Почему Сбербанк стал лидером по утечкам данных клиентов
Каждый месяц происходит около трех тысяч попыток кражи денежных средств с помощью программ, которые позволяют получить удаленный доступ к личным данным клиентов. Крупные банки теряют на этом до 10 млн рублей ежемесячно.
Рост краж во многом вызван стремлением финансовых организаций дать клиентам максимально удобный сервис и сократить время транзакций. Фактически перевести деньги на карту другому клиенту можно за несколько секунд. В этом и состоит главная уязвимость. В Европе, например, сделать мгновенный перевод зачастую невозможно — требуется подтверждение клиента и задержка во времени, которая позволяет избежать мошеннических действий.
На прошедшем форуме Финополис (ежегодный форум финансовых технологий) разгорелась настоящая дискуссия: удобство сервиса против безопасности. Быстрота платежей — залог успеха в жесткой конкурентной борьбе между банками. И Россия входит в число стран-лидеров по уровню развития финтеха. Но обратная сторона этого успеха — высокий уровень кибермошенничества в нашей стране.
Председатель ЦБ Эльвира Набиуллина даже заявила, что наличные платежи стали более безопасными, чем безналичные.
В России лидер по случаям воровства денежных средств с клиентских счетов — это Сбербанк. Это объясняется большой распространенностью: достаточно позвонить фактически любому человеку, и с большой долей вероятности он окажется клиентом этого банка. Именно поэтому мошенники при поиске уязвимостей изучают сервисы Сбербанка.
Еще одна причина воровства с карт — беспечность и техническая безграмотность самих пользователей. Мошенники не стоят на месте: они подделывают номера банков, получают информацию о клиентах и даже о денежном остатке на счетах. Этому помогают сливы со стороны сотрудников самих банков (за эти данные неплохо платят конкуренты, заинтересованные в поиске клиентской базы). Поэтому финансовые организации, кроме непосредственно защиты данных, должны вести борьбу с утечками информации, а также повышать грамотность среди пользователей сервисов.
Несмотря на все эти проблемы, представители банков (Петр Авен, Олег Тиньков, Герман Греф) заявили, что отката к наличным платежам в России не произойдет. Внедрение новых технологий, в том числе биометрических, усилит защиту платежей. Сбербанк, например, собирается вводить распознавание голоса своих клиентов. Текущие технологии позволяют за 10-15 секунд идентифицировать клиента по голосу, хотя некоторые участники форума высказали сомнение в безопасности этой технологии.
Другое предложение — искусственное занижение времени при переводах с карты на карту, чтобы у пользователей было время заблокировать платежи, и использование обратного звонка из банка для получения устного подтверждения перевода при значительных суммах.
Кстати, несовершенство технологий защиты персональных данных — одна из причин задержки внедрения в России электронных паспортов.
Еще в 2013 году предполагалось, что выдача начнется в 2016 году. Сейчас ожидается, что выдача начнется в 2021 году, но не исключено, что этот срок снова отодвинут.
Так как же обезопасить свои данные от киберпреступников? Всем понятно, что обеспечить полную защиту невозможно. Даже если пользователь максимально осторожен, устанавливает последнюю версию платного антивируса и не сообщает никому персональные данные и коды смс, нет гарантии, что не произойдет утечка баз данных или мошенничество со стороны сотрудников банков. Артем Сычев, первый заместитель директора департамента информационной безопасности ЦБ, то ли в шутку, то ли всерьез посоветовал вообще не пользоваться смартфонами и всегда перезванивать в банк в случае поступления странных звонков.
Другие участники Финнополиса рекомендовали пользователям «включать мозги» и соблюдать «кибергигиену». Одно известно точно: прогресс остановить невозможно, а значит противостояние снаряда и брони продолжится. И немалая роль здесь отводится самому клиенту. Не исключено даже введение специальных курсов по основам кибербезопасности на уроках ОБЖ в школе, потому что защита персональных данных становится важнейшим навыком в современном обществе.
Цена тайны. Как сотрудники Сбербанка сливают мошенникам данные клиентов
24-летний Виталий Будашов работал в Сбербанке старшим специалистом сектора обращений физических лиц. Весь день он решал денежные вопросы клиентов. И грустил: самому ему денег не хватало. Нужно было платить за съёмную квартиру и погашать кредит на машину. Плюс он попал в аварию — автомобиль надо чинить. На поездку к морю или новый телефон (у Виталия iPhone 5S) накопить было трудно.
