ИБ-эксперт Шмигирилова: в соцсети можно добавлять только пустые банковские карты

Основные банковские карты нельзя привязывать к различным интернет-сервисам, а особенно – к профилям в соцсетях. Об этом "Газете.Ru" сообщили специалисты по информационной безопасности, комментируя сообщение УФСБ по Приморскому краю о вынесении приговора группе злоумышленников, которые, взломав соцсети семи россиян, украли у них более 3,7 млн руб. Подробнее об этом инциденте и мерах безопасности, которые нужно соблюдать в сети, используя банковские карты, – в материале "Газеты.Ru".

История на миллионы

2 июля 2024 года в силу вступил приговор, вынесенный Ленинским районным судом города Владивостока, в отношении двух мужчин: Д. В. Найденова и В. А. Оваяна. Первый получил наказание в виде лишения свободы сроком 4 года и 6 месяцев, а второй – 4 года ровно. Оба преступника были осуждены за серию краж денежных средств с банковских счетов россиян, аккаунты которых в соцсети "ВКонтакте" были взломаны. Об этом "Газете.Ru" сообщили в УФСБ по Приморскому краю.

Преступники орудовали с октября 2018 года по март 2019-го. За это время их жертвами стали семь человек – все воспитанники детдомов, что не является совпадением. По данным УФСБ по Приморскому краю, один из преступников – Найденов – сам бывший детдомовец. Он знал, что у сирот имеются открытые счета в банках, куда начисляется пенсия и подъемные средства от государства.

"Найденов пробивал наличие у сирот аккаунтов в социальной сети "ВКонтакте", после чего направлял им с подставного профиля сообщение о выигрыше телефона с ссылкой на сайт, в котором для получения приза необходимо вести логин и пароль.

В результате преступник узнавал парольно-логиновые сочетания для входа в социальную сеть и выявлял привязку аккаунта жертвы к банковской карте", – объяснили "Газете.Ru" в УФСБ.

Полученную информацию (данные о банковской карте и ФИО жертвы) Найденов передавал Овояну. Тот, в свою очередь, имел подельника в лице С. Б. Лилётки, который работал клиентским менеджером в одном из крупнейших российских банков. Лилётка подделывал заявления от имени сирот на имя директора детского дома (имеется в виду заявление от несовершеннолетнего воспитанника на приобретение товаров народного потребления вроде компьютеров и смартфонов за счет пенсионных накоплений, – "Газета.Ru".) и переводил денежные средства на карты Овояна и Найденова. Сироты при этом оставались в полном неведении о списании денег с их вкладов.

Менее чем за год преступники украли 3 775 950 рублей. Все трое – Найденов, Оваян, Лилётка – были арестованы в марте 2021 года. Первым наказание получил Лилётка – его в том же 2021-м приговорили к лишению свободы на один год условно с испытательным сроком тоже в один год.

Картам в соцсетях не место

Во всех перечисленных случаях отправной точкой для мошенников стало наличие у жертвы банковской карты, привязанной к аккаунту во "ВКонтакте". Специалист по нормативно-правовому регулированию ИБ-компании "Код безопасности" Шмигирилова Александра в разговоре с "Газетой.Ru" заявила, что привязка платежных средств к любым онлайн-сервисам, а особенно к соцсетям, является в целом большой ошибкой. По ее словам, этой процедуры лучше избегать. "Любые персональные и финансовые данные, которые находятся на общественной платформе, многократно увеличивают уязвимую "поверхность". Если мошенники доберутся до аккаунта, они быстро получат доступ к чувствительной информации и могут использовать ее в своих целях", – сказала она.

Похожего мнения придерживается и директор по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний "Гарда" Павел Кузнецов. По его словам, это опасно как минимум тем, что в последние годы в России участились утечки данных, которые включают логины и пароли. Если утекший пароль будет подходить к аккаунту с банковской картой в соцсети, злоумышленники обязательно попробуют украсть с нее денежные средства.

Шмигирилова добавила, что, если карту использовать в соцсетях необходимо, то она не должна быть основной, зарплатной. Лучше для этих целей завести отдельный банковский счет и хранить на нем небольшие суммы. Либо вовсе держать счет пустым и переводить на него столько денег, сколько необходимо для одной запланированной покупки. Сейчас это не составляет большого труда, поскольку банки позволяют создавать виртуальные карты за считанные минуты.

"Также рекомендуется удалять данные карты из аккаунта после финансовой операции. С одной стороны, это неудобно – постоянно вводить-удалять данные, с другой, это не занимает много времени, а уровень безопасности кардинально вырастает", – сказала эксперт.

Для безопасности денежных средств, хранящихся на привязанных к онлайн-сервисам картах, руководитель направления "Киберразведка" системного интегратора по ИБ "Бастион" Константин Ларин рекомендует включать все функции безопасности на стороне банка. В первую очередь, это касается опции 3-D Secure, которая обязывает клиента подтверждать все онлайн-платежи кодом из SMS или Push-уведомления.

Уязвимые группы

Александра Шмигирилова из "Кода безопасности" отметила, что воспитанники детских домов часто становятся жертвами мошенников в интернете. Так происходит ввиду их низкого уровня интеграции в быт, который заключается в том числе и во взаимодействии с государственными онлайн-сервисами вроде "Госуслуг".

"Воспитанники детских домов до совершеннолетия живут в довольно ограниченном мире – у них ограничены контакты с государственными структурами, такими как банки, ЖКХ, госуслуги и прочее; они не принимают самостоятельных решений и не очень знают, как проходит реальная жизнь, о них так или иначе заботится государство.

Поэтому после выпускного им нужно время, чтобы адаптироваться", – сказала она.

Ведущий аналитик информационной безопасности компании Inostage Камиль Садыков добавил, что несовершеннолетние в принципе являются одной из самых уязвимых групп, которых часто атакую мошенники.

"У них объективно недостаточно жизненного опыта для принятия решений о том, какую информацию публиковать и с кем взаимодействовать в интернете. К примеру, упомянув в постах о своем кумире и получив сообщение якобы от него, они могут поверить, что это правда и начать выполнять требования злоумышленников, будь то оплата билета на несуществующий концерт "для своих" или ссылка, которая вместо новой песни ведет на вирусное ПО", – объяснил Садыков.

Константин Ларин из "Бастиона" добавил, что также с использованием банковских карт в интернете нужно быть осторожными пожилым людям, людям с ограниченными возможностями, а также людям, находящимся в кризисных ситуациях (после ДТП, пожара, потери кормильца и т.д.). Они все являются уязвимыми социальными группами, на которых часто срабатывают распространенные мошеннические сценарии с, например, фейковыми соцвыплатами.