В ПриватБанке утверждают, что мошенники знали PIN-код к банковской карте потерпевшей. Банк просит не размещать свои финансовые номера телефонов на сайтах и в соцсетях и объясняет, в каких случаях готов понести ответственность.
Как ранее сообщал Фокус, 6 января 2022 года мошенники, узнав номер телефона гражданки Украины Ирины Илык, смогли перевыпустить SIM-карту, выдав себя за нее, а затем получили доступ к ее данным и взяли несколько микрозаймов на ее имя без. В ПриватБанке, клиенткой которого является пани Илык, нам пояснили, как могли действовать злоумышленники.
Первый вопрос, который волновал многих пользователей соцсетей и читателей, узнавших о данном инциденте: могли ли злоумышленники получить доступ к BankID Ирины Илык, имея в своем распоряжении номер ее телефона и данные (факт перевыпуска "симки" Фокусу подтвердил телеком-оператор Киевстар)?
"Злоумышленники путем перевыпуска SIM-карты смогли получить доступ к аккаунту Приват24, сгенерировали квалифицированную электронную подпись (КЭП) и отпечатки SmartID. В дальнейшем они использовали КЭП клиента и оформили несколько кредитов на сторонних сервисах", — сообщила пресс-служба ПриватБанка.
Ранее Ирина Илык сообщила Фокусу, что злоумышленникам удалось пройти идентификацию и зайти в ее аккаунт "Приват24 для бизнеса".
"Входа в Приват24 не было. Вошли в "Приват24 для бизнеса" и Монобанк", — написала нам Ирина.
В финучреждении подтвердили: "отпечатки SmartID госпожи Илык были скомпрометированы мошенниками". (SmartID — это полноценный электронный аналог личной подписи гражданина. Технология дает возможность подписывать документы, подтверждать личность и получать услуги, используя свой смартфон. SmartID хранятся в "облаке", — ред.).
Что касается ответственности ПриватБанка по данному инциденту, то в пресс-службе объяснили, что "ПриватБанк может нести ответственность согласно условиям и правилам предоставления банковских услуг, а именно:
- 1.1.2.1.10. Во избежание неправомерных операций со счетами, Клиент обязан не оставлять без присмотра телефон/устройство, которое используется для подключения Финансового номера телефона Клиента и/или доступа к программным комплексам Банка. В случае потери Клиентом Финансового номера телефона, при подозрении доступа третьих лиц к Финансовому номеру телефона и других неправомерных действий третьих лиц с Финансовым номером телефона, Клиент обязан немедленно сообщить об этом в Банк по любому из доступных каналов: 3700, чат-онлайн, отделение Банка.
- 2.3.1.2.10.3. Клиент обязан не разглашать сведения о логине и пароль третьим лицам.
- 2.3.1.2.11.1. Банк обязан принять к исполнению дистанционные распоряжения, оформленные и подтвержденные надлежащим образом. Дистанционное распоряжение считается переданным Клиентом и принятым Банком к исполнению, если Клиент для доступа в Систему ввел правильные логин (номер мобильного телефона) и пароль.
- 2.3.1.2.12.2. Банк не несет ответственности за сохранность средств Клиента в случае разглашения Клиентом сведений о логине и пароле третьим лицам – ответственность лежит на клиенте".
Напомним, что в НБУ по нашему запросу отметили, что каждый банк, в зависимости от своих политик, определяет самостоятельно, комбинация каких именно факторов необходима для многофакторной идентификации. Поэтому мы поинтересовались, как устроена система идентификации и аутентификации в ПриватБанке.
В официальном заявлении банк отметил, что "идентификация и аутентификация при восстановлении аккаунта Приват24 происходит в два этапа — через СМС-пароль и PIN-код к карте".
"ПриватБанк систематически распространяет информацию через СМИ о том, что сотрудники банка НЕ звонят к клиенту с требованием назвать номер карты, PIN-код к карте, логин и пароль к аккаунту, НЕ требуют снимать средства с карты и переводить их через терминалы самообслуживания на другие счета. Так действуют только мошенники", — подчеркнули в финучреждении.
В банке утверждают, что "в случае Ирины Илык восстановление аккаунта было осуществлено с корректным вводом PIN-кода к банковской карте потерпевшей. Инициированного запроса на смену мошенниками PIN-кода перед входом в Приват24 не было".
"Это означает, что PIN-код к карте мошенники знали, однако данный PIN-код к карте был известен только Ирине Илык. SMS-подтверждение на смену пароля к аккаунту было инициировано с ее номера телефона", — говорится в заявлении.
"Банк настоятельно рекомендует клиентам НЕ использовать и НЕ размещать свой финансовый телефон на различных сайтах, как это было в случае с Ириной Илык. Тем более с последующим принятием средств за продажу товаров на свой карточный счет, который привязан к аккаунту Приват24", — подчеркнули в пресс-службе финучреждения.
Рекомендации от ПриватБанка по защите клиентских данных
- Не размещайте объявления на различных сайтах, если это финансовый номер на стороне Банка.
- Не передавайте карточные счета для продажи товаров, а применяйте исключительно расчетные счета 2600 для ведения хозяйственной деятельности.
- Не размещайте объявления с мобильными номерами, которые привязаны к банковским счетам.
- Не перезванивайте на неизвестные вам мобильные номера телефонов. Это исключит возможности перевыпуска сим-карты, потому что именно к этому могут побуждать мошенники методами социальной инженерии в разговоре.
- Заключите с операторами мобильной связи договор на персональное абонентское обслуживание с целью исключения возможности восстановления мошенниками вашего мобильного номера телефона.
Ранее мы сообщали о том, что 13 января 2022 года в Киеве мошенники украли телефоны у двух гражданок и попытались оформить кредиты на их имена. В одном из случаев это сделать удалось.