И тогда он «в Интернете нашёл способ подзаработать», как следует из текста приговора, вынесенного Советским районным судом Нижнего Новгорода. В Сети есть специальные сайты, где можно найти быстрый заработок. На одном из таких порталов Виталий увидел объявление «с незаконным предложением покупки сведений, составляющих банковскую тайну».
Виталий согласился. Он сливал мошенникам всё, что они просили. Это номер карты, паспортные данные, адрес регистрации по месту жительства, срок действия карты, баланс, а также первые три буквы кодового слова клиента (остальные буквы Виталий не мог увидеть в системе).
Если вы думаете, что банковская тайна дорого стоит, то это не так. Банковские сотрудники готовы продать ваши данные всего за несколько тысяч рублей. Виталий, например, получил от мошенников такие суммы на свой «кошелёк» на «Яндексе» (отдельно за каждого слитого клиента): 500 рублей, четыре тысячи рублей, 500 рублей, 2,5 тысячи рублей, две тысячи рублей, две тысячи рублей, три тысячи рублей, 5,5 тысячи рублей.
«Хотел заработать 30–35 тысячи рублей, чтобы погасить все долги», — так Виталий объяснил свой поступок в суде.
В итоге после седьмого слитого клиента Виталия вычислила служба безопасности Сбера. Сотрудник службы подал заявление в правоохранительные органы. Суд оштрафовал Виталия на 100 тыс. рублей и запретил в течение двух лет заниматься банковской деятельностью.
«Я во всём раскаялся»
Фото: © РИА Новости/Владимир Трефилов
Лайф связался с Виталием в соцсети «ВКонтакте». Он сказал, что штраф уже выплачен. Свой кредит, из-за которого он пошёл на преступление, Виталий тоже закрыл — семья помогла. Он глубоко раскаивается в том, что «совершил ошибку».
— Ругал себя, понимал, что поступил неправильно, — сказал молодой человек. — До суда сильно похудел в связи с переживаниями. Сейчас всё равно какое-то волнение осталось. Но прежде всего это опыт. Опыт хоть и грустный, но полезный в плане того, как делать не надо. И что нужно жить правильно и зарабатывать честно и своим трудом.
Сейчас у Виталия новая жизнь. Молодой человек зарабатывает на пару с приятелем постройкой домов, беседок и бань. В банковскую сферу Виталий возвращаться не собирается. У него другие планы — закончить магистратуру и работать по специальности «антикризисное управление».
— Это специалист, который способен вывести предприятие из состояния кризиса или банкротства, — сказал Виталий. — Снижение финансовых рисков предприятия и предупреждение потерь.
Расценки на банковскую тайну
В Екатеринбурге у Виталия был коллега по фамилии Чилимов (в судебных материалах только инициалы, поэтому условно назовём его Алексей). Он работал старшим специалистом сектора обслуживания вызовов в Сбербанке.
К Алексею, как следует из текста приговора Орджоникидзевского суда Екатеринбурга, обратился мошенник, попросив предоставлять информацию об интересующих его клиентах. Чилимов согласился и раскрыл данные четырёх человек. Какую сумму он за это получил, в тексте приговора не сказано.
Поскольку в ходе следствия Алексей сотрудничал с правоохранительными органами и во всём признался, то суд в мае 2018 года назначил ему довольно мягкое наказание: год исправительных работ с удержанием 10% от заработка в доход государства.
В феврале 2018 года тот же суд приговорил старшего специалиста сектора обслуживания вызовов Сбербанка по фамилии Тарасов к штрафу в 150 тысяч рублей.
Как установило следствие, к Тарасову обратился злоумышленник (против него потом было возбуждено отдельное уголовное дело) и попросил за плату предоставлять информацию о некоторых клиентах.
Фото: © РИА Новости/Владимир Трефилов
«Всего в период с 11.03.2017 по 04.04.2017 Тарасов А. С. незаконно разгласил сведения, составляющие банковскую тайну ПАО «Сбербанк России». о тринадцати клиентах ПАО «Сбербанк России», систематически получая … денежное вознаграждение в общей сумме не менее 140 000 рублей», — говорится в материалах дела.
Это самая большая стоимость банковской тайны, которую нам удалось найти в судебных материалах. Обычно она продаётся гораздо дешевле. Продавцы — сотрудники не одного только Сбербанка (но они фигурируют в делах чаще всего, потому что это самый большой банк страны).
