Мошенников все сложнее отличить от настоящих сотрудников банка: они знают все персональные данные клиента. Злоумышленники звонят с официальных номеров кредитных организаций и могут назвать не только номер карты потенциальной жертвы, но и точную сумму на счете. Как мошенники получают эту информацию? И могут ли клиенты себя обезопасить? Об этом — Иван Корякин.
Москвичке Софии позвонили в самый неподходящий момент — вечер пятницы. Представились сотрудниками Сбербанка, телефонный номер совпадал. София услышала «оставайтесь на линии», голоса других операторов и, наконец, мужской голос. Он сообщил неприятную новость — у нее крадут деньги с карты. «"Мы сейчас должны вас проверить", и называют все мои персональные данные: номер карты, паспорта, кем выдан, когда, прописку. "Это вы?" Я говорю: "да, это я". "Окей, давайте сверим номер телефона, к которому привязан интернет-банк", называют мой номер-телефона. Говорят, мы видим, что привязан какой-то номер телефона, называют его, спрашивают, я ли это сделала. Я говорю, нет, это сделала не я. "Итак, значит, мы обнаружили этот дополнительный номер телефона, мы сейчас его блокируем, давайте вы назовете свое кодовое слово"».
Кодовое слово София не назвала — в последний момент ей в мессенджере ответил персональный менеджер, на этот раз настоящий, и сообщил, что ей звонят мошенники. София положила трубку, Сбербанк заблокировал карту. И это несмотря на то, что собеседница «Коммерсантъ FM» 10 лет проработала в банке. Софию смутило только то, что «сотрудники безопасности» говорили с ошибками и путали ударения. Но откуда у них персональные данные клиента банка? Информацию могли просто купить у инсайдеров, говорит глава агентства разведывательных технологий «Р-Техно» Роман Ромачев: «Сбербанк — достаточно крупная компания. У них работают несколько тысяч сотрудников, поэтому я не исключаю того, что действительно есть недобропорядочные сотрудники.
Поэтому я полностью уверен, что это произошло с помощью инсайдеров».
А купить персональные данные клиентов банка проще, чем кажется. Как пишет «Коммерсантъ», достаточно сообщить телефон жертвы продавцу в Telegram: за 2,5 тыс. руб. он достанет номер банковской карты, за 8-10 тыс. — кодовое слово. А позвонить с официального номера поможет мобильное приложение. Но необязательно работать в банке, чтобы собрать эту информацию. Персональные данные жертвы нетрудно найти в открытом доступе, говорит руководитель лаборатории практического анализа защищенности «Инфосистемы Джет» Лука Сафонов: «С того же "Авто.ру" я могу запросить объявления за последний месяц людей, которые продают машины. Банально у них, скорее всего, деньги есть на счету. Дальше я могу, просто установив приложение Сбербанка, посмотреть, кто из них клиентом Сбербанка является, и дальше конкретно пробивать людей по соцсетям, по публичным базам данных, находить их реквизиты. В объявлении на "Авто.ру", если у вас не замазан номер, либо я знаю вашу машину примерно, либо по фоткам из Instagram, по номеру я могу получить информацию о владельце — это тоже очень легко делается через тот же Telegram.
Я получу данные о ваших паспортных данных».
Сбербанк сообщил «Коммерсантъ FM», что его сотрудники никогда не звонят с подобными просьбами. А если клиенту кто-то набрал с официального номера, на него стоит перезвонить. Пока что это единственный способ себя обезопасить. Так что мошенники в очередной раз на шаг впереди.
Также в Сбербанке сообщили, что изучают подобные случаи мошеннических действий и постоянно совершенствуют систему защиты.