Ваш долг продали коллекторам: Как мошенники используют слитые в сеть персональные данные
Сбербанк продолжает сталкиваться с большими проблемами. Не успели ещё улечься все страсти после массовой утечки данных из банка в начале октября, как такое произошло вновь. В первом случае, по сообщению самого банка, в утечке оказался виноват один из сотрудников, которого выявили, после чего он быстро во всём признался. По словам представителей Сбербанка, злоумышленник просто вынес базу данных из банка, а затем продал её лицам, выставившим затем её на продажу в интернете.
Теперь же, когда в продаже оказалась ещё одна база данных, Сбербанку придётся вновь заняться поисками «кротов», которые вывели её за пределы финансового учреждения. На этот раз речь идёт об 11,5 тыс. заёмщиков банка, среди которых есть и люди с просроченной задолженностью. Главная угроза для них теперь – это звонки мошенников, которые обманным путём могут заставить этих клиентов перевести деньги не в банк, а на сторонние счета под предлогом того, что их долг продан коллекторам.
Параллельно с этим становится известно и о проблемах с цифровой безопасностью в Сбербанке. Появились клиенты, которые жалуются на несанкционированные списания денег в неизвестном направлении через приложение «Сбербанк онлайн». Банк подтверждает взлом, но пока не озвучивает шаги решения проблемы.
Фото: Nikolay Gyngazov / Globallookpress
Новая утечка
Сразу следует сказать, что нынешняя утечка не такая большая, как та, что постигла банк в начале октября. Тогда из банка была вынесена база данных о 60 млн кредитных карт Сбербанка, то есть вообще о почти всех лицах, которые когда-либо брали в этом банке кредит. На этот раз речь идёт всего об 11,5 тыс. данных, о продаже которых написали «Известия». Журналисты газеты также проверили достоверность базы, связавшись с продавцом и купив у него записи о нескольких клиентах.
Продавец сообщил, что база продаётся поштучно, а стоимость одной записи составляет 30 рублей. В записи об одном клиенте – 40 строчек, в которых указаны полные паспортные данные с фамилией, именем и отчеством, а также место жительства и регистрации, место работы, мобильный телефон и рабочие телефоны. Указана также и сумма задолженности перед банком, как и просрочка по ней, включая дату образования этой просрочки.
Отмечается, что, по всей видимости, большинство кредитных договоров из утёкшей базы ещё активны, так как самая последняя запись в ней датирована мартом 2019 года. Более того, записи из базы данных нетрудно проверить на подлинность при помощи «Сбербанка онлайн» – там высвечивается имя и отчество человека, которому переводятся деньги. Записи из базы совпали с реальными данными и «Известия» даже дозвонились до одного из клиентов, который подтвердил наличие у него кредитной карты Сбербанка.
Что же теперь могут делать злоумышленники, которые получат эту базу в своё распоряжение? На самом деле, не так уж и много. В базе нет пин-кодов карт или cvc-кодов, которые указываются на обратной стороне карты. Это значит, что просто так деньги мошенники красть не будут. А вот обилие личных данных, а особенно сведения о просроченной задолженности, могут дать мошенникам возможность звонить клиентам и обманным путём заставлять их переводить деньги.
Фото: Tero Vesalainen / Shutterstock.com
Например, человека, оказавшегося в трудной жизненной ситуации, мошенники могут убедить в том, что его долг можно реструктуризировать или что он был продан коллекторскому бюро, куда он, клиент, теперь обязан переводить деньги. В подтверждение слов мошенники назовут такому клиенту его личные данные, тип его задолженности (кредитная карта, потребительский кредит и т.д.), как и другие данные по кредиту.
Наконец, мошенники могут даже представляться сотрудниками банка и убеждать клиента выдать им какие-либо недостающие данные. Известны случаи, когда звонящий строгим дежурным голосом представляется сотрудником Сбербанка и заявляет, что якобы была зафиксирована попытка взлома, однако средства не были украдены, но для дополнительной защиты необходимо придумать новый пароль к «Сбербанку онлайн». Для подтверждения своих слов злоумышленник называет данные паспорта и другие сведения, что должно убедить клиента в том, что ему якобы звонят из самого банка.
Однако известны и совершено вопиющие случаи, когда у людей просто в неизвестном направлении списывались средства со счёта в банке. Речь идёт именно о счёте, а не о сумме денег на карте. Так, жительница Москвы Юлия Козлова в своём Instargam заявила, что была ограблена через «Сбербанк-онлайн». По ее словам, банк подтвердил факт взлома и заблокировал счета, однако не спешит возвращать деньги, так как после вывода со счёта средства попали к её мужу и лишь потом были переведены на сторонний счёт.
При этом пока трудно сказать, насколько злоумышленникам в этом могла помочь база данных Сбербанка и не стоит ли в данном случае говорить скорее о цифровом взломе аккаунта клиента в банке. Если же это так, то банку придётся признать, что его системы защиты отнюдь не так совершенны, как о том говорят члены руководства и лично Герман Греф.
Почему это происходит и как себя обезопасить
Современные проблемы с утечками данных – это минусы существующей системы цифровой экономики, которые присутствуют в ней наряду с плюсами, уверен экс-советник президента России по интернету, основатель MediaMetrics Герман Клименко.
