Перевыпустили SIM-карту, получили доступ к Приват24: ПриваБанк о кредитной афере во Львове

Как ранее сообщал Фокус, 6 января 2022 года мошенники, узнав номер телефона гражданки Украины Ирины Илык, смогли перевыпустить SIM-карту, выдав себя за нее, а затем получили доступ к ее данным и взяли несколько микрозаймов на ее имя без. В ПриватБанке, клиенткой которого является пани Илык, нам пояснили, как могли действовать злоумышленники.

Первый вопрос, который волновал многих пользователей соцсетей и читателей, узнавших о данном инциденте: могли ли злоумышленники получить доступ к BankID Ирины Илык, имея в своем распоряжении номер ее телефона и данные (факт перевыпуска "симки" Фокусу подтвердил телеком-оператор Киевстар)?

"Злоумышленники путем перевыпуска SIM-карты смогли получить доступ к аккаунту Приват24, сгенерировали квалифицированную электронную подпись (КЭП) и отпечатки SmartID. В дальнейшем они использовали КЭП клиента и оформили несколько кредитов на сторонних сервисах", — сообщила пресс-служба ПриватБанка.

Ранее Ирина Илык сообщила Фокусу, что злоумышленникам удалось пройти идентификацию и зайти в ее аккаунт "Приват24 для бизнеса".

"Входа в Приват24 не было. Вошли в "Приват24 для бизнеса" и Монобанк", — написала нам Ирина.

В финучреждении подтвердили: "отпечатки SmartID госпожи Илык были скомпрометированы мошенниками". (SmartID — это полноценный электронный аналог личной подписи гражданина. Технология дает возможность подписывать документы, подтверждать личность и получать услуги, используя свой смартфон. SmartID хранятся в "облаке", — ред.).

Что касается ответственности ПриватБанка по данному инциденту, то в пресс-службе объяснили, что "ПриватБанк может нести ответственность согласно условиям и правилам предоставления банковских услуг, а именно:

• 1.1.2.1.10. Во избежание неправомерных операций со счетами, Клиент обязан не оставлять без присмотра телефон/устройство, которое используется для подключения Финансового номера телефона Клиента и/или доступа к программным комплексам Банка. В случае потери Клиентом Финансового номера телефона, при подозрении доступа третьих лиц к Финансовому номеру телефона и других неправомерных действий третьих лиц с Финансовым номером телефона, Клиент обязан немедленно сообщить об этом в Банк по любому из доступных каналов: 3700, чат-онлайн, отделение Банка.
• 2.3.1.2.10.3. Клиент обязан не разглашать сведения о логине и пароль третьим лицам.
• 2.3.1.2.11.1. Банк обязан принять к исполнению дистанционные распоряжения, оформленные и подтвержденные надлежащим образом. Дистанционное распоряжение считается переданным Клиентом и принятым Банком к исполнению, если Клиент для доступа в Систему ввел правильные логин (номер мобильного телефона) и пароль.
• 2.3.1.2.12.2. Банк не несет ответственности за сохранность средств Клиента в случае разглашения Клиентом сведений о логине и пароле третьим лицам – ответственность лежит на клиенте".

Напомним, что в НБУ по нашему запросу отметили, что каждый банк, в зависимости от своих политик, определяет самостоятельно, комбинация каких именно факторов необходима для многофакторной идентификации. Поэтому мы поинтересовались, как устроена система идентификации и аутентификации в ПриватБанке.

В официальном заявлении банк отметил, что "идентификация и аутентификация при восстановлении аккаунта Приват24 происходит в два этапа — через СМС-пароль и PIN-код к карте".

"ПриватБанк систематически распространяет информацию через СМИ о том, что сотрудники банка НЕ звонят к клиенту с требованием назвать номер карты, PIN-код к карте, логин и пароль к аккаунту, НЕ требуют снимать средства с карты и переводить их через терминалы самообслуживания на другие счета. Так действуют только мошенники", — подчеркнули в финучреждении.

В банке утверждают, что "в случае Ирины Илык восстановление аккаунта было осуществлено с корректным вводом PIN-кода к банковской карте потерпевшей. Инициированного запроса на смену мошенниками PIN-кода перед входом в Приват24 не было".

"Это означает, что PIN-код к карте мошенники знали, однако данный PIN-код к карте был известен только Ирине Илык. SMS-подтверждение на смену пароля к аккаунту было инициировано с ее номера телефона", — говорится в заявлении.

"Банк настоятельно рекомендует клиентам НЕ использовать и НЕ размещать свой финансовый телефон на различных сайтах, как это было в случае с Ириной Илык. Тем более с последующим принятием средств за продажу товаров на свой карточный счет, который привязан к аккаунту Приват24", — подчеркнули в пресс-службе финучреждения.

Рекомендации от ПриватБанка по защите клиентских данных

• Не размещайте объявления на различных сайтах, если это финансовый номер на стороне Банка.
• Не передавайте карточные счета для продажи товаров, а применяйте исключительно расчетные счета 2600 для ведения хозяйственной деятельности.
• Не размещайте объявления с мобильными номерами, которые привязаны к банковским счетам.
• Не перезванивайте на неизвестные вам мобильные номера телефонов. Это исключит возможности перевыпуска сим-карты, потому что именно к этому могут побуждать мошенники методами социальной инженерии в разговоре.
• Заключите с операторами мобильной связи договор на персональное абонентское обслуживание с целью исключения возможности восстановления мошенниками вашего мобильного номера телефона.

Ранее мы сообщали о том, что 13 января 2022 года в Киеве мошенники украли телефоны у двух гражданок и попытались оформить кредиты на их имена. В одном из случаев это сделать удалось.