За 2022 год в России утекло более 667 млн записей с персональными данными, посчитали эксперты ГК InfoWatch. Это в два с лишним раза больше, чем годом ранее. Почти в пять раз возросла доля утечек среди торговых предприятий и общепита, почти в три раза — среди промышленных, транспортных и энергетических компаний. Утечки персональных данных из финансовых организаций случаются реже. Рассказываем, нужно ли блокировать карту в случае утечки из банка.
Насколько критична утечка персональных данных из банка
Банки не хранят финансовую и конфиденциальную информацию в полном объеме в одном «файле». Это с большой вероятностью означает, что даже при утечке персональных сведений клиентов из кредитного учреждения у мошенников не будет полноценного доступа к чужим счетам, говорит эксперт Центра финансовой грамотности НИФИ Минфина России Ольга Дайнеко.
По ее словам, опасно, когда утекает целая связка данных — сведения, содержащие не только Ф. И. О. клиента, паспорт, его контактные данные и название банка, но и данные о счетах/картах, текущем балансе, совершенных операциях. Это повышает риск мошенничества: чем больше информации о потенциальной жертве имеет злоумышленник, тем больше у него шансов ввести человека в заблуждение.
Что мошенники могут сделать с персональными данными банковских клиентов
Базы персональных данных из разных источников объединяются. С их помощью мошенники могут сформировать полноценный портрет человека: что человек покупал на маркетплейсах, по какому адресу заказывал доставку, возраст, номер телефона (с помощью которого можно найти человека в соцсетях и мессенджерах).
При этом нужно понимать, что даже при наличии достаточной информации о потенциальной жертве практически невозможно похитить деньги со счета без помощи самого владельца карты. Дело в том, что банки формируют сложную программную защиту с алгоритмом, взломать который и получить доступ к счетам клиентов технически трудно и затратно — злоумышленнику нужно иметь не только необходимую квалификацию, но и дорогостоящее оборудование, указывает Дайнеко.
Большинство преступлений с хищением денег с банковских счетов осуществляется с использованием социальной инженерии. По данным Центробанка России, в 2022 году телефонные аферисты похитили у россиян 14,1 млрд рублей. Мошенники представляются сотрудниками службы безопасности банка или правоохранительных органов, называют Ф. И. О. человека, перечисляют другую персональную информацию и под разными предлогами убеждают сообщить данные для доступа к счету (CVC-код, логин и пароль для входа в онлайн-банк и прочее). Бывает, злоумышленникам удается уговорить гражданина перевести им деньги, установить на смартфон/ноутбук программу с удаленным доступом, сформировать QR-код для снятия наличных в банкомате злоумышленником.
Помимо звонков мошенники используют СМС-сообщения. Например, сначала отправляют уведомление о блокировке карты или о списании средств (с указанием номера карты, инициалов ее владельца и другой информации), а для решения проблемы (разблокировки или отмены операции) предлагают пройти по ссылке. Ссылка оказывается фишинговой, и переход по ней оборачивается компрометацией данных карты и потерей денег.
Вернет ли банк деньги, если они похищены в результате утечки
Если хищение денег произошло по вине банка (в том числе из-за утечки данных), то деньги клиенту финансовая организация обязана вернуть. Ключевым моментом в возврате похищенного является отсутствие согласия клиента на операцию по списанию средств. Под согласием подразумевается отсутствие каких-либо действий по совершению операции по списанию: не подтверждал и не совершал платеж или перевод, не компрометировал данные карты.
Гарантированно получить деньги, похищенные из-за утечки данных из банка, можно в случае, если утечка установлена (не предположение, а факт). Не каждая финансовая организация в случае утечки спешит это признать — связано это прежде всего с тем, что требуется внутреннее расследование, которое занимает определенное время, подчеркивает Дайнеко.
Важно! При несанкционированном списании денег со счета эксперт рекомендует руководствоваться нормами закона, позволяющими вернуть средства в ситуациях, когда банк:
- не уведомил о списании денег;
- не обеспечил безопасность переводов и счетов (имел брешь в программном обеспечении, был технический сбой системы или по иным основаниям);
- знал, что данные/карта похищены, но все равно осуществил трансакцию;
- не проявил должной осмотрительности: когда имелись признаки, что операции совершаются без ведома клиента (несколько списаний подряд, нетипичные для клиента операции, операции с устройства / на счет лицу, включенному в базу данных Банка России о попытках и случаях осуществления перевода денежных средств без согласия клиента), но не приостановил их исполнение;
- допустил ошибку (в том числе техническую или из-за человеческого фактора), которая привела к потере средств клиента.
Если произошло списание средств, в котором клиент фактически не участвовал (не сообщал пароли и коды, не передавал данные карты третьим лицам), то в течение суток после списания нужно сообщить об этом в банк, заблокировать карту и написать заявление на возврат списанных со счета денег.
Заявление клиента рассматривается банком, устанавливаются причины случившегося и при наличии вины банка (например, утечка данных, брешь в системе безопасности или недобросовестные действия служащего) средства вернутся владельцу счета.
Если же средства похищены по вине клиента (назвал мошенникам конфиденциальные данные), в компенсации финансовая организация откажет.
В каком случае нужно перевыпускать карту
Если банк допустил утечку, а утекшие данные относятся к персонализированным сведениям не только о клиенте, но и его счетах (в том числе карточных), финансовая организация сама предлагает клиенту поменять банковскую карту ввиду ее возможной компрометации.
Если же уведомление о необходимости перевыпуска карты не поступило или банк сообщил, что замена карточных данных не требуется, клиент может перевыпустить карту самостоятельно. Номер карты, срок ее действия, CVC-код изменятся, счет же останется прежним — на новую карту можно будет также получать зарплату или пособия.
Обратите внимание: за досрочный перевыпуск карты банк может взимать плату. Как перевыпустить карту, разобрали в статье.
Правила безопасного использования карты: главное
- Важно помнить, что номер банковской карты не считается конфиденциальной информацией. Его утечка не позволит похитить деньги со счета, но может быть использована злоумышленниками для мошеннических схем. Полноценный доступ к счету злоумышленник может получить, только имея все реквизиты карты: номер, имя и фамилию владельца, срок действия, CVC-код. Также к важным данным относится СМС или пуш-уведомления от банка для подтверждения платежа. Знать эту информацию может только владелец карты, поэтому никому не сообщайте ее.
Банк не вернет деньги в случае утечки, если средства похищены по причине действий клиента: например, он сам сообщил конфиденциальную информацию или перешел по фишинговой ссылке.
- Если вам позвонили из банка и сообщили о несанкционированной операции, повесьте трубку и сами свяжитесь с финансовой организацией по номеру, указанному на официальном сайте банка или на карте. Важно! Не стоит перезванивать но телефону, с которого поступал звонок из «службы безопасности». Мошенники используют технологию подмены номеров, выдавая свои телефоны за телефоны финансовых организаций.
- Не переходите по ссылкам из сообщений о несанкционированной операции / одобренном кредите и прочем. Свяжитесь с банком по официальному телефону кредитной организации.
- Утечки с данными банковских карт допускают не только финансовые организации, но и интернет-магазины, где покупатели указывали данные пластика. Для покупок в Интернете рекомендуется использовать виртуальную карту. Как правило, выпускаются они бесплатно.
- Для безопасных «физических» платежей руководитель вертикали «Карты» Банки.ру Антон Сергунов советует оформить платежный стикер — он клеится на смартфон и подносится к терминалу для оплаты. Носить с собой карту не обязательно.
- Если банк предлагает перевыпустить карту в результате утечки персональных данных, рекомендуется сделать это.