В марте 2018 года Засвияжский районный суд Ульяновска вынес приговор бывшему сотруднику «Бинбанка» по фамилии Розинько (в доступных судебных документах только инициалы, условно назовём его Виктор). Он работал специалистом группы по обслуживанию действующих клиентов.
Виктор слил мошенникам данные по трём клиентам и получил за это 16 тысяч рублей. Его приговорили к штрафу в размере 30 тысяч.
Зачем мошенникам ваши данные
Как рассказал глава некоммерческого партнёрства «Союз защитников информации» Александр Бражников, мошенники, получив данные банковского клиента, легко могут делать за его счёт покупки в интернет-магазинах.
— Есть ещё много интернет-магазинов, которые не требуют идентификации, то есть СМС с паролем, — сказал эксперт. — И поскольку мошеннику становится известен ещё и остаток на карте, то с выбором товара легче определиться. А если есть адрес регистрации, да ещё и кодовое слово, плюс известен номер телефона, то можно провести транзакцию без ведома владельца. Мошенник просто звонит в кол-центр банка и жалуется, что с «его» картой проблема и он хочет перевести деньги в другое место. Чем больше данных, тем проще украсть деньги.
Есть и более сложные схемы, которыми пользуются мошенники. Например, как рассказывал Лайф, недавно ГУ МВД РФ по Санкт-Петербургу и Ленинградской области накрыло преступную группировку, которая сначала узнала данные счёта VIP-клиентки, а потом обналичила часть денег. Причём в эту группировку входило четыре сотрудника Сбербанка.
По словам экспертов, от таких ситуаций порой невозможно себя защитить — этим должна заниматься служба безопасности банка. Но всё же есть несколько советов, которые помогут избежать неприятностей. Например, деньги лучше хранить не на карте, а на счёте.
— Когда деньги приходят на карту, переводите их на сберегательный счёт и по мере необходимости пополняйте свою карту. Не нужно держать большие деньги на них, — сказал он.
Если человек уже попал в такую ситуацию, нужно блокировать карту. Но практика показывает, что, пока карта заблокируется, пройдёт много времени. Лучше в онлайн-банке сразу перевести деньги или на другую карту, или на счёт.
— Однажды у моего знакомого украли ВИП-карту. Он позвонил в банк, чтобы карту заблокировали, — сказал эксперт. — Блокировка шла в течение часа. Этот человек зашёл в свой онлайн-банк и полностью списал деньги на другую карту. А потом ему посыпались сообщения, что мошенники пытались оплатить бензин на заправке, потом пытались зайти в интернет-магазин, но денег уже на карте не было.
Как рассказывал Лайф, эксперты советуют также для перестраховки не хранить деньги в одном-единственном банке.
— Лучше всего пользоваться услугами нескольких банков сразу. У каждого есть свои конкретные преимущества, — сказал специалист департамента аналитики компании «Аналитика онлайн» Николай Котов.
Данные миллионов клиентов Сбербанка оказались на черном рынке. Как – объясняет специалист по информационной безопасности
Персональные данные нескольких миллионов клиентов российского Сбербанка попали на черный рынок. Продавцы утверждают, что в базе содержатся данные 60 миллионов человек. В самом Сбербанке заявили, что подозревают в возможной утечке одного из сотрудников, но утверждают, что были "слиты" данные лишь порядка 200 клиентов банка. Роскомнадзор уже потребовал, чтобы банк объяснил причины утечки.
Первым объявление о продаже крупнейшей банковской базы августа этого года увидел Ашот Оганесян, специалист по защите от утечек информации и основатель DeviceLock. Он рассказал телеведущей программы "Главное" Ксении Соколянской, что базу, вероятно, уже кто-то купил, и объяснил, как могла произойти подобная утечка:
Почему данные миллионов клиентов Сбербанка оказались на черном рынке
- Поделиться в Facebook
- Поделиться в Twitter
No media source currently available
— Вы были первым, кто узнал об утечке данных. Расскажите, как вы их обнаружили?
— Попалось на глаза объявление о продаже. Дело в том, что я занимаюсь просто мониторингом черного рынка и вообще открытых баз данных либо баз данных, которые продаются. И просто очередное объявление о том, что продается база [данных] большого банка, – меня оно заинтересовало, я связался с продавцом, и выяснилось, что речь идет о Сбербанке, а продавец утверждал и утверждает, что это 60 млн данных.
