Данные 60 миллионов клиентов Сбербанка “утекли” на черный рынок. Теперь мошенники могут украсть мои деньги? И да, и нет

Что произошло?

В прошедшие выходные на специализированном форуме, заблокированном Роскомнадзором, появилось объявление о продаже данных более 60 млн кредитных карт. “Коммерсантъ” получил у продавца пробный фрагмент и изучил его.

Фрагмент содержал личные данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка. В документе были:

  • детальные персональные данные;
  • подробная финансовая информация о кредитной карте;
  • информация об операциях с кредитной картой (покупки, пополнение счета и т.д.);

Сама база с данными разбита на 11 частей – именно столько у Сбербанка территориальных банков. Всего в ней содержится информация о 60 млн карт, тогда как у Сбербанка сейчас около 18 млн активных карт. Это может значить, что продаются данные как действующих, так и уже закрытых кредиток. За данные по каждой карте продавец просит 5 рублей.

Датой утечки данных может быть 24 августа 2019 года.

Как это произошло?

Есть 2 основных варианта, как данные карт могли оказаться на “черном рынке”:

  1. подкуп сотрудников Сбербанка для получения данных;
  2. полная “выгрузка” базы Сбербанка без участия сотрудников учреждения.

Близкий к Центробанку источник “Коммерсанта” уверен, что верным является второй вариант.

Другие инсайдеры издания из сферы информационной безопасности крупных банков говорят, что утечка все же могла произойти из самого Сбербанка – это допустил кто-то, кто имел административный доступ к информации.

Основатель программного комплекса для защиты компаний от утечек информации DeviceLock Ашот Оганесян говорит, что это самая большая и подробная банковская база данных, которая когда-либо продавалась на “черном рынке”.

Какими будут последствия утечки?

  • Ашот Оганесян говорит, что последствия утечки нанесут удар по всей банковской отрасли. Ей займутся Центробанк, Роскомнадзор и правоохранители. А если среди клиентов есть резиденты или граждане Евросоюза, Сбербанку придется уведомить об инциденте Еврокомиссию.
  • Роскомнадзор говорит, что изучит нарушения и решит, какие меры предпринять.
  • Сбербанк начал внутреннее расследование, чтобы найти, как была “слита” база. По словам организации, никаких внешних кибератак на систему не было, поэтому основная версия – преступные действия одного из сотрудников.
  • Угрозы для клиентов из-за утечки нет, говорит Сбербанк. Похищенная информация не позволит списывать деньги с карт, так как в слитой базе нет кодов CVV. Также каждая транзакция без карты требует подтверждения одноразовым смс-кодом, который преступникам не получить – он приходит на телефон владельца карты.

Однако, как пишет Bell, подобные утечки все равно полезны мошенникам. Большинство хищений с банковских карт сейчас происходит с помощью методов социальной инженерии – получения доступа к информации с использованием психологии людей, вхождения в доверие.

То есть, даже не имея CVV и смс-кода, мошенники могут снять деньги – они просто убеждают владельца карты сообщить им эти данные. Например, представившись сотрудником банка и, используя “слитые” данные. Называть CVV и одноразовый смс-код нельзя никому, даже человеку, который представляется сотрудником банка.