В долгах как в шелках. Рост рынка потребительского кредитования. Правила денег от Уоррена Баффета, инвестора №1 в мире.

Счета открытого доступа

октябрь 2011 г.

Российские банкиры столкнулись с новым способом компрометации кредитных карт. Сотрудник предприятия — зарплатного клиента ВТБ24 попытался продать в интернете данные о нескольких сотнях карточек, к которым он имел доступ. Эксперты считают, что ВТБ24 повезло: мошенник оказался неопытным.

Объявления о продаже аккаунтов и паролей к системе «Телеинфо» ВТБ 24 появились в интернете в середине ноября. Кроме самих аккаунтов и их паролей к «Телеинфо» продавец предлагал номера кредитных карт, привязанных к этим аккаунтам, паспортные данные их владельцев и выбранные ими кодовые слова для дистанционного банковского облуживания. Как предупреждал в своих объявлениях продавец, в предлагаемой базе отсутствовали только PIN-кoды и коды проверки подлинности (трехзначные коды, напечатанные с обратной стороны карты, так называемые CW2 для Visa и CVC2 для MasterCard). Всего он попытался сбыть данные о 438 клиентах ВТБ 24 по цене 1 тыс. руб. за штуку и обещал скидки при покупке всей базы.

Как сообщили в пресс-службе ВТБ 24, продажа сорвалась — так как объявления были даны и на открытых интернет-площадках, об этом быстро узнала служба безопасности банка, и аккаунты удалось вовремя заблокировать. Все они принадлежали сотрудникам одной компании, находящейся на зарплатном проекте банка. «Аккаунты пользователей пытался продать злоумышленник, который являлся сотрудником данной компании и имел доступ к заявлениям на выпуск банковских карт от сотрудников, — рассказал представитель ВТБ24. — Скомпроментированные аккаунты были заблокированы, никакого ущерба клиентам ВТБ 24 в результате инцидента нанесено не было. О факте компрометации было сообщено руководству и службе безопасности компании».

ВТБ24 повезло, что аккаунты попытался продать неопытный мошенник, и поэтому их удалось быстро блокировать, считают эксперты. Ведь хотя система «Телеинфо» ВТБ 24 является информационной и позволяет только получать информацию о состоянии счетов и кредитов, выставленные на продажу данные могли дать мошенникам доступ и к деньгам клиентов, уверены они. «В принципе этих данных достаточно, чтобы обчистить счет клиента, — говорит начальник отдела по работе на финансовых рынках Солидбанка Федор Тихонов. — За рубежом далеко не все банки-эквайеры требуют обязательного ввода кода CW при проведении интернет-платежа, многие допускают трансакции и с „нулевым" CW. Поэтому с помощью таких данных можно делать покупки в зарубежных интернет-магазинах и с доставкой в Россию». «В арсенале интернет-мошенников есть инструменты, которые позволяют генерировать CW-коды карт по их номеру,— добавляет один из сотрудников банка из топ-30.— Поэтому попади эти данные в умелые руки, это стало бы головной болью для службы безопасности банка-эмитента и его клиентов. Кроме того, этих данных достаточно, чтобы, позвонив, например, на горячую линию банка, получить доступ к интернет-банку клиента».

Впрочем, только лишь деньгами потери клиентов могли бы не ограничиться. «По этим данным интернет-мошенники могли бы изготовить настоящую банковскую карточку, на которую переводили бы деньги от мошеннических операций для последующего обналичивания, — говорит вице-президент Ассоциации российских членов Europay Евгений Балезин. — О том, что формальный владелец карты стал подставным лицом, через которое обналичивались деньги, он узнал бы только после визита полиции».

В любом случае, скорее всего этот случай не станет единичным, опасаются банкиры. «Пока еще не было случаев, когда карты были скомпрометированы по вине сотрудников компании — зарплатного клиента. Думаю, что необходимо задуматься над повышением безопасности в этом сегменте»,— отмечает директор департамента платежных систем банка «Российский капитал» Андрей Фролов.

А. Баязитова


НОВОСТИ

23 сентября 201621 сентября 201617 сентября 201616 сентября 201615 сентября 201614 сентября 2016

Статьи, интервью, публикации