Почти каждый день примерно с десяти утра люди с незнакомых телефонных номеров начинают беспокоиться о сохранности средств на моей банковской карте. Мошенники раздражают, но давно никого не удивляют. Однако недавно им удалось впечатлить моего знакомого: звонок из «службы безопасности Сбербанка» раздался не на личный, а на корпоративный номер, причем, хотя сим-карта оформлена на работодателя, звонившие обратились по имени и отчеству. Знакомый пользуется этим номером только для общения с коллегами и не указывал его нигде, кроме сайта госуслуг при оформлении пропуска для поездок на работу во время карантина. «Получается, утечка произошла из базы мэрии?» — задумался он.
Фото: Дмитрий Лебедев, Коммерсантъ
Фото: Дмитрий Лебедев, Коммерсантъ
История могла бы превратиться в громкую новость, но все оказалось не так просто. Сайт госуслуг и мэрия в этом случае — лишь часть потенциальных каналов утечки, есть и более вероятные, хотя не столь очевидные. Например, мошенники формируют базы данных с помощью парсинга, то есть автоматического извлечения информации из презентаций, выложенных на профессиональных ресурсах вроде SlideShare. В финальных слайдах презентации принято указывать корпоративный номер, ФИО, почту и должность, а злоумышленникам остается только «собирать урожай». Могли они добыть персональные данные и при начислении штрафов за нарушение самоизоляции в открытых источниках по уникальному идентификатору, о чем “Ъ” рассказывал 18 мая.
Утечка корпоративного номера могла произойти и от сотового оператора, если в личном кабинете работодатель указал имя подключенного сотрудника. Бывает также, что утекают корпоративные телефонные справочники, отмечает начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. Парадоксально, но база сотрудников этого разработчика софта для защиты от утечек информации тоже появлялась в интернете, причем, как выяснили в компании, была скомпилирована из отчетов в налоговую.
Наконец, вишенка на торте — корпоративное такси. Проблемы с безопасностью у агрегаторов возникают достаточно регулярно: так, в конце сентября пользователь Facebook пожаловалась на списания «Яндекс.Такси» почти 10 тыс. руб. за несуществующие поездки.
Лет десять назад, когда телефонное мошенничество только начиналось, один из звонивших мне спамеров поделился информацией, как номер моего телефона оказался в их базе: однокурсница расплатилась за бесплатную косметологическую процедуру десятью контактами из телефона. С ростом цифровизации мошенникам становится все проще собирать информацию, и похоже, что единственный способ не попасть в базы обзвона — не пользоваться сотовым телефоном.