Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Космонавты рассказали, что не дали «киноэкипажу» ничего сломать на МКС Технологии и медиа, 19:17
«Барселона» уступила в первом «Эль-класико» после ухода Месси Спорт, 19:13
Патриарха Варфоломея госпитализировали во время визита в США Общество, 19:06
Никола Тесла, диагональный лифт и дома будущего: где бы жили великие РБК и Галс-Девелопмент, 19:05
«Зенит» — «Спартак». Онлайн центрального матча тура РПЛ Спорт, 19:00
Российский теннисист Карацев выиграл Кубок Кремля Спорт, 18:56
Пограничники задержали перешедшего границу России на лодке мэра из Литвы Политика, 18:55
В Германии выступили против введения погранконтроля в ЕС из-за мигрантов Политика, 18:46
В Дептрансе предупредили водителей о заморозках в Москве Общество, 18:18
Как устроен рынок страхования космических запусков РБК и Росгосстрах, 18:14
Дзюба не попал в стартовый состав на матч со «Спартаком» Спорт, 18:09
Трамп заявил, что Соединенные Штаты «умирают» из-за проблем с миграцией Политика, 18:07
Лишенная золота российская гимнастка пожаловалась на ужасный ответ судей Спорт, 17:51
СК завел дело после крушения самолета в Подмосковье Общество, 17:42
Финансы ,  

В Сеть попали данные желающих взять кредит в Совкомбанке

В интернете в свободном доступе опубликовали более 150 тыс. анкет с данными россиян, которые подавали онлайн-заявки на кредит в Совкомбанке. Данные выгрузил недобросовестный сотрудник банка. Ими могут воспользоваться мошенники
Фото: Андрей Любимов / РБК
Фото: Андрей Любимов / РБК

В интернете опубликовали в свободном доступе данные граждан, которые оставляли онлайн-заявки на кредиты в Совкомбанке. Объявление появилось на специализированном теневом сайте 20 сентября. Представитель Совкомбанка подтвердил факт утечки.

О появлении файла РБК рассказал основатель сервиса анализа утечек данных DLBI Ашот Оганесян. В самом объявлении не указано, что заявки на кредиты принадлежат Совкомбанку, но в опубликованных анкетах неоднократно упоминается его название.

Файл содержит более 150 тыс. анкет граждан, подававших заявки на кредит в 2019–2020 годах. В каждой анкете Ф.И.О., номер телефона, паспортные данные, тип запрашиваемого кредита, адрес проживания, семейное положение, Ф.И.О. и контакты родственников, место работы, должность, размер дохода, дата и время звонка от специалистов банка, а также ответы клиентов во время звонка при обработке заявки и т.д. В этих комментариях упоминался Совкомбанк. Кроме того, в файле обозначена CRM-система, с помощью которой собирались и обрабатывались заявки, — это платформа Pyrus. На официальном сайте компании перечислены партнеры, которые пользуются ее решениями. Совкомбанк — единственная кредитная организация из них.

«В мае 2020 года в банке выявили сотрудника внешнего call-центра, незаконно копировавшего поступавшие ему для обзвона интернет-заявки от лидогенераторов (сервиса по приему заявок). Скопированные данные он планировал продать в даркнете. Злоумышленник был задержан сотрудниками полиции и впоследствии отпущен под подписку о невыезде. Имевшиеся копии списков заявок на жестком диске его компьютера и внешних носителях были изъяты. В декабре 2020 года бывший сотрудник банка был признан виновным по ст. 183 ч. 3 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну) и осужден на два года условно», — рассказал представитель Совкомбанка.

Больше 70% россиян заявили о незащищенности от утечек данных
Общество
Фото:Константин Кокошкин / Global Look Press

В ходе следствия этот сотрудник повторно разместил объявление о продаже данных интернет-заявок на кредиты через собственный Telegram-канал, сообщили в банке. «Совкомбанк подал новое заявление в полицию по второму эпизоду попытки мошенничества», — подчеркнул представитель банка. Отдел МВД по Каспийску (Дагестан) возбудил уголовное дело, а потом передал его в региональное управление ФСБ. Сейчас дело направлено в суд по ст. 183 ч. 3 (разглашение банковской тайны) и ст. 274.1 ч. 2 (неправомерный доступ к охраняемой компьютерной информации).

Теперь украденная база размещена в открытом доступе на специализированном сайте.

«Особый цинизм в том, что повторная попытка мошенничества произошла в момент, когда уже было подано заявление в полицию и активно велись следственные действия. Эта ситуация наглядно демонстрирует излишнюю мягкость российских законов в отношении данного типа преступлений, которой активно пользуются мошенники. Мы считаем, что российское законодательство по защите информации и коммерческой тайны давно требует ужесточения», — говорится в заявлении совладельца и первого зампреда Совкомбанка Сергея Хотимского, которое распространила пресс-служба банка.

Как данные могут быть использованы

Информацией могут воспользоваться мошенники, которые звонят своим потенциальным жертвам от имени служб безопасности или других сотрудников банка, говорит Оганесян. Сведения, которые утекли, особенно информация о том, что человек планировал брать кредит в банке, впишутся во многие популярные сейчас схемы телефонного мошенничества, соглашается руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев.

По словам Мальнева, в среднем не менее половины всех ИБ-инцидентов в организации идут изнутри. «Для противодействия угрозам компрометации данных CRM (система взаимоотношений с клиентами. — РБК) и любых других информационных систем необходим комплексный подход на уровне многоуровневой инфраструктурной защиты. Также важно повышать осведомленность сотрудников в области информационной безопасности», — считает эксперт. Кроме того, необходимо выстроить в компании процесс мониторинга таких инцидентов и на постоянной основе проверять, нет ли корпоративных данных компании в интернете, добавил Мальнев.

Как утекают данные клиентов

Согласно исследованию InfoWatch, за девять месяцев 2020 года почти 80% утечек данных из российских компаний произошли из-за внутренних нарушений. Причем в России доля сливов по вине работников вдвое выше, чем в мире, — более 72%. Финансовый сектор занимает второе место по частоте краж данных (18,9% инцидентов), уступая хайтек-индустрии (21,9%).

По последним данным Банка России, во втором квартале 2021 года мошенники украли с банковских счетов россиян более 3 млрд руб., совершив свыше 236,9 тыс. денежных переводов без согласия клиентов. Банки вернули только 7,4% украденных средств. Для хищения денег злоумышленники в основном использовали обманные методы — телефонные звонки или создание поддельных интернет-ресурсов. Во время своих атак мошенники используют персональные данные клиентов, которые в том числе находят в подобных утечках.