Перевипустили SIM-карту, отримали доступ до Приват24: ПриватБанк про кредитну аферу у Львові
У ПриватБанку стверджують, що шахраї знали PIN-код до банківської картки потерпілої. Банк просить не розміщувати свої фінансові номери телефонів на сайтах та в соцмережах і пояснює, у яких випадках готовий понести відповідальність.
Як раніше повідомляв Фокус, 6 січня 2022 року шахраї, дізнавшись номер телефону громадянки України Ірини Ілик, змогли перевипустити SIM-карту, видавши себе за неї, а потім отримали доступ до її даних і взяли кілька мікропозик на її ім'я. У Приватбанку, клієнткою якого є пані Ілик, нам пояснили, як могли діяти зловмисники.
Перше питання, яке хвилювало багатьох користувачів соцмереж та читачів, які дізналися про цей інцидент: чи могли зловмисники отримати доступ до BankID Ірини Ілик, маючи у своєму розпорядженні номер її телефону і дані (факт перевипуску "сімки" Фокусу підтвердив телеком-оператор Київстар)?
"Зловмисники шляхом перевипуску SIM-карти змогли отримати доступ до облікового запису Приват24, згенерували кваліфікований електронний підпис (КЕП) та відбитки SmartID. Надалі вони використали КЕП клієнта та оформили кілька кредитів на сторонніх сервісах", — повідомила пресслужба ПриватБанку.
Раніше Ірина Ілик повідомила Фокусу, що зловмисникам вдалося пройти ідентифікацію та зайти до її облікового запису "Приват24 для бізнесу".
"Увійшли до "Приват24 для бізнесу" та Монобанк", — написала нам Ірина.
У фінустанові підтвердили: "відбитки SmartID пані Ілик були скомпрометовані шахраями". (SmartID — це повноцінний електронний аналог особистого підпису громадянина. Технологія дає можливість підписувати документи, підтверджувати особу та отримувати послуги, використовуючи свій смартфон. SmartID зберігаються в "хмарі", — ред.).
Щодо відповідальності ПриватБанку по цьому інциденту, то в пресслужбі пояснили, що "ПриватБанк може нести відповідальність згідно з умовами та правилами надання банківських послуг, а саме:
- 1.1.2.1.10. Щоб уникнути неправомірних операцій з рахунками, Клієнт зобов'язаний не залишати без нагляду телефон/пристрій, який використовується для підключення Фінансового номера Клієнта та/або доступу до програмних комплексів Банку. У разі втрати Клієнтом Фінансового номера телефону, при підозрі на доступ третіх осіб до Фінансового номера телефону та інших неправомірних дій третіх осіб з Фінансовим номером телефону, Клієнт зобов'язаний негайно повідомити про це Банк по будь-якому з доступних каналів: 3700, чат-онлайн, відділення Банку .
- 2.3.1.2.10.3. Клієнт зобов'язаний не розголошувати інформацію про логіни та паролі третім особам.
- 2.3.1.2.11.1. Банк зобов'язаний прийняти до виконання дистанційні розпорядження, оформлені та підтверджені належним чином. Дистанційне розпорядження вважається переданим Клієнтом та прийнятим Банком до виконання, якщо Клієнт для доступу до Системи ввів правильні логін (номер мобільного телефону) та пароль.
- 2.3.1.2.12.2. Банк не несе відповідальності за збереження коштів Клієнта у разі розголошення Клієнтом відомостей про логіну та паролі третім особам — відповідальність лежить на клієнті".
Нагадаємо, що в НБУ на наш запит зазначили, що кожен банк, залежно від своїх політик, визначає самостійно, комбінація яких саме факторів необхідна для багатофакторної ідентифікації. Тому ми поцікавилися, як влаштовано систему ідентифікації та аутентифікації в ПриватБанку.
В офіційній заяві банк зазначив, що "ідентифікація та аутентифікація при відновленні акаунту Приват24 відбувається у два етапи — через СМС-пароль та PIN-код до карти".
"ПриватБанк систематично поширює інформацію через ЗМІ про те, що співробітники банку НЕ дзвонять до клієнта з вимогою назвати номер картки, PIN-код до картки, логін та пароль до акаунту, НЕ вимагають знімати кошти з картки та переводити їх через термінали самообслуговування на інші рахунки. Так діють лише шахраї", — наголосили у фінустанові.
У банку стверджують, що "у випадку Ірини Ілик відновлення акаунту було здійснено з коректним введенням PIN-коду до банківської картки потерпілої. Ініційованого запиту на зміну шахраями PIN-коду перед входом до Приват24 не було".
"Це означає, що PIN-код до карти шахраї знали, проте цей PIN-код до карти був відомий лише Ірині Ілик. SMS-підтвердження на зміну пароля до облікового запису було ініційоване з її номера телефону", — йдеться у заяві.
"Банк наполегливо рекомендує клієнтам НЕ використовувати та НЕ розміщувати свій фінансовий номер телефону на різних сайтах, як це було у випадку з Іриною Ілик. Тим паче, з подальшим прийняттям коштів за продаж товарів на свій картковий рахунок, який прив'язаний до акаунту Приват24", — підкреслили у пресслужбі фінустанови.
Рекомендації від ПриватБанку із захисту клієнтських даних
- Не розміщуйте оголошення на різних сайтах, якщо це є фінансовим номером на стороні Банку.
- Не передавайте карткові рахунки для продажу товарів, а застосовуйте виключно розрахункові рахунки 2600 для господарської діяльності.
- Не розміщуйте оголошення з мобільними номерами, прив'язаними до банківських рахунків.
- Не телефонуйте на невідомі вам мобільні номери. Це виключить можливості перевипуску сім-карти, тому що саме до цього можуть спонукати шахраї методами соціальної інженерії у розмові.
- Укласти з операторами мобільного зв'язку договір на персональне абонентське обслуговування з метою унеможливлення відновлення шахраями вашого мобільного номера телефону.
Раніше ми повідомляли про те, що 13 січня 2022 року в Києві шахраї вкрали телефони у двох громадянок і спробували оформити кредити на їхні імена. В одному з випадків це зробити вдалося.