Михаил Фридман спустил данные своих клиентов

На специализированном форуме выставили на продажу данные владельцев кредиток Альфа-банка. В банке подтвердили утечку, заявив, что она затрагивает небольшое число клиентов и не создает угрозы для денег на счетах.

Данные держателей кредитных карт Альфа-банка, а также клиентов «АльфаСтрахования» оказались выставлены на продажу. Продавец, опубликовавший соответствующее объявление на одном из специализированных форумов, заявил, что у него есть свежие данные примерно 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования». Объявление было опубликовано 31 октября, продавец зарегистрировался в этот же день, убедился РБК.

Какие данные продают

В бесплатном пробнике содержалось 13 договоров клиентов Альфа-банка и десять договоров клиентов «АльфаСтрахования». В договорах содержатся ФИО, номер мобильного телефона, паспортные данные, адрес регистрации, сумма кредитного лимита или оформленной страховки, предмет страхования, а также дата заключения договора. По словам продавца, все договоры Альфа-банка, которые есть у него в распоряжении, оформлены в октябре, а выгрузка базы произошла 22 октября. Договоры, заключенные в «АльфаСтраховании», оформлены в один день — 8 мая 2019 года.

РБК проверил клиентов Альфа-банка. При попытке перевести им деньги через мобильное приложение по номеру телефона в 11 случаях из 13 имена, отчества и первые буквы фамилий в приложении совпали с теми, что указаны в договоре, у оставшихся двух номера телефонов к карте банка не привязаны. Дозвониться удалось до девяти клиентов: большинство из них, в том числе те, кого не удалось проверить через мобильное приложение, подтвердили, что недавно оформляли кредитную карту в Альфа-банке. Одному из клиентов уже успели позвонить мошенники, он заблокировал карту.

Данные клиентов, указанные в договорах «АльфаСтрахования», в результате проверки не подтвердились. Часть договоров не содержит ФИО или номер телефона, еще в нескольких записаны ошибочные отчества и предмет страхования. Дозвониться удалось только по четырем номерам из десяти, никто из собеседников не смог в полной мере подтвердить информацию либо вовсе отказался говорить.

Представитель Альфа-банка подтвердил РБК факт распространения персональных данных небольшого числа клиентов. «На данный момент достоверно известно о незаконном распространении персональных данных 15 клиентов», — сказал он. Банк проводит внутреннее расследование «по выявлению масштаба инцидента и обстоятельств, в результате которых такие данные стали доступны третьим лицам».

«Достоверно установлено, что возникновение данной ситуации не является следствием нарушения защиты корпоративной информационной системы банка. Утечка не подвергает опасности средства на счетах клиентов, так как не содержит никаких данных, необходимых для доступа к счетам», — подчеркнул представитель Альфа-банка.

Договоры не содержат номера карт и CVV-коды, поэтому прямого доступа к деньгам мошенники получить не смогут. Однако они могут воспользоваться информацией, чтобы, например, позвонить клиенту под видом банка и выяснить необходимые сведения для кражи денег. Банки при общении с клиентами никогда не запрашивают подобную информацию. Если такой звонок поступает, то необходимо перезвонить в банк по номеру, указанному на сайте или на карте.

Представитель «АльфаСтрахования» сообщил РБК, что компании «известно о фактах размещения в интернете объявлений о продаже данных по договорам страхования электронных устройств». «АльфаСтрахование» уже ввело дополнительные меры безопасности, сейчас оно проводит расследование и проверяет опубликованные данные. «Дальнейшие меры, которые будет предпринимать компания, будут определены на основании результатов расследования», — добавил он. ЦБ не комментирует действующих игроков рынка.

Не первая утечка

С утечками информации о своих клиентах этой осенью сталкивался и Сбербанк. В начале октября в Сеть утекли данные держателей его кредитных карт. Продавец утверждал, что у него в распоряжении около 60 млн записей, Сбербанк подтвердил утечку данных 5 тыс. клиентов.

Позднее другой продавец на профильном форуме выставил на продажу, по его утверждению, данные 11,5 тыс. клиентов банка. Вскоре он был задержан. Выяснилось, что утечка произошла из коллекторского агентства «Национальная служба взысканий», с которым сотрудничал Сбербанк (после утечки банк объявил о расторжении договора).

Всего за первую половину 2019 года в Сеть было выложено около 1,5 тыс. объявлений о продаже баз данных клиентов кредитно-финансовых организаций, выявил ЦБ. Эта информация может использоваться мошенниками для социальной инженерии — этот тип мошенничества стал самым популярным в 2018 году: 97% случаев хищения денежных средств со счетов физлиц были связаны именно с ним.

Как и почему утекают данные

Слив данных и Альфа-банка, и «АльфаСтрахования» на черный рынок мог совершить один и тот же человек — сотрудник банка, причем из низового звена, сказал РБК источник, близкий к ЦБ. «Скорее всего, он сидел на обработке этих договоров и решил слить их на черный рынок, чтобы заработать», — предположил собеседник.

Подобные утечки могут происходить по разным причинам, говорит начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов. Самый распространенный сценарий — утечка из дополнительного офиса банка. Менее вероятный вариант — большая утечка данных из архива. Если судить по открытой статистике по уголовным делам и по характеру документов, то источником утечки могли стать сотрудники кредитного отдела или отдела досудебного погашения задолженностей, считает руководитель направлений «аудит» и «комплаенс» департамента информационной безопасности Softline Илья Тихонов: именно они имеют доступ к различным базам для проверки клиентов.

«Такие данные могут применяться различным образом: их могут использовать мошенники, которые связываются с потенциальными жертвами от лица банка с целью похитить средства, или конкуренты, которые на основании знаний об используемых услугах предлагают людям более выгодные условия», — отметил Тихонов. Утечки из крупных банков — не редкость, на них есть стабильный спрос, поэтому «всегда будут находиться люди, готовые их найти», добавляет он.

Риски компрометации небольших объемов данных актуальны для любого банка, особенно когда источником утечки является один сотрудник, говорит Сизов. «Защититься от потери клиентских данных, которые обслуживает один операционный работник, — крайне непростая задача, и лежит [она] не только в плоскости информационной безопасности, а скорее в физической защите, методах видеоконтроля и внутреннего режима», — указывает он.