В долгах как в шелках. Рост рынка потребительского кредитования. Правила денег от Уоррена Баффета, инвестора №1 в мире.

Счета открытого доступа

октябрь 2011 г.

Российские банкиры столкнулись с новым способом компрометации кредитных карт. Сотрудник предприятия — зарплатного клиента ВТБ24 попытался продать в интернете данные о нескольких сотнях карточек, к которым он имел доступ. Эксперты считают, что ВТБ24 повезло: мошенник оказался неопытным.

Объявления о продаже аккаунтов и паролей к системе «Телеинфо» ВТБ 24 появились в интернете в середине ноября. Кроме самих аккаунтов и их паролей к «Телеинфо» продавец предлагал номера кредитных карт, привязанных к этим аккаунтам, паспортные данные их владельцев и выбранные ими кодовые слова для дистанционного банковского облуживания. Как предупреждал в своих объявлениях продавец, в предлагаемой базе отсутствовали только PIN-кoды и коды проверки подлинности (трехзначные коды, напечатанные с обратной стороны карты, так называемые CW2 для Visa и CVC2 для MasterCard). Всего он попытался сбыть данные о 438 клиентах ВТБ 24 по цене 1 тыс. руб. за штуку и обещал скидки при покупке всей базы.

Как сообщили в пресс-службе ВТБ 24, продажа сорвалась — так как объявления были даны и на открытых интернет-площадках, об этом быстро узнала служба безопасности банка, и аккаунты удалось вовремя заблокировать. Все они принадлежали сотрудникам одной компании, находящейся на зарплатном проекте банка. «Аккаунты пользователей пытался продать злоумышленник, который являлся сотрудником данной компании и имел доступ к заявлениям на выпуск банковских карт от сотрудников, — рассказал представитель ВТБ24. — Скомпроментированные аккаунты были заблокированы, никакого ущерба клиентам ВТБ 24 в результате инцидента нанесено не было. О факте компрометации было сообщено руководству и службе безопасности компании».

ВТБ24 повезло, что аккаунты попытался продать неопытный мошенник, и поэтому их удалось быстро блокировать, считают эксперты. Ведь хотя система «Телеинфо» ВТБ 24 является информационной и позволяет только получать информацию о состоянии счетов и кредитов, выставленные на продажу данные могли дать мошенникам доступ и к деньгам клиентов, уверены они. «В принципе этих данных достаточно, чтобы обчистить счет клиента, — говорит начальник отдела по работе на финансовых рынках Солидбанка Федор Тихонов. — За рубежом далеко не все банки-эквайеры требуют обязательного ввода кода CW при проведении интернет-платежа, многие допускают трансакции и с „нулевым" CW. Поэтому с помощью таких данных можно делать покупки в зарубежных интернет-магазинах и с доставкой в Россию». «В арсенале интернет-мошенников есть инструменты, которые позволяют генерировать CW-коды карт по их номеру,— добавляет один из сотрудников банка из топ-30.— Поэтому попади эти данные в умелые руки, это стало бы головной болью для службы безопасности банка-эмитента и его клиентов. Кроме того, этих данных достаточно, чтобы, позвонив, например, на горячую линию банка, получить доступ к интернет-банку клиента».

Впрочем, только лишь деньгами потери клиентов могли бы не ограничиться. «По этим данным интернет-мошенники могли бы изготовить настоящую банковскую карточку, на которую переводили бы деньги от мошеннических операций для последующего обналичивания, — говорит вице-президент Ассоциации российских членов Europay Евгений Балезин. — О том, что формальный владелец карты стал подставным лицом, через которое обналичивались деньги, он узнал бы только после визита полиции».

В любом случае, скорее всего этот случай не станет единичным, опасаются банкиры. «Пока еще не было случаев, когда карты были скомпрометированы по вине сотрудников компании — зарплатного клиента. Думаю, что необходимо задуматься над повышением безопасности в этом сегменте»,— отмечает директор департамента платежных систем банка «Российский капитал» Андрей Фролов.

А. Баязитова


Статьи, интервью, публикации