31 августа 2020

ЦБ и Visa предупредили банки об утечке данных 55 тыс. карт

ЦБ и Visa обратили внимание на утечку базы данных с 55 тыс. записей о клиентах банков. Она затронула покупателей на маркетплейсе Joom, знают источники РБК. Несколько банков сообщили о перевыпуске скопроментированных карт клиентов

Банк России предупредил кредитные организации об утечке данных 55 тыс. карт, рассказали РБК два источника в банковском секторе, информацию подтвердил собеседник, близкий к ЦБ. По словам четырех собеседников в банках, в Сеть попали данные клиентов маркетплейса Joom (юридическое лицо зарегистрировано в 2016 году в Риге), специализирующегося на доставке товаров из Китая по всему миру.

РБК нашел несколько объявлений об этой базе на специализированных сайтах и в Telegram-каналах, которые были опубликованы на прошлой неделе, — в большинстве из них данные можно скачать бесплатно.

Сообщения от ФинЦЕРТ (Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России) приходили только банкам, чьи карты использовали клиенты из базы, уточнили источники РБК. Платежная система Visa также проинформировала кредитные организации об утечке, знают три источника. РБК направил запросы в ЦБ и Visa.
>
База данных содержит первые шесть и последние четыре цифры номера карты, срок ее действия, указание платежной системы и банка, который выпустил карту, а также ФИО, контактные данные (телефон и электронную почту) и адрес проживания. Представитель Joom сказал, что утечка действительно произошла в марте этого года — в результате того что злоумышленники получили доступ к ресурсам одного из контрагентов Joom, с ним маркетплейс уже прекратил отношения, а угроза дальнейшей утечки была устранена. Компания сообщала о ней еще в марте, но тогда речь шла только об именах, адресах, номерах телефона и данных электронной почты (без информации о банковских картах) «как минимум 1 тыс. пользователей» в России и Белоруссии, а не о 55 тысячах.
«Подтвердить информацию об объеме в 55 тысяч мы не можем: сперва нам нужно изучить опубликованную базу и проанализировать ее на предмет соответствия нашим данным», — сказал представитель интернет-магазина.

Какие данные попали в Сеть

В базе содержатся сведения о картах и клиентах разных кредитных организаций, в том числе Сбербанка, Россельхозбанка, «Открытия», Райффайзенбанка, МКБ, Тинькофф Банка, Росбанка, Почта Банка, Киви Банка, Абсолют Банка, «Ак Барса», Промсвязьбанка, Ситибанка, Юникредит Банка, банков «Санкт-Петербург», «Уралсиб», «Зенит», «Ренессанс Кредит», РНКБ, МТС Банка, УБРиР и других российских, а также зарубежных банков.

Сбербанк в курсе инцидента и получил уведомления от платежных систем, однако не зафиксировал данные карт своих клиентов в утекшей базе, сказал РБК представитель банка. В ней были сведения о картах четырех клиентов зарубежных «дочек» Сбербанка, но им ничего не угрожает, добавил он. Райффайзенбанк получил предупреждение ФинЦЕРТ, подтвердил его представитель. Об утечке также знают «Открытие», Промсвязьбанк, «Санкт-Петербург», Росбанк и МКБ. «Данные, которые в результате допущенной маркетплейсом утечки попали в открытый доступ, не позволяют мошенникам похитить средства с карты», — подчеркнул представитель Промсвязьбанка. О том, что «речь идет о технических данных, которые не открывают доступ к счетам», говорит и представитель «Санкт-Петербурга».

«Открытие» взяло на дополнительный контроль все операции по картам своих клиентов из базы. Райффайзенбанк заблокировал скомпрометированные карты и сообщил клиентам о перевыпуске карт, Промсвязьбанк намерен это сделать в ближайшее время. Qiwi заблокировала карты и предложила пользователям их перевыпустить или компенсировать стоимость. МТС Банк, УБРиР и РНКБ предупреждают своих клиентов с картами из базы об их компрометации и необходимости перевыпуска. «Зенит» оперативно заблокировал и перевыпустил карты.

МКБ самостоятельно выявил утечку еще в июле и принял дополнительные меры безопасности относительно всех карт, данные которых оказалась в открытом доступе. У большинства карт Абсолют Банка из этой базы уже истек срок действия, а карты активных клиентов будут перевыпущены, сообщил управляющий директор банка Олег Кусеров. Росбанк реализовал «планы противодействия подобным угрозам», отметил его директор по розничному бизнесу Алексей Лола. «Санкт-Петербург» связывается с клиентами, чья личная информация могла быть скомпрометирована, блокирует их карты и предлагает выпустить новые, сообщили в его пресс-службе.

Что грозит клиентам из базы

«В этой базе нет данных, с помощью которых мошенники могли бы без подтверждения клиента совершить платежные операции», — успокаивает представитель «Открытия». По словам руководителя направления комплаенса и аудита группы компаний Softline Ильи Тихонова, эти данные могут использоваться только с целью мошенничества путем социальной инженерии, когда мошенники обманывают банковских клиентов, для убедительности используя персональную информацию из баз. По данным ЦБ, в 2019 году в 69% случаев при хищении денежных средств с банковских счетов граждан использовалась социальная инженерия. Всего за прошлый год преступники украли у банковских клиентов 6,42 млрд руб.

Интернет-магазины традиционно являются одним из самых слабо защищенных сегментов, так как их создатели уделяют недостаточно внимания вопросу защиты от кибератак, продолжает Тихонов: «Исходя из характера данных, я могу предположить, что они были получены путем внешней атаки: использовалось вредоносное ПО, перехватывающее данные в процессе оплаты». Чаще в Сеть попадают данные клиентов интернет-магазинов без платежной информации, с данными карт — всего лишь несколько раз в год, добавляет основатель и технический директор компании DeviceLock Ашот Оганесян.

База находится в свободном доступе в нескольких местах, ее могли скачать сотни человек, поэтому мошенникам будет сложно ее использовать, отмечает Оганесян: «Если клиентов прозвонили по одному разу, то эффективность следующих прозвонов стремится к нулю, так как жертвы телефонных мошенников становятся бдительнее».

Пройти обучение в Moscow Digital School

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности