Общая сумма хищений с карт физлиц в прошлом году составила 1,4 млрд руб., что в 1,4 раза больше показателя 2017-го, говорит статистика ЦБ. Почти треть хищений пришлась на последний квартал года, а 97% атак проводились с помощью социальной инженерии – это метод получения информации, основанный на особенностях психологии и социологии.
В 2019-м мошенники активизировались ещё сильнее, пишет «Коммерсант», причём они начали использовать технологию подмены телефонного номера банка (так называемый А-номер) при использовании звонков через интернет. На экране телефона потенциальной жертвы высвечивается номер реального банка, а клиенту рассказывают о якобы попытке несанкционированного списания средств, называют его ФИО, номер паспорта, остаток по счёту и даже последние трансакции.
Дальше преступники предлагают схему «защиты средств» – их нужно перевести на специальный счёт, сообщить полную информацию по карте, кодовое слово или данные из SMS. Нередко клиент, сбитый с толку информацией, которую может знать только банк, рассказывает незнакомому человеку из телефонной трубки всё, о чём его просят. И после этого происходит хищение.
«Январская атака на клиентов Сбербанка, когда злоумышленники знали уже паспортные данные и остатки по счетам, была более результативной. И она стала возможной только благодаря доступу злоумышленников к банковской тайне», – рассказал изданию основатель компании DeviceLock (специализируется на защите персональных данных) Ашот Оганесян. По его словам, сегодня «пробивка» данных по конкретному человеку доступна на чёрном рынке и можно за небольшие деньги по номеру телефона или полному имени владельца карты получить информацию об остатках на его счетах или трансакциях.
Информацию об остатке на счете клиента и последних трансакциях мошенники могут выяснить, в том числе позвонив под видом клиента (с использованием той же технологии подмены А-номера) на автоинформатор банка. «Номер телефона клиента во многих банках позволяет пройти первичный уровень идентификации при звонке и получить доступ к подобной информации», – подтверждает глава департамента информационной безопасности ОТП-банка Сергей Чернокозинский.
Судя по официальным предупреждениям банков (Сбербанка, Райффайзенбанка, Юникредитбанка и других), проблема актуальна. Ответственность и усилия по изменению ситуации банкиры хотят разделить с операторами связи. В МТС «Коммерсанту» рассказали, что решение по защите от подстановки 800-номеров уже реализовано. «ВымпелКом» (бренд «Билайн») также готовит свое техническое решение по подменным номерам. «Мегафон» заверил, что уже не один год оказывает банкам помощь в защите от мошенничества, связанного с подменой номера на официальную нумерацию банка при звонках клиентам. Но пока же гражданам рекомендуют никому не называть CVV2 с обратной стороны карты, если в том числе предлагают ввести или надиктовать цифры через автоинформатор. То же касается кодового слова или пароля из SMS.