Тайное становится слитым: мошенники завладели данными о тратах граждан
Россияне жалуются на звонки мошенников, имеющих полный доступ к счетам и тратам клиентов. Кроме уже привычных ФИО или адреса на руках у злоумышленников оказалась информация об актуальных суммах на картах и расходах вплоть до самых «свежих» операций. В основном о таких случаях на одном из форумов рассказывают клиенты Альфа-банка, «Известия» ознакомились с публикациями и комментариями пользователей. В Газпромбанке подтвердили, что получают аналогичные жалобы от своих клиентов. Столь подробная информация у третьих лиц — скорее всего, результат внутренней утечки данных, считают эксперты.
Известно всё
Информация о фактической сумме на счете и всех расходах, включая самые последние, оказалась на руках у мошенников, жалуются пользователи портала VC.ru. Один из участников площадки рассказал о звонках якобы от имени сотрудников Альфа-банка. В середине августа он оформил кредитку в этой организации, а в начале ноября ему позвонили и сообщили о подозрительных операциях, совершенных в Сочи, а также привязке к карте другого номера телефона. Услышав от клиента, что карта в порядке, «сотрудники банка» предложили всё же перевыпустить ее или перевести деньги на «надежный счет», пишет он.
Но самое главное в этой истории то, что злоумышленникам было известно количество средств на карте вплоть до копеек, а также суммы последних покупок, сделанных за час до звонка, подчеркнул автор публикации. Также отмечается, что номер, с которого совершался звонок, был идентичен указанному на официальном сайте банка. Мужчина признался, что перевел на счет в другой организации 85 тыс. рублей.
Другой пользователь поделился схожим кейсом, также связанным с Альфа-банком. По его словам, на второй день после начисления первой получки по зарплатному проекту мошенники позвонили пятерым сотрудникам его компании. Назвав им точный баланс до копейки, они пытались обмануть клиентов разными способами.
О столкновении со злоумышленниками, которые знали обо всех операциях по карте, рассказывает еще одна пользовательница портала. По ее словам, две недели назад ей также звонили и выслали код, чтобы якобы отвязать чужой номер, который пытается сделать перевод. SMS-уведомление поступило с того же номера, что обычно приходили от Альфа-банка, пишет участница дискуссии.
В Альфа-банке не ответили на запрос «Известий» о жалобах клиентов на подобные случаи и причинах их возникновения. В то же время одна из крупнейших организаций — Газпромбанк — фиксирует обращения со стороны своих клиентов на наличие у злоумышленников актуальной информации о сумме на карте и всех тратах ее владельца.
Подтверждения того, что на руках у мошенников находятся данные, составляющие банковскую тайну, нет, подчеркнул замглавы департамента защиты информации Газпромбанка Алексей Плешков. При этом источником утечки информации могут быть как базы данных скомпрометированных торговых площадок в интернете, так и работники магазинов, передавшие за вознаграждение журналы клиентских операций третьим лицам, не исключил он. В МКБ, Росбанке и Почта Банке сказали, что жалоб на подобного рода схемы не получают.
— Такие данные могут оказаться в руках мошенников только в одном случае — если происходит внутренний фрод в банке. То есть сотрудник с доступом к базе трансакций продает их в даркнете, — уверен вице-президент Почта Банка Станислав Павлунин.
Скорее всего, речь идет не о новых технологиях, а об обновленном скрипте социнженеров, которые незаметно для человека выпытывают у него информацию об остатке на счете, допускает директор департамента информационной безопасности МКБ Вячеслав Касимов. Он добавил: сегодня мошенники научились подменять телефон дважды, в результате чего настоящий номер не может определить даже сотовый оператор. Сервисы с подобными услугами широко представлены в Telegram и на профильных сайтах за пределами Рунета, отправка SMS происходит также через подставные каналы в Сети, уточнил Алексей Плешков.
Защитный механизм
В ЦБ «Известиям» сказали, что методы социальной инженерии остаются основным инструментом злоумышленников для хищения денег у граждан, а телефонное мошенничество — одним из их главных каналов. За январь–сентябрь 2021-го поступило около 3,8 тыс. жалоб на подобные операции. По итогам первого полугодия на блокировку направлены 18 тыс. номеров, используемых в противоправных целях, сообщили в регуляторе.
Столь подробный объем информации может свидетельствовать об утечке, считает аналитик по информационной безопасности Positive Technologies Яна Юракова. Впрочем, она добавила, что для сбора клиентских данных зачастую анализируются и открытые источники. В таких схемах не может участвовать только один сотрудник — как правило, это целая сеть, работающая в разных департаментах, уверен ведущий юрист компании «Парфенон» Павел Уткин. По его мнению, вместе с усилением внутреннего контроля за безопасностью необходима и «чистка» в некоторых банках.
Организовать утечку информации по трансакциям и остаткам на счетах крайне тяжело, так как уровень безопасности в финансовых организациях один из самых высоких в коммерческой индустрии, считает доцент РАНХиГС Алексей Катрич. Поэтому, полагает он, нельзя говорить о широком масштабе такого мошенничества.
— В рамках УК за незаконное разглашение коммерческой и банковской тайн (к ним относится информация об операциях и счетах. — «Известия») предусмотрено наказание до семи лет лишения свободы. Но для сотрудников кредитных организаций всё заканчивается штрафом до 1 млн рублей и условным сроком, — отметил Павел Уткин. — В РФ более 70% сливов происходит по вине работников банка, что вдвое выше среднего показателя в мире.
От лица кредитной организации могут звонить сотрудники службы фрод-мониторинга для подтверждения легитимности операций по картам. Но эти люди никогда не будут запрашивать конфиденциальную информацию в виде кодов подтверждения, номеров карт и других данных, предупреждает Яна Юракова. При подозрительных звонках эксперт советует положить трубку и самостоятельно набрать номер банка, указанный на обратной стороне карты или на официальном сайте организации.