Мошенники звонят от банка, знают имя и номер карты. Откуда?
Ваша карта заблокирована. Вам поступил перевод, но для этого вам нужно назвать номер карты, срок её действия, CVV и PIN-код заодно. Нет, Иван Васильевич, я вас не обманываю, я сотрудник банка и всё про вас знаю. Вот доказательства…
Знакомая история? Казалось бы, подобным схемам сто лет в обед, но они до сих пор работают. И люди попадаются на удочку мошенников как раз потому, что те слишком много знают.
Но откуда у мошенников эти данные? Давайте разберемся.
Откуда у них появился ваш номер телефона
Базу телефонных номеров, пригодную для «работы», собрать несложно. Можно написать простенький скрипт, который будет проходить по объявлениям с бесплатных сайтов и сохранять телефонные номера в подходящем формате.
Такие сайты пытаются внедрить защиту от подобных скриптов. Но практика показывает, что защита работает не слишком успешно.
В крайнем случае можно копировать номера и вручную. Понятное дело, что мошенники будут искать потенциально небедных людей. Например, тех, кто продает машины, квартиры, норковые шубы, предпоследние iPhone. Чаще всего вместе с номером телефона мошенники получают как минимум имя жертвы.
Лайфхак: если хотите знать, откуда у человека ваш номер, представляйтесь другим именем хотя бы на сайтах бесплатных объявлений. В результате если вам позвонят и спросят Ипполита вместо Ивана, вы сразу поймете, откуда «ноги растут».
Каким образом они узнали ваше имя
Если в приложении Сбербанка и ввести номер карты, можно узнать имя, отчество и первую букву фамилии.
В приложении Тинькофф Банка — имя и первую букву фамилии.
В Facebook можно воспользоваться формой восстановления доступа к странице. По номеру система покажет Ф.И. О. пользователя и его фото. Можно потом найти этого человека в поиске по соцсети и узнать о нём ещё больше.
Можно также ввести номер телефона в Viber и попробовать добавить его в список контактов. Мессенджер покажет, кому принадлежит номер. Пользователи часто указывают свои данные и загружают фото.
Больше способов найдете здесь.
Что содержится в базах телефонных номеров
Чтобы не собирать номера самостоятельно, мошенники часто покупают готовые базы номеров телефонов. Оптом всегда дешевле.
Можно даже в даркнет не ходить. Такие базы продают и для «холодных звонков». Продавец не уточняет, кто покупает файл: бизнесмен, который хочет поднять продажи, или мошенник.
Обычно в таких базах достаточно много информации:
■ Ф.И. О.
■ Пол
■ Возраст
■ Города проживания
■ Уровень доходов
■ Интересы или профессия
■ Семейное положение
Вот пример подобного сайта. Цена контакта — 59 копеек.
Вверху даже указано:
«Внимание! Все данные собраны из открытых источников и не противоречат ФЗ «О персональных данных» на основании п. 4 ч. 2 ст. 22 ФЗ. Мы оказываем услуги по сбору базы данных (лидов) из открытых источников!»
Вполне возможно, что информацию действительно собрали на сайтах объявлений, на форумах и в социальных сетях. В целом набор данных похож на базу для рассылки рекламы, ничего крамольного здесь нет. Но данных может быть и больше.
Как сотрудники банков сливают ваши данные
Утечки из банков обнаруживают регулярно. «Коммерсант» в октябре 2019 года писал о том, что данные 60 млн кредитных карт Сбербанка (действующих и закрытых) попали в открытый доступ. Это крупнейшая утечка в истории банковского сектора РФ.
Инсайдеры подтвердили, что базу именно выгрузили, а не украли, подкупив операторов. Сливал кто-то из сотрудников с административным доступом &- иначе номера карт были бы замаскированы.
Владелец базы продавал записи по 5 рублей за штуку. То есть стоимость всей базы составляла 300 млн рублей.
