Где мошенники берут персональные данные клиентов банка.

Когда резко выросло число звонков клиентам банков от мошенников, ЦБ провела расследование. Раскрыта схема, которая позволила мошенникам узнать информацию об остатках на счетах своих потенциальных жертв. В дальнейшем эти данные применялись при мошеннических звонках клиентам в целях кражи денежных средств с банковских карт

Как это происходит.

Выяснилось, что мошенники совершали телефонные звонки в систему IVR (интерактивное голосовое меню), подменяя телефонные номера клиентов. При звонке с номера клиента они запрашивали у системы сведения по остаткам денежных средств на картах клиентов, вводя для этого последние четыре цифры номеров этих банковских карт.

После этого мошенники, используя методы социальной инженерии (психологические методы, направленные на обман клиентов), звонили своим жертвам, представляясь сотрудниками банка.

Откуда они знают телефоны и номера карт.

Номера телефонов клиентов и номера, принадлежащих им банковских карт распространялись в интернете из не установленных источников.

Источников таких, однако, хватает. Например, из клиентской базы крупной площадки интернет-торговли Joom, которая оказалась в открытом доступе, содержащая, в том числе данные о банковских картах, номерах телефона и ФИО покупателей. Среди данных оказались сведения о клиентах Сбербанка, Россельхозбанка, «Открытия», Райффайзенбанка, МКБ, Тинькофф Банка, Росбанка, Почта Банка, Киви Банка, Абсолют Банка, «Ак Барса», Промсвязьбанка, Ситибанка, Регулярно поступают сообщения об утечках персональных данных непосредственно из банков и страховых компаний.

Как это дальше используется.

Использованная схема позволила мошенникам узнать информацию об остатках на счетах своих потенциальных жертв. В дальнейшем эти данные применялись при мошеннических звонках клиентам в целях кражи денежных средств с банковских карт. Для преодоления барьера недоверия и успешного применения иных методов социальной инженерии они использовали информацию об остатках денежных средств.

Что рекомендовал ЦБ.

После обнаружения мошенничества ЦБ указал на необходимость следовать рекомендуемым мерам, а именно: Банки при обслуживании клиентов в системе телефонного банкинга в автоматическом режиме должны использовать дополнительный параметр аутентификации, например секретный код, который устанавливается клиентом при заключении договора. Кроме того, последние четыре цифры номера карты не могут являться дополнительным параметром аутентификации. Соблюдение таких рекомендаций позволит банкам предотвратить подобные инциденты.

Безопасным идентификатором не может также считаться и телефонный номер клиента из-за проблемы с подменной номеров и утечек клиентских данных. Банкам также следует обеспечить синхронизацию обращений в системы интерактивного голосового меню с системами антифрода (борьбы с мошенничеством) и выявлять аномальную активность клиентов после использования интерактивного голосового меню.

Что следует иметь ввиду.

Цифровизация общества при положительных сторонах несет огромное количество рисков. Бездумное внедрение ботов, голосовых помощников, систем т.н. «искусственного интеллекта» наносить вред за счет возможности внедрения мошеннических схем, усиления хакерских атак, причинения огромных финансовых потерь населению. Я не говорю уже о том, что это ликвидирует рабочие места для людей.

Каждый должен понимать, что любая персональная информация, размещенная в сети, обязательно будет использована вам во вред. Это может быть не только преступники, но налоговая инспекция, служба приставов, другие органы. Максимально соблюдайте анонимность везде, где это возможно.

Что касается финансовых вопросов, то нужно выбирать банк, не замеченный в связях с мошенниками, например не пользоваться Сбербанком. Одна из полезных привычек – иметь специальную банковскую карту для проведения расходных операций, как в Интернете, так и офф-лайн. На этом карточном счете и самой карте держать только минимальную сумму и пополнять непосредственно перед покупкой. Да, это потребует внимания, но безопасность дороже.

Всем удачи и здоровья.