В сети можно купить личные сведения о гражданах, которые подавали заявку на кредит в «Дом.РФ.». По утверждению мошенников, у них имеется более ста тысяч записей о возможных клиентах. В банке объясняют, что это стало возможным из-за рисков, возникающих во время подачи заявления на получение ссуды онлайн.
3 апреля появилась публикация о продаже личных данных граждан, обращавшихся в «Дом.РФ.» для получения потребительской ссуды.
Представитель финансового учреждения подтвердил – утечка действительно была. Ее причиной стала уязвимость в онлайн-форме, заполняемой при первичном обращении в банк по поводу оформления кредита. Ее быстро устранили, и сейчас банк работает в обычном режиме. Сотрудники СБ провели профилактические мероприятия по проверке функционирования остальных систем. Нарушений не обнаружено.
В банке подчеркивают, что полученная мошенниками информация не дает возможности подключиться к счетам их клиентов. В call-центре финансового учреждения ответили, что на данный момент заявление на ссуду наличными оформляется как на портале, так и через оператора центра.
Об инциденте знают в Центробанке. Сейчас происходит проверка.
Какую информацию слили в интернет
В объявлении указано, что в появившемся на сайте файле имеется 104 800 записей, начиная с февраля прошлого года и заканчивая мартом текущего. В них содержится сумма возможной ссуды, контактная информация (номер телефона и email). Данный набор указывается при неполном заполнении формы. Чтобы получить ссуду, необходимо помимо этих данных указать ФИО, дату рождения, тип кредита, данные паспорта, СНИЛС, ИНН, место проживания и работы, получаемую зарплату, занимаемую должность, данные о доверителе и другие сведения. В качестве примера приводится информация одного из клиентов банка с перечислением всех поданных сведений.
В одном из пакетов было десять записей о клиентах. В каждой из них содержался тот или иной набор сведений. При обзвоне граждан, фамилии которых содержались в пробнике, шестеро ответили, четверо рассказали, что пользуются услугами банка или подавали заявление на ссуду. 2 человека подтвердили, что недавно брали кредит, двое сказали, что указанная информация принадлежит им, но о заявлении на кредит говорить не захотели.
Мошенники предлагают купить всю базу за 100 000 рублей. Некоторые строчки за этот год они готовы отдать за 15 рублей, за июль-декабрь прошлого года просят 10 рублей и за январь-июнь – 7 рублей.
Что могут преступники сделать с подобной информацией
Представитель «Дом.РФ.» заявил, что скорее всего преступники украли данные, указанные в первичных заявлениях, которые не были подтверждены. Они не дают возможности войти в счета клиентов и произвести какие-либо действия с имеющимися на них деньгами. Он отметил, что подобный инцидент в банке произошел впервые. Злоумышленники завладели информацией из внешних систем, а не из учетных, поэтому все счета находятся в безопасности. По его словам, СБ кредитной организации планирует сделать все возможное, чтобы предотвратить распространение сведений.
Павел Иккерт, управляющий партнер юридической фирмы «Иккерт и партнеры», предостерегает, что с помощью полного комплекта сведений преступники без ведома граждан могут оформить на них онлайн-кредит в мелких банковских учреждениях, различных МФО и кредитных кооперативах. В приличных банках это сделать невозможно, так как этих сведений недостаточно для входа в личный аккаунт.
Подобных случаев сейчас немало. Известны истории, когда кредиторы требовали с людей выплаты по кредитам, которых они не брали. В некоторых случаях инициировалось исполнительное производство. Юрист говорит, что весьма проблематично доказать, что ссуда была оформлена посторонними людьми, воспользовавшимся личной информацией из интернета. Часто не помогает даже подтверждение факта утечки возбужденным уголовным делом. Юрист подчеркивает, что на данный момент не существует никаких эффективно действующих правовых норм для предотвращения преступных действий посредством украденной личной информации банковских клиентов. Возможна блокировка сайта, на котором она находится в открытом доступе, но сведения все равно могут быть переданы от одного человека другому.
Иккерт советует пострадавшим сразу поменять паспорт и подать заявление в правоохранительные органы, которые обязаны начать уголовное дело по факту слива информации.
Представитель компании Infosecurity a Softline Company Александр Дворянский рассказал, что еще один вариант использования украденных данных – обман граждан с привлечением социальной инженерии, когда банковские клиенты вводятся в заблуждение.
Откуда происходит утечка личных данных
InfoWatch провела исследование, показавшее, что в России причиной 80% сливов сведений, произошедших с января по сентябрь прошлого года, стали внутренние нарушения. У нас доля утечек, произошедших по вине сотрудников, в два раза больше, чем в других странах, – 72%. Количество краж информации в финансовом секторе находится на втором месте (18.9%). Его опережает лишь хайтек-индустрия с 21.9%.
Банк России утверждает, что в прошлом году у клиентов российских банков было украдено приблизительно 9 миллиардов рублей. Чаще всего эти преступления совершались с помощью социальной инженерии, использующей методы психологического воздействия на жертву. Преступники звонят клиентам банков и, представившись менеджерами, пытаются вынудить их сделать необдуманные манипуляции с деньгами. При этом они для убедительности используют найденную в слитых базах информацию.