
«Паспорт» за 35 рублей
Дата публикации: 17 февраля 2020 года
На теневых форумах появились новые объявления о продаже персональных данных клиентов Сбербанка. На этот раз обнаружились сразу два «лота» — с 20 тыс. и со 100 тыс. строк. При этом анализ экспертов показал, что сведения не совпадают с ранее выставленными на продажу — это говорит о том, что утечка новая. По словам продавца он готов выгружать по 10 тыс. новых записей еженедельно и продавать каждую строку по 35 рублей.
В распоряжении известной российской газеты оказался тестовый фрагмент базы из 10 записей. Каждая содержит название банковского подразделения, полные ФИО, номер счета, паспортные данные, даты рождения и телефоны граждан. Судя по сокращенному названию подразделения многие клиенты получали карты в Республике Башкортостан — серия паспорта совпадает с кодовым номером (ОКАТО) региона.
Итак, журналисты проверили номера телефона по сервису «Сбербанк Онлайн», где при введении номера можно увидеть имя, отчество и первую букву фамилии. Шесть из десяти записей совпали, еще три оказались не привязаны к приложению, один телефон показал другое имя. По указанным номерам удалось дозвониться до четырех клиентов: все подтвердили имя и дату рождения. Еще два номера оказались недоступны, остальные не ответили на звонки.
Теперь о главном: как не совсем добросовестные люди могут воспользоваться Вашими данными?
В первую очередь ими могут воспользоваться умелые социальные инженеры. Набор персональных и банковских данных (номер карты, ФИО, дата рождения, номер телефона) не позволяет мошеннику похитить деньги со счета или карты, но может быть использован для вишинга (телефонного мошенничества) и иных приёмов социальной инженерии, чтобы заполучить CVV-код, кодовое слово или код-пароль. Например, чтобы привязать Ваш мобильный банк к своему телефону. А там — руки уже развязаны.
Как это работает? Злоумышленники звонят с поддельных номеров (для этого используют специальные сервисы IP-телефонии с возможностью подмены номера либо просто маскируют его: вместо нулей – 000 – используют буквы – ООО, и т.д.), массово рассылают СМС или сообщения в WhatsApp и Viber от имени банка или подключают автоответчик, который сообщает о проблеме, а уже потом подключает к разговору «живого оператора» из колл-центра.
Например, можно запугать жертву сообщением о попытках взлома или подозрительной транзакции. Цель: в ходе разговора получить CVV или секретный код, присланный банком клиенту в СМС.
— Выудить в ходе разговора «кодовое слово», перевыпустить через сотового оператора сим-карту жертвы и активизировать онлайн-банкинг под новую симку — в итоге злодеи могут совершать любые финансовые операции, пользуясь счетом жертвы как своим.
— Под предлогом повышения мер безопасности уговорить жертву установить программу удаленного доступа на телефон или ноутбук. Цель: удаленно получить доступ в интернет-банкинг и отправить деньги на счета мошенников.
Если в конце 2018 года и в начале 2019 года самыми популярными были первые две схемы, то сейчас чаще всего мошенники используют последнюю. Будьте бдительны.
Кстати, второе объявление о продаже данных клиентов Сбера на 100 тыс. строк под сомнением: веских доказательств подлинности этой информации нет, потому что продавец не предоставляет тестовый фрагмент. Еще один торговец, с которым удалось связаться, также не пожелал предоставить «пробник», заявив, что ищет «выход на колл-центр».
По данным МВД в прошлом году было зарегистрировано почти 43 тысячи случаев вишинга. В июне – августе ЦБ отправил операторам связи информацию более чем о 2,5 тысячи номеров, с которых поступали звонки клиентам банков, но лишь 200 номеров были заблокированы. В остальных случаях отказано «ввиду отсутствия правовых оснований».
Обезопасить себя от любых мощеннических действий довольно просто. Если неизвестный просит вас сообщить CVV (трехзначный код на обороте карты), кодовое слово или код из СМС, спокойно прервите разговор и сообщите в ваш банк, с какого номера поступил звонок. В отношении звонящих «сотрудников банка» нужно быть бдительными. Даже если разговор с кем-то, кто представился сотрудником банка, выглядит суперреалистично – никогда не сообщайте CVV, кодовое слово или код из СМС. Ни по телефону, ни в чате с банком.
Уточните, что будет делать ваш банк в случае перевыпуска сим-карты. Напишите заявление в салоне сотовой связи, запрещающее перевыпуск карты без вашего участия. Все это выглядит довольно просто, но люди-то попадаются. Поэтому живите осознаннее и будьте бдительнее. И никакие утечки Вам будут не страшны.
Еще больше ежедневных новостей читайте в нашей группе вконтакте vk.com/gruzoplaneta
ИНФОРМАЦИЯ ТРОНУЛА ВАШЕ СЕРДЦЕ? ПОДЕЛИТЕСЬ С ДРУЗЬЯМИ!