К чему приводит утечка личных данных
Атаки злоумышленников, норовящих в режиме онлайн обчистить наши карманы, становятся все изощреннее и наглее. На этот раз под массированный удар попали вкладчики Сбербанка.
На днях мой давний знакомый получил на свой мобильник эсэмэску из Сбербанка. Сергей Федорович ничуть не сомневался в отправителе: короткое сообщение со служебного номера 900, принадлежащего Сберу, именно с этого номера ему регулярно приходят весточки об оплате мобильного банка, советы, как быстро перевести деньги на телефонный счет. На этот раз в сообщении говорилось: «Сергей Федорович, мы подготовили для Вас персональное предложение по размещению средств и формированию финансового портфеля. Подробнее: http://s.sberbank.ru/p/eRaqi ПАО Сбербанк. От 900». Далее стояла ноябрьская дата 2018-го и время отправки.
И Сергей Федорович, отвлекшись от текущих дел, уже поднес палец к указанному адресу, чтобы познакомиться на сайте с заманчивым предложением, как в последнее мгновение обратил внимание на лишнюю букву: s.sberbank.ru. Пустяк вроде бы, описка. Но в данном случае внимательность вкладчика спасла его от серьезных неприятностей — от потери сбережений.
Сергей Федорович позвонил на горячую линию Сбербанка — и девушка-оператор развеяла все сомнения: «Такого сайта у нас нет и никогда не было».
Тут мой знакомый осознал, что чуть не стал жертвой фишинга. Это опасный интернет-ресурс киберпреступников, разработанный специально для похищения личных данных, прежде всего — логина и пароля. Конечная цель — снятие денег с карточек и со счетов клиента банка.
Фишинг используется в криминальных атаках давно. Но как удалось злоумышленникам на этот раз получить служебный номер 900? В Сбербанке, куда обратился Сергей Федорович, сначала предположили, что вместо нулей преступники поставили две буквы «О». Но, взглянув на текст СМС, убедились: это именно цифра 900, то есть девятка с двумя нолями. «Но у нас ни разу не отключалась линия с номером 900, а двух одинаковых отправителей быть в принципе не может», — удивлялись сотрудники. Обещали передать тревожную информацию в службу безопасности банка...
Слегка прояснить ситуацию, не вдаваясь в технические подробности, помог специалист, знакомый с проблемой. Преступники используют нелегальные, нередко привезенные из-за рубежа специальные базовые станции сотовой связи GSM, которые по размерам напоминают большой чемодан. С них-то и передаются фальшивые СМС-сообщения. Техника устроена таким образом, что на одном из этапов СМС-рассылки появляется, как бы подставляется номер 900. И на конечном этапе адресат получает отправленное мошенниками «заманчивое предложение»...
Эта нелегальная станция, да и вся криминальная операция стоят немалых денег. Потому преступники рассылают эсэмэски не наугад, а точно на телефоны граждан, имеющих вклады в Сбере. Преступники, несложно предположить, знают имя и отчество вкладчиков, телефонные номера, привязанные к банку, а также, скорее всего, и суммы — вклада и текущего счета на карточке. Такие сведения можно получить, например, от «своего человечка» в банке, имеющего доступ к базе данных.
Отправляют мошенники не одну-две эсэмэски, а сотни и тысячи, причем за очень короткое время. Понятно, не все получатели клюнут на приманку. Но даже если небольшая часть их окажутся на крючке, криминальный улов выйдет солидным. Преступники быстро заберут деньги — через пару дней их ищи-свищи.
Как противостоять жуликам? Люди, будьте бдительны! Получая СМС-сообщения с, казалось бы, знакомого, многократно проверенного банковского номера, помните: им могут пользоваться и киберпреступники. Тщательно проверяйте название сайта, не отвечайте на вопросы, касающиеся личных данных, тем более логина и пароля. Даже если вам позвонит незнакомый сотрудник Сбербанка по номеру, указанному на официальном сайте банка, не стоит расслабляться. Узнайте имя и отчество и перезвоните ему через 10 минут.
Не говоря уже о том, что в компьютере должна быть надежная антивирусная защита. А для связи с банком, как советует опытный специалист, лучше использовать отдельный телефон, причем самый обычный, кнопочный. Специалист не рекомендует в данном случае смартфоны, мобильные приложения. Надежнее стационарный компьютер...
Объективности ради надо сказать, что Сбербанк немало делает для защиты денег своих клиентов от преступников. За 2017-й, как сообщается в годовом отчете, было пресечено более 300 тысяч попыток хищения средств, предотвращен ущерб на сумму более 40 млрд рублей. Впечатляющие цифры, свидетельствующие о масштабах криминальных атак. Но в отчете нет данных, сколько денег было украдено мошенниками у вкладчиков. Думаю, немало. И банку, и нам, вкладчикам, есть о чем задуматься.
А в это время
Очередной скандал, связанный с утечкой персональных данных. Пользователи офисов «Мои документы» в МФЦ узнали, что могут стать жертвой мошенников, поскольку за личными данными граждан там нет должного контроля. В столичных офисах МФЦ есть компьютеры для самообслуживания, где каждый может отсканировать документы, заполнить анкету или заявление. По правилам безопасности временные файлы должны удаляться в конце рабочего дня. Должны, но не удалялись.
Оказалось, на компьютерах общего пользования скопилась внушительная база данных документов горожан. Копии паспортов, свидетельств о рождении, заключении брака, СНИЛС... Для охотников за персональными данными не составит большого труда переснять нужную информацию.
Сколько копий паспортов отправилось на черный рынок, кто и для чего их использовал? Ответа никто не знает. Зато известно, что, имея копию чужого паспорта, номер счета и мобильного телефона, злоумышленники по поддельной доверенности запросто изготовят дубликат сим-карты (вопрос 10 минут) и через мобильный банк легко опустошат банковский счет.
По словам юриста Татьяны Беловой, такие мошенничества в последнее время приняли характер эпидемии. Есть и другие варианты. Например, у вас может появиться двойник. Он будет вести бурную «деловую» жизнь: брать кредиты, отмывать деньги и даже жениться на ком вздумается. А вы ни о чем таком не будете подозревать — до тех пор, пока к вам не заявятся следователи. Впрочем, история с МФЦ — частный случай в большой проблеме под названием «защита персональных данных».
«Многие у нас к пересылке документов в электронном виде относятся крайне безответственно. Лицензионные антивирусы установлены на одном компьютере из десяти, а ведь удаленное хищение персональной информации с использованием вредоносного программного обеспечения — это хлеб мошенников. О какой защите данных можно говорить, если граждане готовы высылать фотографии своих паспортов в ответ на якобы пришедшую от банка массовую СМС-рассылку с требованием дополнительного подтверждения личных данных? При этом лишь единицы обращают внимание на то, с какого номера приходит это требование», — комментирует ситуацию специалист по криптобезопасности Максим Кривошеев.