От персонального к общедоступному
ЦБ впервые раскрыл масштаб продаж личной информации
За полгода специалисты ЦБ обнаружили 13 тыс. объявлений о покупке и продаже персональных данных. Чтобы украсть деньги, мошенникам в большинстве случаев не нужны конфиденциальные данные — достаточно ФИО и номера телефона человека.
Специалисты ЦБ в первой половине 2019 года обнаружили 13 тыс. объявлений о продаже и покупке баз персональных данных, говорится в ежегодном докладе ФинЦЕРТа (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России). Только 1,5 тыс. из них (12%) — это базы кредитно-финансовых организаций. В предыдущих докладах подобную статистику ЦБ не раскрывал.
Самым популярным видом мошенничества в 2018 году стала социальная инженерия: почти все случаи хищения денежных средств со счетов физлиц (97%) были связаны именно с ней, сообщил ФинЦЕРТ. Для такого метода необязательны данные, относящиеся к банковской тайне, они лишь уточняют и дополняют необходимую информацию. «Мошенникам достаточно владеть информацией о фамилии, имени и отчестве, а также о номере телефона физического лица», — говорится в докладе.
Не только банки
Из всех зафиксированных утечек за первую половину 2019-го в публичное пространство попало 18 ключевых событий, указывает ЦБ, и только три из них были связаны с организациями банковского сектора. Еще три случая в СМИ не освещались (какие именно — регулятор не уточняет).
По оценке ФинЦЕРТа, источниками утечек выступают не столько банковские работники, сколько операторы обработки персональных данных. Специалисты обозначили три канала утечек данных банковских клиентов.
- Сайты интернет-магазинов. Для оплаты товаров и услуг потребители обычно оставляют свои контакты, а также данные банковских карт. Информацию можно получить, если в ресурс будет встроен вредоносный код или если сами владельцы сайта продадут клиентские данные.
- Торговые площадки в интернете. Мошенники используют сайты объявлений, чтобы дополнить недостающие сведения о жертвах. Для этого они автоматически сканируют (метод парсинга) предложения граждан о продаже или покупке товаров. «Данные платежных карт часто сообщают в переписке или в телефонных разговорах сами участники. В дальнейшем они могут сопоставляться и компилироваться с информацией, ранее полученной из других источников», — говорится в отчете ФинЦЕРТа. Для сопоставления мошенники используют базы данных налогоплательщиков, владельцев автомобилей, недвижимости, информацию из соцсетей. Они также могут опираться на неполные сведения или выведать недостающую информацию у самого клиента банка во время разговора.