РБК: ЦБ выявил схему, при которой мошенники узнавали остаток на банковских счетах через голосовое меню

Такое мошенничество стало возможным из-за того, что один из банков не соблюдал рекомендации Центробанка по противодействию мобильному мошенничеству и защите клиентов от доступа к конфиденциальной информации

РБК: ЦБ выявил схему, при которой мошенники узнавали остаток на банковских счетах через голосовое меню Фото: depositphotos.com

ЦБ выявил схему мошенничества с использованием голосового меню в банке, сообщает РБК. Злоумышленники подменяли телефонные номера клиентов, звонили в систему IVR (интерактивное голосовое меню) и запрашивали сведения по остатку денежных средств, вводя для этого последние четыре цифры номера карты. После этого, используя классические методы социальной инженерии, звонили своим жертвам, представляясь сотрудниками банка и называя сумму остатка, чтобы вызвать доверие клиентов.

Такое мошенничество стало возможным из-за того, что один из банков не соблюдал рекомендации Центробанка по противодействию мобильному мошенничеству и защите клиентов от доступа к конфиденциальной информации, пишет РБК со ссылкой на представителя ЦБ.

Комментирует член Ассоциации руководителей службы информационной безопасности Александр Токаренко.

Александр Токаренко член Ассоциации руководителей службы информационной безопасности «Есть обязательные рекомендации Центрального банка, которые регулярно выпускаются, и там идут четко установленные требования по использованию как программного обеспечения, так и средств защиты информации. Соответственно, если какие-то мероприятия не были выполнены, то ЦБ имеет основания для того, чтобы привлечь банк к каким-то санкциям. Не могу сказать конкретно, что они нарушали, потому что пока эта информация не раскрыта. Оптимально для оплаты в интернете иметь отдельную карту, на которую непосредственно перед оплатой класть деньги, необходимые для данной оплаты. На остальное время на данной карте пусть лежит небольшой минимум совсем, чтобы карта действовала, и все. И оплачивать только с этой карты все интернет-покупки. Даже если эта карта будет скомпрометирована, у вас фактически ничего не похитят. Ни в коем случае нельзя использовать кредитки, дебетовые карты тоже нежелательно».

Где произошла утечка данных, не сообщается, но известно, что ранее в открытом доступе оказалась клиентская база маркетплейса Joom. Кроме того, на то, что мошенникам была известна информация об остатке на счетах, жаловались клиенты Райффайзенбанка, писали «Известия».

Банки должны использовать дополнительные параметры аутентификации, считает директор департамента информационной безопасности компании «Системный софт» Яков Гродзенский.

Яков Гродзенский директор департамента информационной безопасности компании «Системный софт» «Ситуация, когда у нас для получения информации об остатке достаточно знать только номер карты или контактный номер человека, этого, естественно, недостаточно. Понять простому человеку, что номер подменен, очень тяжело. Поэтому для авторизации клиента, например, через IVR, нужно использовать хотя бы часть ПИН-кода, как в некоторых банках, потому что ПИН-коды меньше скомпрометированы, чем сами номера карты. Вместе с тем, я думаю, так или иначе светлое будущее наступит, потому что уже сейчас, насколько я знаю, телеком-операторы «большой четверки» тестируют совместно с банками новую антифрод-систему, которая подменные звонки будет определять, и эта информация будет передаваться в режиме реального времени в службу безопасности банка. Откуда в данном случае произошла утечка, конечно, сейчас сказать точно нельзя».

В конце августа ЦБ и платежная система Visa заявили, что в интернете распространяется база 55 тысяч клиентов маркетплейса Joom, которая содержит данные о банковских картах, номерах телефона и ФИО покупателей. Часть банков решили перевыпустить карты пострадавшим клиентам.

Первоисточник материала www.bfm.ru