Ющук Евгений Леонидович (yushchuk) wrote,
Ющук Евгений Леонидович
yushchuk

Categories:

ЦБ выявил схему, при которой мошенники узнавали остаток на банковских счетах через голосовое меню

Такое мошенничество стало возможным из-за того, что один из банков не соблюдал рекомендации Центробанка по противодействию мобильному мошенничеству и защите клиентов от доступа к конфиденциальной информации

ЦБ выявил схему мошенничества с использованием голосового меню в банке, сообщает РБК. Злоумышленники подменяли телефонные номера клиентов, звонили в систему IVR (интерактивное голосовое меню) и запрашивали сведения по остатку денежных средств, вводя для этого последние четыре цифры номера карты. После этого, используя классические методы социальной инженерии, звонили своим жертвам, представляясь сотрудниками банка и называя сумму остатка, чтобы вызвать доверие клиентов.

Такое мошенничество стало возможным из-за того, что один из банков не соблюдал рекомендации Центробанка по противодействию мобильному мошенничеству и защите клиентов от доступа к конфиденциальной информации, пишет РБК со ссылкой на представителя ЦБ.

Комментирует член Ассоциации руководителей службы информационной безопасности Александр Токаренко.

Александр Токаренко
член Ассоциации руководителей службы информационной безопасности
«Есть обязательные рекомендации Центрального банка, которые регулярно выпускаются, и там идут четко установленные требования по использованию как программного обеспечения, так и средств защиты информации. Соответственно, если какие-то мероприятия не были выполнены, то ЦБ имеет основания для того, чтобы привлечь банк к каким-то санкциям. Не могу сказать конкретно, что они нарушали, потому что пока эта информация не раскрыта. Оптимально для оплаты в интернете иметь отдельную карту, на которую непосредственно перед оплатой класть деньги, необходимые для данной оплаты. На остальное время на данной карте пусть лежит небольшой минимум совсем, чтобы карта действовала, и все. И оплачивать только с этой карты все интернет-покупки. Даже если эта карта будет скомпрометирована, у вас фактически ничего не похитят. Ни в коем случае нельзя использовать кредитки, дебетовые карты тоже нежелательно».
Где произошла утечка данных, не сообщается, но известно, что ранее в открытом доступе оказалась клиентская база маркетплейса Joom. Кроме того, на то, что мошенникам была известна информация об остатке на счетах, жаловались клиенты Райффайзенбанка, писали «Известия».

Банки должны использовать дополнительные параметры аутентификации, считает директор департамента информационной безопасности компании «Системный софт» Яков Гродзенский.

Яков Гродзенский
директор департамента информационной безопасности компании «Системный софт»
«Ситуация, когда для получения информации об остатке, достаточно знать только номер карты и контактный номер человека, небезопасна. Понять простому человеку, что номер подменен, очень тяжело. Поэтому для авторизации клиента, например, через IVR, нужно использовать хотя бы часть ПИН-кода, как в некоторых банках, потому что ПИН-коды меньше скомпрометированы, чем сами номера карты. Вместе с тем, я думаю, так или иначе светлое будущее наступит, потому что уже сейчас, насколько я знаю, телеком-операторы «большой четверки» тестируют совместно с банками новую антифрод-систему, которая подменные звонки будет определять, и эта информация будет передаваться в режиме реального времени в службу безопасности банка. Откуда в данном случае произошла утечка, конечно, сейчас сказать точно нельзя».

В конце августа ЦБ и платежная система Visa заявили, что в интернете распространяется база 55 тысяч клиентов маркетплейса Joom, которая содержит данные о банковских картах, номерах телефона и ФИО покупателей. Часть банков решили перевыпустить карты пострадавшим клиентам.

https://www.bfm.ru/news/453062
Tags: Банки, Мошенничество, Социальная инженерия
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments