В первой половине года специалисты ЦБ обнаружили 13 тыс. объявлений о продаже и покупке баз персональных данных. Чтобы украсть деньги, мошенникам в большинстве случаев не нужны конфиденциальные данные – достаточно ФИО и номера телефона человека. Так сказано в ежегодном докладе ФинЦЕРТа.
Примерно 1500 из всех утечек – это базы кредитно-финансовых организаций. Самым популярным видом мошенничества в прошлом году стала социальная инженерия: почти все случаи хищения денежных средств со счетов физлиц (97%) были связаны с ней. Для этого необязательны данные, относящиеся к банковской тайн – они лишь уточняют и дополняют необходимую информацию.
По оценке ФинЦЕРТа, источниками утечек выступают не столько банковские работники, сколько операторы обработки персональных данных. Специалисты обозначили три канала утечек данных банковских клиентов:
- Сайты интернет-магазинов. Для оплаты товаров и услуг потребители обычно оставляют свои контакты, а также данные банковских карт. Информацию можно получить, если в ресурс будет встроен вредоносный код или если сами владельцы сайта продадут клиентские данные.
- Торговые площадки в Интернете. Мошенники используют сайты объявлений, чтобы дополнить недостающие сведения о жертвах. Для этого они автоматически сканируют (парсят) предложения граждан о продаже или покупке товаров. «Данные платежных карт часто сообщают в переписке или в телефонных разговорах сами участники. В дальнейшем они могут сопоставляться и компилироваться с информацией, ранее полученной из других источников», — говорится в отчете ФинЦЕРТ. Для сопоставления мошенники используют базы данных налогоплательщиков, владельцев автомобилей, недвижимости, информацию из соцсетей. Они также могут опираться на неполные сведения или выведать недостающую информацию у самого клиента банка во время разговора.
- Покупка данных с помощью телеграм-ботов. Специалисты ЦБ подробно не описывают этот канал утечки, но указывают, что способ доступен «широкому кругу лиц за определенную плату».