Соответственно, я передал эту информацию журналистам "Коммерсанта". Со своей стороны они тоже с ним связались и получили контрольные данные, тестовые так называемые. Проверили свои карточки на наличие в этой базе, подтвердили это. Дальше история получила развитие.
— Роскомнадзор уже обратился к Сбербанку с требованием объяснить причины утечки. Как специалист по информационной защите, можете рассказать, как это могло произойти?
— В любом случае это все версии, мы можем только предполагать. Теория с какими-то внешними злоумышленниками-хакерами отметается сразу как недостоверная, поскольку это просто нереально, это только в кино такое возможно. Остается единственная более-менее верная теория – про инсайдера, то бишь сотрудника либо из самого банка, либо стороннего подрядчика, который по своим служебным обязанностям имел доступ к этим данным. Скорее всего, IT-персонал. Причем какого-то среднего либо высшего звена, потому что вряд ли низшее звено айтишников имеет доступ к полной базе данных.
То есть здесь речь идет не о том, что утекли какие-то тысячи записей, а продавец утверждает о том, что там 60 млн. Соответственно, это полная база [данных], и к полной базе очень ограниченное количество лиц имеют доступ.
— Какую сумму попросил у вас продавец, когда вы с ним связались?
— Не у нас просили. В смысле за сколько нам предлагали? Цена, которая из первоисточника была, – 5 рублей за одну запись. Данные разбиты на 11 частей, это соответствует количеству регионов Сбербанка, региональных крупных офисов. В одном файле они продавали по 50 тысяч в виде экселевских таблиц. Но проблема в том, что я уже нашел у перекупщиков эту базу [данных], они уже продают ее за 74 рубля. То есть это пока пик цены этой базы. Базу [данных] уже выкупили, это можно рассматривать как оптовую точку, которую уже в мелкую розницу перепродают другие люди.
— В Роскомнадзоре заявили, что сейчас этой конкретной базы данных нет в отрытом доступе.
— Ее можно было купить, по крайней мере, вчера. Сейчас, вероятно, в связи со всей этой шумихой, скорее всего, продавцы немножко залягут на дно, как это обычно бывает. Естественно, в открытый доступ она не выложена, потому что это база [данных] августа этого года, это очень свежая база, и такую базу никто бесплатно не выложит никуда. Если только это не по ошибке произошло, по вине какого-то сотрудника, подрядчика, такое бывает. Но в данном случае – нет, конечно. Эта база [данных] в обозримом будущем не появится в открытом доступе, потому что она стоит денег. Собственно, злоумышленники попытаются монетизировать ее.
— Если предположить, что за утечкой действительно стоит сотрудник Сбербанка, который, украв ее, рискует очень многим, какую сумму он может заработать на продаже этой информации?
— Просто умножить 60 млн на 5 рублей, то мы получаем 300 млн рублей. Другой вопрос, что это не совсем так работает, потому что, во-первых, он никогда не найдет покупателя через форумы за такие деньги на такую базу. То есть там есть некий сомнительный момент, почему он выставил базу в открытую на нескольких, как минимум на 4-5 форумах. Я обнаружил одно из первых объявлений на одном форуме, сейчас уже известно, что это было на 4-5 других форумах. Плюс посредники уже через Telegram продают. Или это группа лиц, или это один человек. Он попытался это все дело монетизировать, но я думаю, что речь идет о гораздо меньших деньгах.
— Пытаясь продать информацию по таким каналам, этот человек ведет себя как дилетант?
— Вообще говоря, не совсем. Потому что это довольно типичная практика, когда банковские базы данных – просто не такие крупные – они на этих форумах продаются. И уже были случаи по другим банкам подтвержденные, когда продают не такие свежие базы, не такие полные, не такие большие, но тем не менее они есть. Прошлого года, позапрошлого года.
Эта практика распространенная, просто здесь беспрецедентен именно масштаб, о котором заявляет продавец. Опять-таки, мы не знаем, что это 60 млн, мы только знаем, что это 240 [записей], которые мы видели. И этот человек явно имеет доступ к базе, потому что он смог подтвердить [данные] как минимум 4-5 сторонних человек, владельцев кредитных карт Сбербанка, которых ему предоставили мы и журналисты "Коммерсанта".
— Сбербанк – главный банк России. Какие репутационные потери он понесет или уже несет после такого скандала?
