средств с расчетных счетов. Большинство заявлений переданы в правоохранительные органы. Единый телефон Центробанка для жалоб: 8-800-300-30-00.
Взгляд изнутри
Любая утечка оказывается в зоне пристального внимания профессионального сообщества, рассказал «МК в Рязани» председатель Ассоциации «Рязанский банкирский дом» Михаил Волков. Также он отметил, что региональные банки здесь занимают более выгодную позицию:
— Этот вопрос всегда находится в фокусе внимания всех банков. Если злоумышленники имеют доступ к базам данных, то банкиры видят в этом угрозу для интересов самого банка: охраняя свои активы, они заинтересованы в том, чтобы охранять тайну клиентов. Что для этого делается? Комплекс мероприятий: разделение систем доступа, баз данных, разграничение полномочий, внутренние проверки и внешний аудит систем безопасности.
Но на сто процентов исключить такие случаи невозможно. Основная проблема любой, не только банковской, системы информационной безопасности — человеческий фактор. Человек, имеющий доступ к массиву информации и способный злоупотребить служебным положением, — это самое слабое звено.
Думаю, утечки будут и впредь. В информационном мире возникает все больше возможностей для злонамеренного использования персональных данных, и банки, имея обязанность хранить большой объем такой информации, представляют интерес для определенных личностей с криминальными или просто хулиганскими намерениями.
К слову, региональные банки в этом плане менее интересны злоумышленникам, чем федеральные: трудоемкость получения доступа к базе сопоставима, а ее объем — на порядки меньше. Более того, в региональных банках применяются уникальные системы безопасности и контроля, и здесь как с машинами: крафтовая сигнализация требует от угонщика больше времени, чем типовая, а значит, выше шансы, что он ее бросит из-за риска быть обнаруженным.
Так что наши небольшие размеры и применение, что называется, самодельных систем безопасности здесь являются неким конкурентным преимуществом. Но, конечно, это не повод для самоуспокоения. Любой инцидент — повод для банков пересмотреть свои модели угроз и те комплексы мероприятий, которые этим угрозам противопоставлены.
