Банк России сообщил о новой проблеме — жалобах клиентов микрофинансовых организаций (МФО) на хищение персональных данных. Получив к ним доступ, злоумышленники берут онлайн-займы на чужое имя. Одни микрокредиторы винят во всем развитие онлайн-кредитования и хакеров, другие считают необходимым в первую очередь обезопасить себя от утечек внутри компании. Впрочем, пока серьезно озабочены безопасностью данных клиентов лишь единицы.
О том, что клиенты микрокредиторов стали жаловаться на использование их персональных данных для получения онлайн-займов мошенниками, вчера рассказал руководитель службы по защите прав потребителей финансовых услуг и миноритарных акционеров ЦБ Михаил Мамута. За восемь месяцев 2017 года ЦБ получил 309 подобных жалоб, что составляет 4% от всех 8,3 тыс. поступивших жалоб на МФО. В 2016 году за тот же период было 6,8 тыс. жалоб, но на утечку персональных данных — ни одной.
Участники рынка видят причину роста жалоб на утечку данных в развитии онлайн-займов. По словам ведущего аналитика «Эксперт РА» Ивана Уклеина, в первом полугодии 2017 года было выдано 11 млн микрозаймов, из которых онлайн-займы составляют 18% или (около 2 млн), 1,2 млн онлайн-займов за весь 2016 год. «Для хищения персональных данных часто используется “фишинг”, когда создают полную копию сайта МФО,— рассказывает гендиректор сервиса онлайн-займов “Робот Займер” Сергей Седов.— Мы столкнулись с такой проблемой. Созданный злоумышленниками клон сайта “Робот Займер” собирал персональные данные, а также предлагал выдать заем после внесения небольшой предоплаты». Другой вариант, когда взламывается личный кабинет заемщика на сайте реальной МФО, меняются реквизиты карты, оформляется новый заем и выводятся деньги, указывает заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. При этом, по его словам, атакуются не конкретные компании, злоумышленники заражают потенциальных клиентов МФО вредоносом на сайтах, посвященных микрокредитованию.
Убытки от подобных атак в конечном итоге несут сами микрокредиторы. «Если заемщик не получал средства по займу, деньги перечислялись не на его карту, то взыскать с него средства кредитор в подобной ситуации не может»,— отметил глава коллегии адвокатов «Старинский, Корчаго и партнеры» Евгений Корчаго. Суммы хищений по подобным инцидентам не раскрывают ни участники рынка, ни ЦБ.
Михаил Мамута, руководитель службы по защите прав потребителей финансовых услуг и миноритарных акционеров ЦБ, 3 октября
Мы видим некоторый намек на растущую проблему, связанную с хищением персональных данных клиентов МФО
По словам руководителя отдела информбезопасности МФК «Быстроденьги» Андрея Ледяева, для борьбы с потенциальной угрозой микрокредиторы объединяются в рамках СРО в комитеты, а также присоединяются к FinCert (подразделение ЦБ по борьбе с кибератаками). Однако пока кибербезопасностью серьезно озабочены лишь единицы. По данным ЦБ, к FinCert присоединилось 46 МФО из 2,2 тыс. участников рынка.
Причина столь низкой активность кроется, в частности, и в том, что многие МФО винят в хищениях данных не столько хакеров, сколько своих сотрудников и даже клиентов. «Нередко причиной утечки данных становится банальная нехватка ресурсов для наиболее полной идентификации клиента, иногда — до конца не отлаженная самими онлайн-компаниями система,— отмечает главный исполнительный директор МФО “Домашние деньги” Андрей Бахвалов.— Есть случаи хищения средств и в результате сговора преступников с сотрудниками МФО». Нельзя полностью исключать возможность недобросовестных или непродуманных действий со стороны заемщиков. «Порой люди полагают, что можно получить заем на чужую карту или чужой паспорт, а потом отказаться — якобы его оформили мошенники, подобные случаи порой встречаются»,— отметил Сергей Седов. Повышение финансовой и технической грамотности граждан поможет снизить число таких случаев, считает управляющий директор сервиса онлайн-кредитования «Е-заем» Светлана Гайдукова.