— Я не большой специалист в этих вопросах, я больше технический человек. Безусловно, тут логично можно предположить, что репутационные потери какие-то будут. Другое дело, что Сбербанк уже официальный пресс-релиз выпустил о том, что они подтвердили утечку именно 200 человек, записей, точнее, 200 кредитных карт. И они это достаточно правильно сделали, с моей точки зрения, потому что это действительно то, что им известно.
Другое дело, что мы-то понимаем, что там все гораздо хуже. Но они не могут слухами, непроверенной информацией оперировать. Поэтому они, мне кажется, будут сводить все к этим пресловутым 200 записям. Что утечка была, но она была не такая большая, что продавец на самом деле врал, ни о каких 60 млн речь не шла и так далее.
— Кто покупает подобные базы данных и как они дальше используются? В чем их ценность?
— Ценность их в том, что их используют банковские мошенники, которые, представляясь сотрудниками банка, используя даже телефоны банка, подставляя номера, звонят людям и говорят такие вещи. Например: мы сотрудники банка, служба безопасности, вы такой-то, номер счета такой-то, у вас данные такие-то. То есть полностью втираются в доверие. И дальше говорят, предположим: мы видим, что с вашим счетом происходит что-то нехорошее, кто-то пытается украсть ваши деньги, нужно обязательно срочно принять определенные шаги. Вот эти шаги сводятся к тому, что деньги нужно куда-то срочно перевести.
И в конце человека фактически подводят к тому, что по телефону диктуют коды подтверждения транзакций, которые через банк клиент производит или через смс-банкинг. И таким образом мошенники просто грабят людей. То есть эти базы нужны для того, чтобы втираться в доверие людей, потому что фактически, обладая этой базой, можно о человеке все рассказать и представиться именно сотрудником.
Мошенники звонят от банка, знают имя и номер карты. Откуда?
В закладки
Ваша карта заблокирована. Вам поступил перевод, но для этого вам нужно назвать номер карты, срок её действия, CVV и PIN-код заодно. Нет, Иван Васильевич, я вас не обманываю, я сотрудник банка и всё про вас знаю. Вот доказательства…
Знакомая история? Казалось бы, подобным схемам сто лет в обед, но они до сих пор работают. И люди попадаются на удочку мошенников как раз потому, что те слишком много знают.
Но откуда у мошенников эти данные? Давайте разберемся.
Откуда у них появился ваш номер телефона
Базу телефонных номеров, пригодную для “работы”, собрать несложно. Можно написать простенький скрипт, который будет проходить по объявлениям с бесплатных сайтов и сохранять телефонные номера в подходящем формате.
Такие сайты пытаются внедрить защиту от подобных скриптов. Но практика показывает, что защита работает не слишком успешно.
В крайнем случае можно копировать номера и вручную. Понятное дело, что мошенники будут искать потенциально небедных людей. Например, тех, кто продает машины, квартиры, норковые шубы, предпоследние iPhone. Чаще всего вместе с номером телефона мошенники получают как минимум имя жертвы.
Лайфхак: если хотите знать, откуда у человека ваш номер, представляйтесь другим именем хотя бы на сайтах бесплатных объявлений. В результате если вам позвонят и спросят Ипполита вместо Ивана, вы сразу поймете, откуда “ноги растут”.
Каким образом они узнали ваше имя
Если в приложении Сбербанка ввести номер карты, можно узнать имя, отчество и первую букву фамилии. 
В приложении Тинькофф Банка – имя и первую букву фамилии. 
В Facebook можно воспользоваться формой восстановления доступа к странице. По номеру система покажет Ф. И. О. пользователя и его фото. Можно потом найти этого человека в поиске по соцсети и узнать о нём ещё больше. 
Можно также ввести номер телефона в Viber и попробовать добавить его в список контактов. Мессенджер покажет, кому принадлежит номер. Пользователи часто указывают свои данные и загружают фото.
Больше способов найдете здесь.
Что содержится в базах телефонных номеров
Чтобы не собирать номера самостоятельно, мошенники часто покупают готовые базы номеров телефонов. Оптом всегда дешевле.
Можно даже в даркнет не ходить. Такие базы продают и для “холодных звонков”. Продавец не уточняет, кто покупает файл: бизнесмен, который хочет поднять продажи, или мошенник.
Обычно в таких базах достаточно много информации:
■ Ф. И. О.
