Эксперты рассказали, откуда телефонные мошенники узнают суммы на балансе наших карт

Источники утечек могут быть разными — от недостаточно защищенных банковских приложений до собственной беспечности при пользовании смартфоном на людях.

В последнее время телефонные звонки от «банковских» мошенников получает каждый россиянин — и иногда по несколько раз в день. Они разговаривают как настоящие сотрудники службы поддержки банка, обращаются к своему собеседнику по ФИО и разными способами убеждают людей либо выдать им данные своей пластиковой карты, либо самим перевести деньги на указанный счет.

Больше всего абонентов, получающих такие звонки, удивляет и пугает, что мошенники знают сумму на их счету. Многие СМИ ранее высказывали предположения, что с преступниками сотрудничают настоящие сотрудники банков, которые за плату передают им информацию о клиентах. Но эксперты говорят, что есть и другие способы заполучить данные о балансе потенциальной жертвы.

По словам главы отдела анализа защищенности веб-приложений Positive Technologies Ярослава Бабина, каждое третье мобильное приложение имеет уязвимости, связанные с недостаточно надежной авторизацией. Год назад такие слабые места присутствовали в 63% банковских приложений. «Часто эти уязвимости приводят к тому, что злоумышленник может узнать сумму счетов других клиентов, посмотреть выписки, узнать шаблоны операций или предыдущие переводы», — пояснил эксперт.

Бабин подчеркнул, что утечки могут происходить не только из приложений для онлайн-банкинга, но и из других сервисов, которые так или иначе задействуют в своей работе данные о счетах, картах и балансе банковских клиентов. В пример он привел сервис для перевода средств с карты на карту (card2card), где когда-то можно ввести номер карты потенциальной жертвы и некую произвольную сумму, а сервис в ответ сообщал, что на счету недостаточно средств — или, наоборот, запрашивал дополнительные данные, то есть косвенно выдавал информацию о балансе.

Эксперт отмечает, что предотвратить подобные утечки владелец счета и пользователь приложения никак не может — вся ответственность лежит на банке, который должен выстраивать информационную безопасность и процесс ее постоянного контроля. Судя по тому, какой шквал мошеннических звонков обрушился на россиян в последнее время и сколько новостей об утечках данных клиентов банков появляется в СМИ, работа эта ведется не должным образом.

Старший преподаватель кафедры банковского дела университета «Синергия» Дмитрий Ферапонтов считает, что самый распространенный способ получения конфиденциальных данных о россиянах — это психологические манипуляции, позволяющие мошеннику втереться к жертве в доверие. Многие злоумышленники следят за людьми в общественных местах, особенно возле банкоматов, и из-за спины подглядывают, какой баланс счета выводится на экране банкомата — или что отображается в банковском приложении на смартфоне у человека. Некоторые банки даже ввели опцию, защищающую от таких подглядываний, — «скрыть остатки», — при активации которой сумма на счету не будет отображаться на экране при каждом входе в приложение.

При этом Ферапонтов признает, что действительно встречаются прецеденты преступного сотрудничества банковских работников с мошенниками. Однако, по его словам, такие случаи все же «уходят в историю», поскольку банки стараются контролировать ситуацию и предотвращать подобные «альянсы», поскольку теряют на этом свою репутацию и лояльных клиентов.

Куда менее щепетильны и менее контролируемы сотрудники других сервисов, где граждане предоставляют данные своих банковских карт, — например, сервисов доставки, каршеринга, такси и различных маркетплейсов. Имели место утечки персональных данных россиян, подававших заявки на получение займа в микрофинансовых организациях.

В последнее время появились фальшивые сайты банков. Их создатели делают рассылки писем на электронную почту людям, предлагая пройти по ссылке и воспользоваться персональным предложением льготного кредита или другой привлекательной банковской услугой. Кликнув на ссылку в письме, адресат попадает на сайт, который внешне выглядит в точности как интернет-страница известного банка или даже государственного учреждения. Там ему велят заполнить форму, куда вводятся персональные данные, — якобы для подачи заявки на услугу. Эти данные попадают в распоряжение злоумышленников.

Телефонные мошенники зашли настолько далеко, что, уговаривая жертв перевести деньги на некий резервный счет, якобы чтобы спасти их от несанкционированного списания, за свой счет вызывают людям такси, чтобы те могли доехать до ближайшего банкомата, не теряя связи, и по инструкциям собеседника выполнить операции по переводу средств.

Недавно МВД заявило, что ему нужен доступ к списку контактов из телефонной книги граждан. В таком случае ведомство обещает в режиме реального времени предупреждать абонента о том, что ему звонит мошенник. Суть идеи в том, что если вам кто-то позвонит с неизвестного номера, специальное приложение проверит этот телефон по полицейской базе и в случае совпадения выдаст предупреждение. Зачем при этом получать доступ к контактам граждан — непонятно. Эксперты выразили опасение по поводу этой инициативы, считая ее очередным источником угрозы персональным данным в плане возможных утечек.