Позднее в банке заявили, что виновного нашли за считанные часы и слили данные всего 200 клиентов. Примечательно, что именно столько записей владелец базы представлял в качестве доказательства её подлинности. И отвертеться от слива этих записей точно не получилось бы.
Но были и другие случаи. Например, в 2017 году 21-летний сотрудник омского call-центра Сбербанка Илья Клименко продал данные около 20 клиентов банка: паспортные данные владельцев счетов, информацию об остатке денежных средств и даже кодовое слово. За каждый пробив он получал 20 тыс. рублей.
Сотрудник отдела взыскания нижегородского офиса Сбербанка Александр Чернышов продал данные как минимум 11 клиентов. Сколько он заработал неизвестно, но оштрафовали сотрудника на 10 тыс. рублей.
Откуда ещё берут базы контактов
Данные могут сливать и сотрудники кредитных организаций, мобильных операторов, МВД, ФНС и других госорганов. Предоставляют информацию и из систем «Российский паспорт», «Розыск-Магистраль» и т.д.
Цены на пробив разные. Но это почти наверняка обеспечивает неплохую прибавку к зарплате. Пока не поймают.
Также получают данные из баз онлайн- и оффлайн-магазинов. Согласитесь, когда вы оформляете на кассе дисконтную карту, то как минимум указываете Ф.И. О., номер телефона и дату рождения. А при должном умении продавец и номер вашей карты может запомнить.
Системы безопасности защищают ИТ-инфраструктуру в основном от внешних угроз. С инсайдерами сложнее. Не все системы банков и госучреждений контролируют, не скопировали ли на флешку определенные файлы и не отправили ли их по e-mail.
Наконец, сотрудник может просто открыть базу данных и переписать информацию по старинке на листок. Система сохранит только то, что он открывал запись — это не запрещено.
Бывает, что хакеры воруют данные через бреши в системе безопасности. Способы разные: от письма с вирусом рядовому сотруднику банка до целенаправленной атаки на ИТ-инфраструктуру. Но подкупать сотрудников обычно проще и дешевле.
Как собирают данные с помощью фишинга
Возможно, вы получали письма о том, что ваш банк проводил лотерею среди клиентов. Соблазнительный приз вроде автомобиля или сотен тысяч рублей на депозите заставит многих потерять голову.
Подобные лотереи изредка организуют и сами банки, и платежные системы. Но, как правило, для участия в реальной акции достаточно воспользоваться банковской картой в указанный период или отправить платеж определенного типа. А отнюдь не заполнять форму на 10–20 вопросов или вводить номер карты и пароль на сайте банка.
Обычно под такие лотереи маскируются мошенники. Они создают страницу с дизайном в духе банка и просят от вас как можно больше информации.
Потом могут даже позвонить и сказать, что выиграли именно вы. Но чтобы получить приз, нужно якобы сообщить все данные от вашей карты или провести какой-нибудь «закрепительный» платеж на небольшую сумму.
Фишинговые формы создают и непосредственно для банковских сайтов или приложений. Но там смысл другой: заставить вас ввести логин и пароль от аккаунта интернет-банкинга, а затем подтвердить платеж со своей карты на карту злоумышленников.
Как вас подставляют друзья и знакомые
Когда человек оформляет заявку на кредит, то часто указывает контакты людей, которые подтвердят его платежеспособность.
В обычных банках такие данные вряд ли сразу уйдут мошенникам. Но в микрофинансовых организациях и на сайтах онлайн-кредитов на мутных условиях — вполне.
Скажет ли вам заемщик, что указывал ваши данные? Скорее нет, чем да.
Как собирают данные из открытых источников
На сайте ФНС можно узнать ИНН по паспортным данным. Ввести нужно имя и фамилию, дату рождения, серию и номер паспорта, дату его выдачи.
Если вы ведете бизнес или раньше им занимались, данные о вас есть на сайте ФНС, достаточно указать ИНН.