■ Пол
■ Возраст
■ Города проживания
■ Уровень доходов
■ Интересы или профессия
■ Семейное положение
Вот пример подобного сайта. Цена контакта – 59 копеек.
Вверху даже указано:
“Внимание! Все данные собраны из открытых источников и не противоречат ФЗ «О персональных данных» на основании п. 4 ч. 2 ст. 22 ФЗ. Мы оказываем услуги по сбору базы данных(лидов) из открытых источников!”
Вполне возможно, что информацию действительно собрали на сайтах объявлений, на форумах и в социальных сетях. В целом набор данных похож на базу для рассылки рекламы, ничего крамольного здесь нет. Но данных может быть и больше.
Как сотрудники банков сливают ваши данные
Утечки из банков обнаруживают регулярно. “Коммерсант” в октябре 2019 года писал о том, что данные 60 млн кредитных карт Сбербанка (действующих и закрытых) попали в открытый доступ. Это крупнейшая утечка в истории банковского сектора РФ.
Инсайдеры подтвердили, что базу именно выгрузили, а не украли, подкупив операторов. Сливал кто-то из сотрудников с административным доступом &- иначе номера карт были бы замаскированы.
Владелец базы продавал записи по 5 рублей за штуку. То есть стоимость всей базы составляла 300 млн рублей.
Позднее в банке заявили, что виновного нашли за считанные часы и слили данные всего 200 клиентов. Примечательно, что именно столько записей владелец базы представлял в качестве доказательства её подлинности. И отвертеться от слива этих записей точно не получилось бы.
Но были и другие случаи. Например, в 2017 году 21-летний сотрудник омского call-центра Сбербанка Илья Клименко продал данные около 20 клиентов банка: паспортные данные владельцев счетов, информацию об остатке денежных средств и даже кодовое слово. За каждый пробив он получал 20 тыс. рублей.
Сотрудник отдела взыскания нижегородского офиса Сбербанка Александр Чернышов продал данные как минимум 11 клиентов. Сколько он заработал неизвестно, но оштрафовали сотрудника на 10 тыс. рублей.
Откуда ещё берут базы контактов
Данные могут сливать и сотрудники кредитных организаций, мобильных операторов, МВД, ФНС и других госорганов. Предоставляют информацию и из систем “Российский паспорт”, “Розыск-Магистраль” и т.д.
Цены на пробив разные. Но это почти наверняка обеспечивает неплохую прибавку к зарплате. Пока не поймают.
Также получают данные из баз онлайн- и оффлайн-магазинов. Согласитесь, когда вы оформляете на кассе дисконтную карту, то как минимум указываете Ф. И. О., номер телефона и дату рождения. А при должном умении продавец и номер вашей карты может запомнить.
Системы безопасности защищают ИТ-инфраструктуру в основном от внешних угроз. С инсайдерами сложнее. Не все системы банков и госучреждений контролируют, не скопировали ли на флешку определенные файлы и не отправили ли их по e-mail.
Наконец, сотрудник может просто открыть базу данных и переписать информацию по старинке на листок. Система сохранит только то, что он открывал запись – это не запрещено.
Бывает, что хакеры воруют данные через бреши в системе безопасности. Способы разные: от письма с вирусом рядовому сотруднику банка до целенаправленной атаки на ИТ-инфраструктуру. Но подкупать сотрудников обычно проще и дешевле.
Как собирают данные с помощью фишинга
Возможно, вы получали письма о том, что ваш банк проводил лотерею среди клиентов. Соблазнительный приз вроде автомобиля или сотен тысяч рублей на депозите заставит многих потерять голову.
Подобные лотереи изредка организуют и сами банки, и платежные системы. Но, как правило, для участия в реальной акции достаточно воспользоваться банковской картой в указанный период или отправить платеж определенного типа. А отнюдь не заполнять форму на 10-20 вопросов или вводить номер карты и пароль на сайте банка.
Обычно под такие лотереи маскируются мошенники. Они создают страницу с дизайном в духе банка и просят от вас как можно больше информации.
Потом могут даже позвонить и сказать, что выиграли именно вы. Но чтобы получить приз, нужно якобы сообщить все данные от вашей карты или провести какой-нибудь “закрепительный” платеж на небольшую сумму.
Фишинговые формы создают и непосредственно для банковских сайтов или приложений. Но там смысл другой: заставить вас ввести логин и пароль от аккаунта интернет-банкинга, а затем подтвердить платеж со своей карты на карту злоумышленников.
