Сбербанк на вашей стороне...
Но это не точно
Среди «пабликов» (мини-блогов), на которые я подписан в YouTube, есть канал известного российского спортсмена Ивана Водянова. Буквально на днях он выложил ролик, где рассказал, как остановился в шаге от того, чтобы пополнить печальный строй обманутых интернет-мошенниками.
Привожу его рассказ. Разумеется, не дословно, но смысл постараюсь сохранить.
— Вечером — звонок. Мужчина представляется сотрудником службы безопасности Сбера и сообщает, что с моей карты пытаются сделать перевод на 7200 рублей. «Не вы ли это?» — спрашивает звонящий.
Уже потом я понимаю, насколько нелогично выглядит выстроенная им конструкция. Ведь переводов совершается масса, и что получается: СБшники обзванивают всех и поголовно спрашивают: вы это или не вы? Какие такие признаки указывают им на возможное мошенничество? И если звонивший предположил и даже обозначил возможность подобного, то как именно я должен был его разуверить?
Но об этом я подумал уже потом. В момент, когда тебе звонят с подобной информацией, соображаешь не сразу. А вот что на ум пришло сразу, так это мысль: у меня же там куча денег, начнут проверку, заблокируют всю мою «оборотку»!
Тем временем «безопасник» развивает тему. Называет меня по имени-отчеству, просит продиктовать номер договора, либо номер карты. Ещё не распознав в нём мошенника, возмущённо реагирую: я в машине еду, какой, к чёрту, номер, с собой я его ношу, что ли!
Это был второй прокол: откуда у обычного гражданина в обычной ситуации при себе номер договора? Тем не менее я дотягиваюсь до портмоне, беру карточку, начинаю диктовать и тут… соображаю, что это развод. Я же столько раз об этом слышал!
Начинаю крыть собеседника матом и бросаю трубку. Вернее, выключаю мобильник.
Кстати, уже дома я зашёл в личный кабинет клиента Сбера — никаких переводов нет, всё стабильно.
Но история на этом не закончилось. Самое удивительное было впереди. Через какое-то время снова звонят. Сейчас, мол, вам с номера 900 придёт подтверждение, чтобы вы убедились, что с вами общается действительно Сбербанк. А я вспоминаю, как слышал, что смски приходят, но не с номера 900, а с похожих. Например, когда третьей стоит буква «О».
И тут мне приходит сообщение, причём действительно с номера 900. Текст какой-то странный: «Код на подтверждение заявки на дебетовую карту». Но в суть я не вдумывался, главным было не это. Я-то предполагал, что с номера Сбербанка никто мне сигналить не может. Оказывается, может!
Как там Иван дальше разбирался со звонившим, не важно, поскольку присутствовали выражения в основном непечатные. Для нас же интересно следующее дополнение от Ивана:
— Говорят, что пару недель назад у Сбера украли базу на трёх миллионов его клиентов. У мошенников есть реквизиты ваших карт (ваши ФИО и 16-значный номер). У них нет лишь трёхзначного CVC-кода карты Сбербанка, введение которого символизирует подтверждение любой операции.
Задавшись целью установить правдивость этой информации, я узнал следующее. Действительно, по данным издания «Коммерсантъ», база данных с подробной информацией о владельцах 60 млн (а не трёх, как говорил Иван) кредитных карт Сбербанка оказалась на «чёрном» рынке. Утечка могла произойти в конце августа. Эксперты называют эту утечку самой крупной в российском банковском секторе. В Сбербанке, разумеется, утверждали, что угрозы средствам клиентов нет, дескать, никаких внешних кибератак не зафиксировано. Ну и, как водится, обещали информировать о проводимых мероприятиях в связи с возможной утечкой информации.
Спустя какое-то время Сбербанк сообщил, что нашёл виновного в утечке данных клиентов.
Так, объявление о продаже «свежей базы крупного банка» появилось на специализированном форуме, заблокированном Роскомнадзором. По словам продавца в объявлении, в базе данных содержится информация о более чем 60 млн кредитных карт. Потенциальным покупателям продавец предлагал пробный фрагмент выборки из базы в составе двухсот строк. По информации специалистов компании DeviceLock, которые первыми обнаружили такую масштабную утечку, данный фрагмент содержал данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка.
В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты операционного дня», которая может свидетельствовать о времени утечки, указано 24 августа 2019 года.
База разбита на 11 частей (именно столько у Сбербанка сейчас территориальных банков). Каждая отдельная строка продаётся за пять рублей.
Для проверки гипотезы корреспондент издания «Коммерсантъ» попросил продавца найти в базе свои данные. Вскоре ему была предоставлена информация о кредитной карте, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают ФИО и номера договоров об открытии кредитных карт.
Резюмирую: последний «бастион» защиты вашей карты Сбербанка перед мошенником — тот самый трёхзначный CVC-код. Перебирать тысячу вариантов у злодея не получится, поскольку после трёх вводов неверного кода карта блокируется. Поэтому всеми правдами и неправдами у вас будут стараться вытянуть именно его. Не поддавайтесь!
О том, каким образом мошенники научились посылать смски с номера 900, подробно расскажу в следующий раз.
Артём КИРПИЧЁВ, рисунок Николая РАЧКОВА