В реестре исполнительных производств базы судебных приставов можно найти информацию о судебных производствах по Ф.И. О. и дате рождения. В каких ещё открытых базах можно поискать по Ф.И. О.:
■ дела и судебные акты;
■ тексты судебных решений;
■ решения арбитражных судов;
■ картотека арбитражных дел (дела, которые сейчас в производстве);
■ база людей, которые подозреваются в совершении преступлений.
Банковские мошенники редко пользуются этими данными. Но теоретически могут, и если узнают об открытых делах, наверняка поставят вас в неловкую ситуацию. И упростят себе задачу.
Как ещё разводят потенциальных жертв
Если мошенники поняли, что перед ними «теплый» клиент, у которого с большой долей вероятности можно украсть деньги, они могут пойти дальше. Например, найти его в социальных сетях, составить список друзей, значимых событий из жизни и т.д.
Много информации дают и фото. Дорогие покупки, путешествия, собаки элитных пород и другие атрибуты роскошной жизни определенно заинтересуют злоумышленников.
Не удивляйтесь, если после фото из путешествия с вами свяжется сотрудник турагентства и предложит, к примеру, вступить в закрытый VIP-клуб «только для тех, кто может себе это позволить». В обмен на скидки на следующие поездки и другие спецпредложения от вас требуется немного: ответить на десяток вопросов.
Часть вопросов не будет касаться ваших личных данных: например, какое вино предпочитаете в это время суток, какие страны хотели бы посетить и т.п. Другие будут более конкретными: картами каких банков пользуетесь, сколько примерно зарабатываете, на каком автомобиле ездите.
Могут, к слову, и «в лоб» попросить номер карты — здесь уж как наглость позволит. А после сообщат: мол, если решим вас взять в клуб, перезвоним. Взнос сможете оплатить с указанной карты.
И даже перезванивают. Но вовсе не чтобы подтвердить членство в клубе.
Наконец, многое могут узнать непосредственно от вас. Вот пример разговора с телефонными мошенниками:
Скажите честно: если через какое-то время вам снова позвонили бы и сообщили бы эту информацию, каковая вероятность, что вы поверили бы «службе безопасности банка»?
Как защититься
1. Если вам звонят из банка, сразу кладите трубку. Перезванивайте по номеру службы поддержки, указанному на обратной стороне вашей карты или на официальном сайте. Например:
▹ Сбербанк: 900 (бесплатно из РФ) или +7 (495) 500–55–50
▹ Тинькофф Банк: +7 (800) 555–22–77
▹ Альфа-Банк: +7 (495) 788–88–78
▹ Газпромбанк: +7 (495) 913–79–99
▹ Россельхозбанк: 7787 (бесплатно из РФ) или +7 (800) 100–0–100
▹ ВТБ: 1000 (бесплатно из РФ) или +7 (800) 100–24–24
▹ Райффайзенбанк: +7 (800) 700–91–00
2. Предупреждайте, что записываете разговор. Разговоры с реальными сотрудниками банков и колл-центров и так обычно сохраняются — таковы правила.
3. Заведите для банковских аккаунтов отдельную SIM-карту. Не сообщайте её номер никому, не звоните с неё, не привязывайте к этому номеру мессенджеры и другие аккаунты.
4. Не сообщайте в интернете и по телефону личную информацию. Никогда не отвечайте на «социальные опросы», большинство из них — банальный сбор данных с неизвестными целями.
5. Используйте сложные пароли, разные для каждого аккаунта.
6. По возможности платите на кассах смартфоном через Apple Pay, Google Pay или Samsung Pay.
А главное, забудьте об анонимности, её не существует в 2020 году. Вы не можете защититься от слива данных сотрудником банка или мобильного оператора. Но вы в силах заблокировать карту при любых подозрительных действиях и хотя бы не облегчать задачу злоумышленникам.