Российские банкиры столкнулись с новым способом компрометации кредитных карт. Сотрудник предприятия — зарплатного клиента ВТБ 24 попытался продать в интернете данные о нескольких сотнях карточек, к которым он имел доступ. Эксперты считают, что ВТБ 24 повезло: мошенник оказался неопытным.
Объявления о продаже аккаунтов и паролей к системе "Телеинфо" ВТБ 24 появились в интернете в середине ноября. Кроме самих аккаунтов и их паролей к "Телеинфо" продавец предлагал номера кредитных карт, привязанных к этим аккаунтам, паспортные данные их владельцев и выбранные ими кодовые слова для дистанционного банковского облуживания. Как предупреждал в своих объявлениях продавец, в предлагаемой базе отсутствовали только PIN-коды и коды проверки подлинности (трехзначные коды, напечатанные с обратной стороны карты, так называемые CVV2 для Visa и CVC2 для MasterCard). Всего он попытался сбыть данные о 438 клиентах ВТБ 24 по цене 1 тыс. руб. за штуку и обещал скидки при покупке всей базы.
Как сообщили "Ъ" в пресс-службе ВТБ 24, продажа сорвалась — так как объявления были даны и на открытых интернет-площадках, об этом быстро узнала служба безопасности банка, и аккаунты удалось вовремя заблокировать. Все они принадлежали сотрудникам одной компании, находящейся на зарплатном проекте банка. "Аккаунты пользователей пытался продать злоумышленник, который являлся сотрудником данной компании и имел доступ к заявлениям на выпуск банковских карт от сотрудников,— рассказал представитель ВТБ 24.— Скомпрометированные аккаунты были заблокированы, никакого ущерба клиентам ВТБ 24 в результате инцидента нанесено не было. О факте компрометации было сообщено руководству и службе безопасности компании".
ВТБ 24 повезло, что аккаунты попытался продать неопытный мошенник, и поэтому их удалось быстро блокировать, считают эксперты. Ведь хотя система "Телеинфо" ВТБ 24 является информационной и позволяет только получать информацию о состоянии счетов и кредитов, выставленные на продажу данные могли дать мошенникам доступ и к деньгам клиентов, уверены они. "В принципе этих данных достаточно, чтобы обчистить счет клиента,— говорит начальник отдела по работе на финансовых рынках Солид-банка Федор Тихонов.— За рубежом далеко не все банки-эквайеры требуют обязательного ввода кода CVV при проведении интернет-платежа, многие допускают трансакции и с "нулевым" CVV. Поэтому с помощью таких данных можно делать покупки в зарубежных интернет-магазинах и с доставкой в Россию". "В арсенале интернет-мошенников есть инструменты, которые позволяют генерировать CVV-коды карт по их номеру,— добавляет один из сотрудников банка из топ-30.— Поэтому попади эти данные в умелые руки, это стало бы головной болью для службы безопасности банка-эмитента и его клиентов. Кроме того, этих данных достаточно, чтобы, позвонив, например, на горячую линию банка, получить доступ к интернет-банку клиента".
Впрочем, только лишь деньгами потери клиентов могли бы не ограничиться. "По этим данным интернет-мошенники могли бы изготовить настоящую банковскую карточку, на которую переводили бы деньги от мошеннических операций для последующего обналичивания,— говорит вице-президент Ассоциации российских членов Europay Евгений Балезин.— О том, что формальный владелец карты стал подставным лицом, через которое обналичивались деньги, он узнал бы только после визита полиции".
В любом случае, скорее всего этот случай не станет единичным, опасаются банкиры. "Пока еще не было случаев, когда карты были скомпрометированы по вине сотрудников компании — зарплатного клиента. Думаю, что необходимо задуматься над повышением безопасности в этом сегменте",— отмечает директор департамента платежных систем банка "Российский капитал" Андрей Фролов.