Как вас подставляют друзья и знакомые
Когда человек оформляет заявку на кредит, то часто указывает контакты людей, которые подтвердят его платежеспособность.
В обычных банках такие данные вряд ли сразу уйдут мошенникам. Но в микрофинансовых организациях и на сайтах онлайн-кредитов на мутных условиях – вполне.
Скажет ли вам заемщик, что указывал ваши данные? Скорее нет, чем да.
Как собирают данные из открытых источников
На сайте ФНС можно узнать ИНН по паспортным данным. Ввести нужно имя и фамилию, дату рождения, серию и номер паспорта, дату его выдачи.
Если вы ведете бизнес или раньше им занимались, данные о вас есть на сайте ФНС, достаточно указать ИНН.
В реестре исполнительных производств базы судебных приставов можно найти информацию о судебных производствах по Ф. И. О. и дате рождения. В каких ещё открытых базах можно поискать по Ф. И. О.:
Банковские мошенники редко пользуются этими данными. Но теоретически могут, и если узнают об открытых делах, наверняка поставят вас в неловкую ситуацию. И упростят себе задачу.
Как ещё разводят потенциальных жертв
Если мошенники поняли, что перед ними “теплый” клиент, у которого с большой долей вероятности можно украсть деньги, они могут пойти дальше. Например, найти его в социальных сетях, составить список друзей, значимых событий из жизни и т.д.
Много информации дают и фото. Дорогие покупки, путешествия, собаки элитных пород и другие атрибуты роскошной жизни определенно заинтересуют злоумышленников.
Не удивляйтесь, если после фото из путешествия с вами свяжется сотрудник турагентства и предложит, к примеру, вступить в закрытый VIP-клуб “только для тех, кто может себе это позволить”. В обмен на скидки на следующие поездки и другие спецпредложения от вас требуется немного: ответить на десяток вопросов.
Часть вопросов не будет касаться ваших личных данных: например, какое вино предпочитаете в это время суток, какие страны хотели бы посетить и т.п. Другие будут более конкретными: картами каких банков пользуетесь, сколько примерно зарабатываете, на каком автомобиле ездите.
Могут, к слову, и “в лоб” попросить номер карты – здесь уж как наглость позволит. А после сообщат: мол, если решим вас взять в клуб, перезвоним. Взнос сможете оплатить с указанной карты.
И даже перезванивают. Но вовсе не чтобы подтвердить членство в клубе.
Наконец, многое могут узнать непосредственно от вас. Вот пример разговора с телефонными мошенниками:
Скажите честно: если через какое-то время вам снова позвонили бы и сообщили бы эту информацию, каковая вероятность, что вы поверили бы “службе безопасности банка”?
Как защититься
1. Если вам звонят из банка, сразу кладите трубку. Перезванивайте по номеру службы поддержки, указанному на обратной стороне вашей карты или на официальном сайте . Например:
▹ Сбербанк: 900 (бесплатно из РФ) или +7 (495) 500-55-50
▹ Тинькофф Банк: +7 (800) 555-22-77
▹ Альфа-Банк: +7 (495) 788-88-78
▹ Газпромбанк: +7 (495) 913-79-99
▹ Россельхозбанк: 7787 (бесплатно из РФ) или +7 (800) 100-0-100
▹ ВТБ: 1000 (бесплатно из РФ) или +7 (800) 100-24-24
▹ Райффайзенбанк: +7 (800) 700-91-00
2. Предупреждайте, что записываете разговор. Разговоры с реальными сотрудниками банков и колл-центров и так обычно сохраняются – таковы правила.
3. Заведите для банковских аккаунтов отдельную SIM-карту. Не сообщайте её номер никому, не звоните с неё, не привязывайте к этому номеру мессенджеры и другие аккаунты.
4. Не сообщайте в интернете и по телефону личную информацию. Никогда не отвечайте на “социальные опросы”, большинство из них – банальный сбор данных с неизвестными целями.
5. Используйте сложные пароли, разные для каждого аккаунта.
6. По возможности платите на кассах смартфоном через Apple Pay, Google Pay или Samsung Pay.
А главное, забудьте об анонимности, её не существует в 2020 году. Вы не можете защититься от слива данных сотрудником банка или мобильного оператора. Но вы в силах заблокировать карту при любых подозрительных действиях и хотя бы не облегчать задачу злоумышленникам.
В закладки