В сети — данные 60 миллионов клиентов «Сбербанка». Пора спасать деньги?

Что произошло?

В минувшие выходные основатель IT-компании DeviceLock обнаружил в даркнете форум. Там продаётся личная информация о владельцах кредитных карт Сбербанка. По заявлениям владельца базы, объём составляет 60 миллионов профилей. Купить её может любой желающий. Стоимость одной строки — 5 рублей. Причём, судя по характеру утекших записей, данные слил кто-то из сотрудников банка. Правда, не совсем понятно, сколько в базе живых людей — ведь у одного человека может быть несколько кредиток.

Но всё равно — около 60 миллионов пострадавших. Скорее всего, это почти полный перечень всех, кто когда-либо пользовался пластиком «Сбера». 

Создатель DeviceLock передал информацию в «Коммерсантъ». Тамошние корреспонденты проверили некоторые из 200 анкет, выложенных в открытый доступ. Данные сошлись — сотрудники «Ъ» обнаружили жертв в соцсетях и мобильном банке. После этого журналисты попросили продавца найти их профили. Владелец базы сделал это без проблем — он скинул газетчикам информацию об их кредитках, а также местах работы за последние три года.

Что утекло?

Примерно всё. ФИО, паспорт, номер карты, адрес работы и проживания, дата рождения, объём и периодичность платежей, филиал банка, выдавшего пластик. Полный список легко посмотреть здесь. Нет разве что контактного телефона и CVV-кода — тех самых трёх цифр с обратной стороны пластика.

Благодаря этому не случилось полной катастрофы — в противном случае уже началось бы повальное воровство. Однако ситуация всё равно крайне опасная — с таким списком мошенники могут делать что угодно. Только представьте: жизнь 60 миллионов россиян выложена в интернет. 

Пользовались кредиткой Сбербанка? Значит, ваша приватная информация в руках злодеев. ФИО, паспорт, адрес, место работы, дата рождения и ещё два десятка параметров.

Чем это опасно?

К счастью, самое главное осталось в секрете — CVV-код жуликам недоступен. Поэтому напрямую увести деньги не получится. Но, как правило, мошенники орудуют иначе. Обычно они прибегают к социальной инженерии. И эта утечка здорово облегчит им жизнь — да, в перечне данных нет номера телефона, но его найти несложно. А дальше дело техники, то есть всё той же социальной инженерии.

Что это такое? Сложный механизм взлома человека с целью выведать у него личные сведения: пароли, логины, номера, интимные снимки и тому подобное. В случае с банковским обманом злоумышленники как правило выпрашивают доступ к управлению картой — например, просят назвать подтверждающий код в эсэмэске. Чтобы всё выглядело убедительнее, они притворяются сотрудниками финучреждения. Благодаря утечке «Сбера», аферисты завладели тонной информации, которая поможет обрабатывать ничего не подозревающих людей.

«Чем больше персональных или внутрибанковских данных о владельце карты сможет сообщить мошенник, тем больше вероятность, что клиент примет звонящего за реального сотрудника банка. И тем выше риск, что жертва согласится выдать личные сведения или решится на действия, которые приведут к совершению операции с карты или счёта», — рассказал нам Алексей Сизов, начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности «Инфосистемы Джет».

Похожую точку зрения в разговоре с 4PDA высказал и Александр Антипов, главный редактор Securitylab.ru: «Чем больше мы знаем о жертве, тем более вероятно, что атака будет успешней. Поэтому закон и защищает персональные сведения, ведь ими могут воспользоваться в преступных целях».

Теперь будет крайне сложно вычислить мошенника, если он вам позвонит. Ведь в его распоряжении полный список ваших финансовых операций.

Насколько это вообще популярная схема?

Как часто махинаторы устраивают маскарад, прикидываясь сотрудниками банков? Увы, это распространённая практика. «Более 80% хищений денежных средств у клиентов российских банков производится с использованием методов социальной инженерии — когда мошенники звонят жертвам и представляются сотрудниками банка», — сообщает Group-IB, компания по IT-безопасности.

Финучреждения борются с утечками, чтобы сокращать количество жертв. Но пока что получается с переменным успехом. Как пишет The Bell, региональная статистика правоохранительных органов показывает, что количество таких правонарушений растёт. «Так, в Курганской области число преступлений выросло вдвое, до 372 хищений за первое полугодие 2019-го, а в Смоленской области — в пять раз, с 60 до 289 преступлений», — уточняет издание.

Характерный эпизод случился недавно, в конце сентября. История такая: у «Рокетбанка» увели 10 тысяч профилей клиентов. Там было ФИО, дата рождения, номер мобильника и сумма остатка на счёте. Через несколько дней после этого HR-сотрудница «Рокетбанка» написала, что… её обманули на 120 тысяч. Злоумышленники представились техподдержкой того же учреждения, попросив перевести деньги со всех кредиток в банк работодателя. В процессе этих манипуляций девушка озвучила пароль доступа к карте — и лишилась крупной суммы. 

Обмануть нетрудно любого. Аферисты успокаивают бдительность, осыпают цифрами, а потом просят назвать пароль от мобильного банка. И вы называете.

Есть ещё какие-то нюансы?

Да. Уже сейчас банки знают о нас слишком много — собственно, длинный список утекших данных в очередной раз это подтвердил. Однако сегодня дело ограничивается паспортом и адресом. Но вскоре финансовые учреждения получат наши отпечатки пальцев, образцы голоса и слепки лица. В общем, всю биометрию, которую тот же «Сбер» так усиленно собирает. Возникает логичный вопрос — а что будет, если в открытый доступ улетит уже эта информация?

Напоминаем, эксперты считают, что слив произошёл изнутри — базу выложил кто-то из служащих банка. То есть можно бесконечно защищать систему от внешних кибератак, но всё равно остаётся человеческий фактор. И в случае с биометрической информацией опасность вырастает многократно.

«В идеале банк должен хранить не отпечаток пальца или вашу фотографию, а их закодированное цифровое представление. Воспользоваться такими сведениями значительно сложнее. Но несоблюдение современных стандартов при хранении и обработке биометрической информации может позволить воспользоваться ей потенциальным злоумышленникам. А утечки подобные будут», — объясняет Александр Антипов.

Всё понял. И как защититься?

Увы, идеального решения нет — злоумышленники орудуют по давно отточенной схеме, которой сложно противостоять. Можно прочитать тысячу статей по киберзащите, а потом растеряться под напором афериста, выдав ему все явки и пароли. Но кое-какие приёмы есть. Рассказывают наши эксперты.

Алексей Сизов говорит, что ни в коем случае нельзя сообщать по телефону реквизиты: CVC2/CVV2, коды подтверждения, приходящие по СМС, PIN-код. «В текущих условиях большого количества мошенничества с использованием социальной инженерии лучше всегда самостоятельно перезвонить в банк при любом подозрении», — уточняет специалист. Александр Антипов предлагает следующее: «Постоянно учитывайте, что вас могут обмануть. Не доверяйте никому, пока не убедитесь в обратном».

Итог такой. Если вы когда-нибудь брали кредитку «Сбера», то отвечайте аккуратно на звонки из любых банков. Возможно, на том конце провода мошенники и теперь они знают о вас почти всё. Не сообщайте никаких кодов, цифр и паролей, а если заподозрили неладное — тут же кладите трубку.