Объявления о продаже аккаунтов и паролей к системе "Телеинфо" ВТБ 24 появились в интернете в середине ноября. Кроме самих аккаунтов и их паролей к "Телеинфо" продавец предлагал номера кредитных карт, привязанных к этим аккаунтам, паспортные данные их владельцев и выбранные ими кодовые слова для дистанционного банковского облуживания. Как предупреждал в своих объявлениях продавец, в предлагаемой базе отсутствовали только PIN-коды и коды проверки подлинности (трехзначные коды, напечатанные с обратной стороны карты, так называемые CVV2 для Visa и CVC2 для MasterCard). Всего он попытался сбыть данные о 438 клиентах ВТБ 24 по цене 1 тыс. руб. за штуку и обещал скидки при покупке всей базы.
Как сообщили "Ъ" в пресс-службе ВТБ 24, продажа сорвалась -- так как объявления были даны и на открытых интернет-площадках, об этом быстро узнала служба безопасности банка, и аккаунты удалось вовремя заблокировать. Все они принадлежали сотрудникам одной компании, находящейся на зарплатном проекте банка. "Аккаунты пользователей пытался продать злоумышленник, который являлся сотрудником данной компании и имел доступ к заявлениям на выпуск банковских карт от сотрудников,-- рассказал представитель ВТБ 24.-- Скомпрометированные аккаунты были заблокированы, никакого ущерба клиентам ВТБ 24 в результате инцидента нанесено не было. О факте компрометации было сообщено руководству и службе безопасности компании".
ВТБ 24 повезло, что аккаунты попытался продать неопытный мошенник, и поэтому их удалось быстро блокировать, считают эксперты. Ведь хотя система "Телеинфо" ВТБ 24 является информационной и позволяет только получать информацию о состоянии счетов и кредитов, выставленные на продажу данные могли дать мошенникам доступ и к деньгам клиентов, уверены они. "В принципе этих данных достаточно, чтобы обчистить счет клиента,-- говорит начальник отдела по работе на финансовых рынках Солид-банка Федор Тихонов.-- За рубежом далеко не все банки-эквайеры требуют обязательного ввода кода CVV при проведении интернет-платежа, многие допускают трансакции и с "нулевым" CVV.
Впрочем, только лишь деньгами потери клиентов могли бы не ограничиться. "По этим данным интернет-мошенники могли бы изготовить настоящую банковскую карточку, на которую переводили бы деньги от мошеннических операций для последующего обналичивания,-- говорит вице-президент Ассоциации российских членов Europay Евгений Балезин.-- О том, что формальный владелец карты стал подставным лицом, через которое обналичивались деньги, он узнал бы только после визита полиции".
В любом случае, скорее всего этот случай не станет единичным, опасаются банкиры. "Пока еще не было случаев, когда карты были скомпрометированы по вине сотрудников компании -- зарплатного клиента. Думаю, что необходимо задуматься над повышением безопасности в этом сегменте",-- отмечает директор департамента платежных систем банка "Российский капитал" Андрей Фролов.
SIA.RU: Главное
