Москва, 3 декабря. /МФД-ИнфоЦентр, MFD.RU/
Российские банкиры столкнулись с новым способом компрометации кредитных карт. Как пишет сегодня "КоммерсантЪ", сотрудник предприятия — зарплатного клиента "ВТБ 24" попытался продать в интернете данные о нескольких сотнях карточек, к которым он имел доступ.
Эксперты считают, что "ВТБ 24" повезло: мошенник оказался неопытным.
Объявления о продаже аккаунтов и паролей к системе "Телеинфо" "ВТБ 24" появились в интернете в середине ноября. Кроме самих аккаунтов и их паролей к "Телеинфо" продавец предлагал номера кредитных карт, привязанных к этим аккаунтам, паспортные данные их владельцев и выбранные ими кодовые слова для дистанционного банковского облуживания. Как предупреждал в своих объявлениях продавец, в предлагаемой базе отсутствовали только PIN-коды и коды проверки подлинности (трехзначные коды, напечатанные с обратной стороны карты, так называемые CVV2 для Visa и CVC2 для MasterCard). Всего он попытался сбыть данные о 438 клиентах "ВТБ 24" по цене 1 тыс. руб. за штуку и обещал скидки при покупке всей базы.
Как сообщили изданию в пресс-службе "ВТБ 24", продажа сорвалась — так как объявления были даны и на открытых интернет-площадках, об этом быстро узнала служба безопасности банка, и аккаунты удалось вовремя заблокировать. Все они принадлежали сотрудникам одной компании, находящейся на зарплатном проекте банка. "Аккаунты пользователей пытался продать злоумышленник, который являлся сотрудником данной компании и имел доступ к заявлениям на выпуск банковских карт от сотрудников,— рассказал представитель "ВТБ 24".— Скомпрометированные аккаунты были заблокированы, никакого ущерба клиентам "ВТБ 24" в результате инцидента нанесено не было. О факте компрометации было сообщено руководству и службе безопасности компании".
"ВТБ 24" повезло, что аккаунты попытался продать неопытный мошенник, и поэтому их удалось быстро блокировать, считают эксперты. Ведь хотя система "Телеинфо" "ВТБ 24" является информационной и позволяет только получать информацию о состоянии счетов и кредитов, выставленные на продажу данные могли дать мошенникам доступ и к деньгам клиентов, уверены они. "В принципе этих данных достаточно, чтобы обчистить счет клиента,— говорит начальник отдела по работе на финансовых рынках "Солид-банка" Федор Тихонов.— За рубежом далеко не все банки-эквайеры требуют обязательного ввода кода CVV при проведении интернет-платежа, многие допускают трансакции и с "нулевым" CVV. Поэтому с помощью таких данных можно делать покупки в зарубежных интернет-магазинах и с доставкой в Россию". "В арсенале интернет-мошенников есть инструменты, которые позволяют генерировать CVV-коды карт по их номеру,— добавляет один из сотрудников банка из топ-30.— Поэтому попади эти данные в умелые руки, это стало бы головной болью для службы безопасности банка-эмитента и его клиентов. Кроме того, этих данных достаточно, чтобы, позвонив, например, на горячую линию банка, получить доступ к интернет-банку клиента".
Впрочем, только лишь деньгами потери клиентов могли бы не ограничиться. "По этим данным интернет-мошенники могли бы изготовить настоящую банковскую карточку, на которую переводили бы деньги от мошеннических операций для последующего обналичивания,— говорит вице-президент Ассоциации российских членов Europay Евгений Балезин.— О том, что формальный владелец карты стал подставным лицом, через которое обналичивались деньги, он узнал бы только после визита полиции".
В любом случае, скорее всего этот случай не станет единичным, опасаются банкиры. "Пока еще не было случаев, когда карты были скомпрометированы по вине сотрудников компании — зарплатного клиента. Думаю, что необходимо задуматься над повышением безопасности в этом сегменте",— отмечает директор департамента платежных систем банка "Российский капитал" Андрей Фролов.