Киевская предприниматель Элеонора Малиновская пострадала от обычной мошеннической схемы: у нее увели припейд-номер, к которому был привязан счет в банке. Но пытаясь восстановить доступ, она обнаружила, что мошенники смогли получить данные ее ФОП, паспорт, ИНН, оформить на нее кредит. Более того, с ее карты кто-то списывал средства на протяжении года.
Финансовый ущерб в этой истории — относительно небольшой, она скорее о том, насколько незащищенными на самом деле могут быть данные пользователя, который об этом может не догадываться. Редакция AIN.UA поговорила с Элеонорой и рассказывает детали.
Что произошло
5 февраля 2020 года Элеоноре позвонили неизвестные, представились как сотрудники Vodafone, сообщили об улучшении качества связи и попросили назвать три номера, по которым пользователь звонит чаще всего. Владелица номера сперва не поверила, что это — на самом деле сотрудники оператора, но те упомянули, что по этому номеру недавно меняли кодовое слово через приложение Vodafone.
“После этого я получила SMS с номером запроса “на замену SIM-карты”. Меня удивила формулировка, но значения я не придала, так как старалась не опоздать на рабочую встречу. Через час телефон показал No Service”, — рассказывает она.
Она успела восстановить номер в тот же вечер. К этому же номеру была привязана аутентификация в “Приват24”, поэтому Элеонора позвонила в банк, заявила о краже номера, заблокировала карточки.
6 февраля она в отделении банка сообщила о мошенничестве, поменяла финансовый номер и заказала перевыпуск карт. Вернувшись домой, пользователь зашла в “Приват24”, чтобы проверить выписки и увидела, что мошенники к тому времени успели вывести 1000 грн и пополнить телефон. “Мелочь, но чувство, что тебя поимели”, — вспоминает она.
Элеонора заказала выписку по карте за 2019-2020 год и оказалось, что еще с сентября 2019, то есть, до потери номера, с аккаунтов WFP.EDA и WFP.TICK.AGN*WFP списывали с ее карты по 120-300 грн в месяц. Пользователь обратилась в поддержку “ПриватБанк” и по этому вопросу, но пока не получила объяснения.
Это было еще не все. В это же время пользователю на почту пришло сообщение о получении кредита на 7500 грн в “Динеро” и “Укрпозыка”.
Чтобы оформить кредит, в большинстве случаев нужны данные паспорта и номер налогоплательщика (ИНН).
“Есть только одно предположение, откуда мошенник могли получить информацию о моем паспорте, рабочей почте и ИНН! Схема простая: клонируем карту, сразу входим в “Приват24” по звонку, нажимаем 1, берем информацию паспорта, переходим внутрь приложения по ссылке и вуаля: вы без запроса пароля “Приват24″ для бизнеса получаете доступ к данным по ФОП”, — описывает она ситуацию в Facebook.
Онлайн-кабинеты для получения кредита были созданы мгновенно после увода номера, а деньги мошенники получили уже через 20 минут. Пользователю пришло уведомление на почту и от Portmone с просьбой оценить качество услуг: так она узнала, что и в этой системе тоже создали аккаунт на ее имя, но запросов на кредит не оформляли.
“У мошенников оказалась возможность создавать кабинеты на мое имя, была моя рабочая почта, финансовый номер телефона, номер ИНН и паспорт. Чистая случайность, что я часто проверяю почту и сразу увидела сообщения”, говорит она.
Специалисты по борьбе с мошенничеством банка предложили пострадавшей поменять номер счета. За последнюю неделю она трижды заказывала перевыпуск карт.
Что можно сделать в таком случае
Финансовый ущерб в этой ситуации получился относительно небольшим: до 10 000 грн. Но эта история показывает, насколько просто может быть для мошенников добраться до всех ключевых данные пользователя. Элеонора обратилась в службу поддержки “ПриватБанка”, в кредитные организации, где оформили на нее кредит, написала заявление об утере паспорта и в Киберполицию.
Для себя пользователь сделала из этого несколько выводов, к примеру:
- Все телефонные номера нужно регистрировать на свое имя.
- Финансовый номер должен быть отдельным от номера для ежедневного пользования.
- На почте и в приложениях, где есть такая опция, нужно включать 2-факторную аутентификацию.
- Системы хранения персональных данных в банках могут быть ненадежными.
“Карманные воры все еще не вымерли, но куда сложнее сейчас не стать жертвой социальной инженерии. Не ленитесь лично появляться в офисах компаний, которым однажды передали персональные данные, вместо вопросов-ответов по телефону”, — советует она.