Персональные данные клиентов МФО выставили на продажу в интернете
На специализированном интернет-сайте выставлены на продажу данные клиентов микрофинансовых организаций (МФО). В базе содержатся данные более 1,2 млн клиентов МФО, входящей в топ-10 на рынке, уверяет ее продавец (РБК обнаружил объявление о продаже от 2 февраля).
"Пробник" базы, содержащий около 800 записей, включает Ф.И.О., номера телефонов, адреса электронной почты, даты рождения и паспортные данные россиян. Продавец не раскрывает название МФО, чьи данные у него оказались, но большинство клиентов, ответивших на звонки РБК, сообщили, что обращались за займами в компанию "Быстроденьги". Также в пробнике были данные клиентов микрофинансовых компаний "Займер" "еКапуста", "Лайм" и "Микроклад". Они контактировали с МФО в период с 2017-го по конец 2019 года. Часть базы содержит неактуальные номера телефонов, уже не обслуживающихся или сменивших владельца. Некоторые участники базы подтвердили, что их данные в базе верны, но утверждали, что никогда не обращались за займами.
В "Быстроденьгах", изучив часть "пробника" (100 записей) в сравнении с собственной базой, сообщили, что уровень совпадения по строкам составляет 33%, но не по всем параметрам. "Например, совпадает Ф.И.О., но номер телефона отличается от указанного в нашей системе", - сказал Антон Грунтов, директор по безопасности группы компаний Eqvanta (в нее входят "Быстроденьги").
В микрофинансовой компании "Займер" начато оперативное служебное расследование в связи с возможной утечкой персональных данных клиентов. Предварительные результаты показали, что утечки персональных данных из имеющейся базы клиентов МФК не происходило, тем не менее руководство компании обратилось в правоохранительные органы, сказал РБК ее представитель. "Микроклад" сообщил, что в пробной части нет данных его клиентов. Остальные крупные МФО не ответили на запросы РБК."К сожалению, это не первый случай утечки, в декабре был похожий инцидент распространения базы данных якобы МФО. От текущей она отличалась набором информации, названием столбцов", - сообщил Грунтов.
Как могла появиться база
Источник, близкий к ЦБ, сказал РБК, что продаваемая база похожа на объединение данных клиентов МФО из разных источников, а не на утечку из одной компании. Грунтов считает, что база данных не может принадлежать МФО или банкам из-за ее непригодности для работы, так как там есть поля, которые содержат только номер телефона и почту. По его мнению, источником этих данных могут быть веб-мастера или лидогенераторы, которые собирают данные клиентов для дальнейшей перепродажи. "Займер" также пришел к выводу, что источником утечки может быть база данных компаний-партнеров, которые собирают в интернете заявки на кредиты и продают их МФО. Кроме того, там предположили, что это может быть составная база данных клиентов нескольких уже не функционирующих МФО.
Это может быть база одной МФО, которая собрана по кусочкам из разных источников, в том числе из базы своих собственных клиентов, считает основатель компании в сфере информационной безопасности DeviceLock Ашот Оганесян. По его мнению, в базе содержатся заявки на кредит, при этом часть заявок может принадлежать действующим клиентам этой МФО. "Сам продавец это подтвердил, написав в объявлении, что сама компания использует базу для рассылок, но очень редко", - объяснил Оганесян. Утечка могла произойти через инсайдерский канал: либо сам продавец, либо тот, кто передал ему базу, работает в МФО, рассуждает эксперт.
По мнению начальника отдела по противодействию мошенничеству Центра прикладных систем безопасности компании "Инфосистемы Джет" Алексея Сизова, эта база может быть комбинацией данных из нескольких разных источников. "Например, ее можно собрать из базы программы лояльности магазина, дополнив сведениями из систем проверки контрагентов и других источников", - говорит эксперт."Частичные совпадения продающихся в Сети данных о клиентах с данными действующих финансовых компаний объяснимы моделью поведения заемщиков МФО: желая получить деньги взаймы, они обращаются сразу в несколько микрофинансовых компаний", - объяснили в "Займере".
Весьма вероятно, что база действительно содержит 1,2 млн записей, так как сам продавец заявляет о готовности "работать через гаранта" (сервис проверки данных на специализированных сайтах), и это говорит о том, что он не обманет как минимум с количеством записей в базе, допускает Оганесян, но это не означает, что все эти записи достоверные.
Как мошенники могут использовать данные
Эти данные могут использоваться мошенниками для социальной инженерии: они могут придумать схему обмана клиентов на теме получения "выгодных" займов, говорит Оганесян. Кроме того, по его мнению, базой могут воспользоваться другие МФО для привлечения клиентов. Если звонящий представляется сотрудником банка и под предлогом борьбы с мошенниками просит клиента предоставить персональные сведения (данные документов, номера карт, коды из СМС от банков и т.п.), нужно положить трубку и перезвонить в банк по официальному номеру, неоднократно советовал Банк России.
Кроме того, в 2017 году ЦБ сообщил о новом способе использования утекших данных клиентов МФО: мошенники используют их для оформления онлайн-займов на имя жертвы. За восемь месяцев 2017 года ЦБ получил 309 подобных жалоб, что составляет 4% от всех 8,3 тыс. поступивших жалоб на МФО. Более поздние данные ЦБ на запрос РБК не предоставил.
Чтобы получить микрозаем онлайн, необходимы данные паспорта и СНИЛС, последний вид документа не содержится в продаваемой базе, однако мошенники могут заполучить его с помощью социальной инженерии. Кроме того, для проверки принадлежности паспорта человеку, отправившему онлайн-заявку, многие компании запрашивают сканы страниц паспорта и селфи клиента с паспортом в руках. В "Быстроденьгах" отмечают, что, несмотря на совершенствование скоринг-систем и служб безопасности, у мошенников все равно получается брать кредиты на третьи лица, а масштаб мошенничества растет: каждая десятая заявка на заем, поступающая в МФО, характеризуется как потенциально мошенническая, что ведет к отказу в ней.
Источник: РБК: https://www.rbc.ru/finances/06/02/2020/5e3971cc9a79472fd1048e1a
06.02.2020