В Сети продается база данных с информацией о 27 тыс. клиентов Райффайзенбанка, узнали «Известия». В ней содержатся их имена и фамилии, телефоны, первые шесть цифр номера карты, адрес проживания. Это часть утечки из маркетплейса Joom, сообщили в Райффайзенбанке: клиенты уже предупреждены, их карты перевыпущены, добавили в кредитной организации. На теневых форумах и в Telegram-каналах предлагаются и «свежие» базы «Райффайзена», в том числе с данными о балансе карты. Именно эта информация могла быть использована мошенниками, которые массово обзванивали клиентов кредитной организации от имени службы безопасности в первую неделю сентября.
Служба небезопасности
В первых числах сентября клиенты Райффайзенбанка стали массово жаловаться в Facebook на звонки мошенников, использующих методы социальной инженерии. Одна из пользователей соцсети рассказала, что ей позвонили от имени службы безопасности кредитной организации с номера, который один в один совпадает с банковским. Мошенник называл всю персональную и платежную информацию клиентки, в том числе — актуальные остатки по счетам, рассказала она. По ее словам, оператор вынудил назвать код из СМС, с помощью которого он, по-видимому, авторизовался в мобильном банке и вывел около 150 тыс. рублей.
Другой клиент Райффайзенбанка также рассказал о звонке от имени службы безопасности. Мошенник перечислил всю информацию о клиенте, в том числе — остаток на счете, который был актуален на предшествующий звонку день.
В комментариях под постами еще два человека рассказали об аналогичных звонках.
Массовой атаке, скорее всего, предшествует утечка платежных данных из банка. Последний раз на теневых форумах продавалась база клиентов «Райффайзена», включавшая сведения по суммам открытых в банке депозитов, актуальностью примерно на июль 2020 года, заявил «Известиям» основатель сервиса разведки утечек DLBI Ашот Оганесян. Однако, по свидетельствам людей, которым в последние дни звонили мошенники, они обладают куда более свежей (в пределах недели) информацией об остатках на картах и банковских счетах, подчеркнул Ашот Оганесян. По его словам, вероятно, речь идет как минимум о недавней, а возможно, и о до сих пор незакрытой утечке, пользуясь которой злоумышленники продолжают получать данные из банка.
Базы Райффайзенбанка, как и ряда других кредитных организаций, регулярно предлагаются на теневых форумах. Возможно, кто-то выкупил информацию, ранее выставленную на продажу, предположил источник «Известий», близкий к ЦБ. По его словам, есть и такой вариант: утечка старая, но мошенники выбрали «ценных» клиентов и заказали по каждому из них пробив остатков по счетам.
Уязвимость не найдена
«Известия» изучили предложения на теневых форумах и в Telegram-каналах. Один из продавцов предложил купить базу клиентов Райффайзенбанка, в которой содержатся имена и отчества клиентов, их мобильные телефоны, первые шесть цифр карты, платежная система и год окончания действия пластика, а также адреса электронных почт, города и адреса проживания. По словам продавца, с которым связались «Известия», в базе содержится 27 тыс. строк. Каждая тысяча записей стоит $200, сообщил продавец.
По формату эта таблица похожа на утечку из маркетплейса Joom, выяснили «Известия», сравнив тестовый фрагмент и попавшие ранее в Сеть сведения. СМИ писали, что произошла утечка 55 тыс. персональных и платежных данных о клиентах маркетплейса.
«Известия» поделились с Райффайзенбанком тестовым фрагментом. Он полностью совпадает с данными из утечки Joom, подтвердили в кредитной организации. Ее представитель подчеркнул, что банк связался со всеми клиентами, карты которых были скомпрометированы из-за этого слива. Кредитная организация предупредила держателей карт об их блокировке и необходимости перевыпуска. В Райффайзенбанке не уточнили, сколько карт содержалось в утекшей базе Joom.
Другой продавец, с которым связались «Известия», сообщил, что может выгрузить свежие данные по клиентам Райффайзенбанка: их паспортные сведения, номер телефона, регион/отделение, выдавшее карту и баланс на момент выгрузки. Новая информация есть по «центру, югу и востоку», заявил продавец. Однако получить тестовый фрагмент для проверки подлинности информации «Известиям» не удалось.
Еще один собеседник «Известий», который заявил о наличии базы клиентов Райффайзенбанка, готов продать 1 тыс. записей за $400. Формат базы, по его словам, включает ФИО, пол, мобильный телефон, регион, адрес, тип заявки на получение карты.
В самом Райффайзенбанке исключили возможность утечки персональных и платежных данных клиентов. В кредитной организации при этом подчеркнули, что сейчас наблюдается повышенная активность мошенников по обзвону граждан. В банке выясняют, что послужило триггером этому.
Если клиентам сообщали остатки по счетам, актуальным на момент обзвона, то связаться мог мошенник, который имеет непосредственный прямой доступ к базе, считает руководитель аналитического центра компании Zecurion (специализируется на кибербезопасности) Владимир Ульянов. С другой стороны, по его словам, остаток по счетам у многих клиентов может сохраняться примерно на одном уровне неделями: например, держатель карты помнит, что имеет на счете около 70 тыс. рублей. Возможно, он делал в последние дни небольшие покупки, но в то же время ему приходил кэшбэк. Так, злоумышленники могли использовать базу, слитую несколько недель назад.
— Еще один вариант — это целенаправленный пробив конкретных клиентов, выгрузка всей информации по небольшому количеству граждан. Сейчас, когда ряд сотрудников переведен на удаленную работу, обходить системы защиты стало значительно проще. В несколько раз выросло число нарушений политики конфиденциальности, — подчеркнул Владимир Ульянов.
В ЦБ «Известиям» не ответили на вопрос о всплеске мошеннических звонков в отношении клиентов Райффайзенбанка.