Надо чётко понимать, что вообще любая система, с которой мы столкнулись в цифровой экономике, имеет всегда и плюсы, и минусы. И любая система характеризуется сколько не ошибками, столько реакцией на эту ошибку. Например, в 1990-х годах вся Тишинка и Митинский рынок были заполнены базами данных телефонов и утечек из наших операторов,
– пояснил он, отметив, что сегодня подобные утечки становятся глобальными и цифровыми, из-за чего общество очень остро на это реагирует.
Фото: Jens Büttner / Globallookpress
По мнению Клименко, такие случаи – это не только удар по Сбербанку, но и удар по всей цифровой экономике, подрыв доверия к ней и торможение её развития. По его словам, это «примерно как когда беспилотный автомобиль попадает в аварию».
Клименко заметил, что утечки из Сбербанка сейчас неспособны сильно навредить его репутации, ведь люди не перестанут пользоваться цифровыми банковскими услугами главного кредитного учреждения страны. Утечки сейчас в большей степени сказываются на репутации самого Германа Грефа.
«Это больше такой не привет Сбербанку, а больше привет Грефу, который сейчас является олицетворением всего нового. И это такой намёк: а не хотел бы ты заняться банком? Потому что в общем-то Герман Оскарович у нас сейчас такой лидер искусственного интеллекта, лидер покупок интернет-компаний», — сказал Клименко.
В целом же даже утечка данных миллионов клиентов Сбербанка, которая произошла ранее, это повод разбираться в причинах и ответственность за это, вероятно, несут продавцы этих баз, сказал Клименко.
Любая утечка – это угроза, однако отвечать за утечки должны не только похитители баз данных, но и те, кто хранит их ненадлежащим образом, считает управляющий партнёр компании «Ашманов и партнёры», один из крупнейших специалистов в сфере IT в России Игорь Ашманов.
С утечками, конечно, нужно бороться. За это должны нести ответственность как те, кто украл, так и те, кто ненадлежащим образом их хранил. Но тут непростая история, потому что сложно создавать такие законы, сложно потом за этим следить, все ведь скрывают свои утечки. Если бы в начале октября Сбербанк нашёл утечку быстрее, чем другие, то мы могли бы о ней и не узнать,
– предположил он.
По словам Ашманова, исправить ситуацию может принятие соответствующих законов, но они пока лишь разрабатываются в рабочей группе по правовому направлению цифровой экономики в центре компетенций в «Сколково». В работе также участвует правительственная комиссия по цифровому развитию под руководством вице-премьера Максима Акимова.
Поэтому мы можем говорить о том, что утечки происходят и будут происходить, во-первых, из-за того, что сегодня есть такие массивы данных, а во-вторых, потому что есть мошенники, которые хотят ими пользоваться. Сбербанк же, как самый большой банк, стоит в авангарде этого процесса просто потому, что он самый крупный. В этом также может крыться ответ на вопрос о том, почему в его рядах такое количество «кротов», которые хотят торговать базами клиентов.
И пока банк ловит этих «кротов», пока Греф выступает с объяснениями произошедшего, а в правительстве думают о законах по цифровой экономике, людей интересует, как защитить себя от мошенников. Эксперты заявляют, что во многом защита конкретного клиента в нынешних условиях зависит от него самого.
Г. Греф. Фото: Kremlin Pool / Globallookpress
В сущности, методы защиты от мошенничества остаются всё теми же. Во-первых, сотрудник банка никогда не будет спрашивать у вас пароли, коды из смс-подтверждений какого-либо платежа или cvc-код на обратной стороне карты. Во-вторых, сотрудник банка вправе спросить ваше секретное слово для восстановления данных, но если вы его забыли, то он воспользуется паспортными данными, а затем обязательно сообщит вам это слово.
В-третьих, если говорящий с вами человек пугает вас попыткой взлома, которая была предотвращена, то он не будет просить у вас какие-либо данные. Как правило, банк не обзванивает клиентов, сообщая им о взломах (чего нельзя сказать о звонках с предложениями взять кредит на особых условиях). Вероятнее ситуация, при которой беда уже случалась и в банк для блокировки карты или счёта придётся звонить самостоятельно. В-четвёртых, если у вас есть задолженность, а говорящий уверяет вас платить её не банку, а куда-то ещё, то это мошенник. Необходимо просто позвонить непосредственно в банк.
Наконец, конечно, никому нельзя передавать и сообщать данные на обороте карты или пин-код. Утерянную карту лучше всего блокировать, а средства перед этим стоит перевести на отдельный вклад. Последние утечки из Сбербанка говорят о том, что в похищенных базах данных нет пин-кодов и cvc-кодов, а это как раз та информация, за которой будут охотится злоумышленники.
Поэтому безопасность клиентов Сбербанка в настоящее время во многом, к сожалению, остаётся делом рук самих клиентов. Самый большой банк, впрочем, как и другие крупные банки не может полностью защитить данные клиентов. Ну а утечки были и будут всегда, ведь и в доцифровую эпоху были люди и целые организации, торгующие информацией в корыстных целях.