Жительнице Новосибирска пришел отказ в получении кредитной карты в одном из банков, услугами которого она пользовалась. При этом карту девушка и не пыталась получить, а связавшись с банком, выяснила, что заявка поступила от одного из финансовых маркетплейсов. Корреспондент NGS. RU выяснила, что за схему пытались провернуть мошенники, чтобы украсть чужие деньги, а также узнала, чем опасны подобные случаи и как защитить свои данные.

«Стало страшно»

Оксана Петрова (имя изменено по просьбе героини публикации) поздно вечером наткнулась на сообщение от банка, клиентом которого она является. В нем ей отказали в выдаче кредитной карты.

«У меня действительно есть кредитка в этом банке — деньги лежат на всякий случай, но пока я ни разу ею не пользовалась. А тут такое сообщение, — рассказала девушка. — Сначала я подумала, что это сообщение от мошенников, так как в сообщении была еще и ссылка, по которой можно было узнать подробности рассмотрения заявки. Но в почте я увидела сообщение от банка с такой же информацией. И тут стало страшно».

Оксана пришла к выводу, что ее аккаунт взломали, и начала звонить в поддержку. В разговоре сотрудница банка сообщила, что никакого взлома не было, на всякий случай сбросила пароль в личном кабинете, а также сообщила о том, что заявка в банк поступила от финансового маркетплейса «Сравни».

При этом, как уверяет Оксана, она никогда не пользовалась этим сервисом и личных кабинетов там не создавала. В банке ей посоветовали написать заявление в полицию по факту мошенничества, но успокоили: ни одна финансовая организация не может выдать заём без личного присутствия желающего получить деньги или хотя бы без подтверждения его личных данных, тем более если установлен самозапрет, как в случае Оксаны. Главное, напомнили в банке, никому не называть цифры, которые могут прийти в СМС.

Оксана попыталась войти на сайт маркетплейса и легко смогла сделать это по номеру своего телефона и пришедшему на него коду. Это ее удивило.

«Кто-то создал профиль, привязанный к почте, которой у меня никогда не было, как и доступа к ней, но с указанием моего номера телефона и имени. Даже фамилии не было. И висели две заявки — на 300 и 500 тысяч. В обосновании, зачем мне такие суммы, было прописано „просто деньги“, — рассказала собеседница. — Тут меня уже начало трясти. Я представила, во сколькие финучреждения аферисты могли подать от меня заявки».

Личный кабинет девушка удалила и на всякий случай изменила пароль к электронной почте, а затем связалась с поддержкой маркетплейса и сообщила о случившемся.

По минимуму данных

В пресс-службе «Сравни» сообщили, что провели внутреннее расследование по обращению Оксаны.

«В результате выяснилось, что заявку отправили не напрямую через „Сравни“, а через сайт одного из партнеров маркетплейса», — отметили в компании.

В заявке, по информации пресс-службы сервиса, содержался минимальный набор данных: только имя и номер телефона. Этого недостаточно для оформления какого-либо кредитного продукта, подчеркнули в «Сравни».

«Мы оперативно приняли меры: сотрудничество с этим агрегатором приостановили до ужесточения контроля качества заявок. Несмотря на постоянное усиление защиты персональных данных, риски фишинга и других мошеннических схем сохраняются. Пользователям рекомендуем внимательно относиться к передаче личной информации и сразу обращаться в службу поддержки при любых подозрительных ситуациях», — напомнили в компании.

Представители сервиса также заверили, что его специалисты постоянно работают над повышением уровня безопасности: внедряют новые технологии мониторинга и автоматические системы для выявления потенциальных угроз.

«Универсального способа нет»

Заместитель начальника Сибирского ГУ Банка России Павел Вернер напомнил, что работу финансовых маркетплейсов в стране контролирует Банк России. Регулятор ведёт официальный реестр таких площадок с указанием адресов сайтов, а все аккредитованные сервисы обязаны обеспечивать защиту персональных данных и безопасность платежей.

По его словам, оформление кредита или займа только по номеру телефона невозможно. Перед одобрением банки и микрофинансовые организации в обязательном порядке проводят дополнительную идентификацию клиента — запрашивают паспортные данные, СНИЛС или сведения из Госуслуг.

Павел Вернер подчеркнул, что универсального способа полностью защититься от мошенников не существует. Часто люди сами, не осознавая рисков, передают конфиденциальную информацию, а также оставляют в открытом доступе «цифровой след», которым пользуются злоумышленники — например, публикуют фотографии визитов в банк или поездок.

«Если по телефону, в мессенджере или соцсетях у вас просят персональные данные, коды или начинают разговор о деньгах, „переключая“ между разными ведомствами, — разговор нужно сразу прекращать», — отметил он.

С прошлого года жители региона могут установить самозапрет на кредиты — этой возможностью уже воспользовались более 300 тысяч новосибирцев. Сделать это можно через Госуслуги или МФЦ. При этом самозапрет защищает только от оформления новых займов, но не от хищения собственных средств.

Дополнительной мерой безопасности стал сервис «второй руки», который работает в банках с сентября прошлого года. Клиент может назначить доверенное лицо, которое будет подтверждать нетипичные операции — например, переводы на крупные суммы или незнакомым получателям. При этом доверенный человек не получает доступа к счету и подтверждает только конкретные операции.

По словам Павла Вернера, такой механизм особенно полезен для людей старшего возраста и позволяет значительно снизить риски мошенничества.

«Подготовительный этап»

Главный эксперт «Лаборатории Касперского» Сергей Голованов считает, что, вероятнее всего, речь идет о популярной схеме кредитного мошенничества с использованием скомпрометированных аккаунтов на финансовых маркетплейсах. Злоумышленники получают доступ к таким аккаунтам, используя информацию из утечек данных или подбирая пароли, после чего от имени потенциальной жертвы рассылают кредитные заявки в банки.

«Даже если деньги жертве не выдадут, например, из-за необходимости личной аутентификации или самозапрета, для злоумышленников эти действия могут иметь смысл. Подобные заявки они могут использовать как подготовительный этап для более сложной атаки на основе социальной инженерии (методы и тактики воздействия, основанные на психологическом манипулировании, для контроля поведения человека и доступа к его конфиденциальной информации. — Прим. ред.)», — предупредил Сергей Голованов.

Чтобы обезопасить себя, напомнил эксперт, важно соблюдать базовые правила цифровой гигиены и финансовой грамотности: в каждом электронном сервисе устанавливать свой уникальный пароль, использовать для этих паролей сложные комбинации символов, хранить их в менеджерах паролей и регулярно обновлять.