Читайте новини і аналітику про ритейл та e-commerce в Україні на нашій сторінці в Facebook, на нашому каналі в Telegram, а також підписуйтеся на щотижневу e-mail розсилку.
AIN: Как мошенники увели у киевского предпринимателя SIM-карту, получили доступ к счету в банке, почте, паспорту, ИНН и данным ФОП
Фото: consumerreports
Киевская предпринимательница Элеонора Малиновская пострадала от обычной мошеннической схемы: у нее увели припейд-номер, к которому был привязан счет в банке. Пытаясь восстановить доступ, она обнаружила, что мошенники смогли получить данные ее ФОП, паспорт, ИНН, оформить на нее кредит, а с карты кто-то списывал средства на протяжении года. Историю предпринимательницы рассказывает AIN.
Что произошло
5 февраля 2020 года Элеоноре позвонили неизвестные, представились сотрудникми Vodafone, сообщили об улучшении качества связи и попросили назвать три номера, по которым пользователь звонит чаще всего. Владелица номера сперва не поверила, что это – на самом деле сотрудники оператора, но те упомянули, что по этому номеру недавно меняли кодовое слово через приложение Vodafone. "После этого я получила SMS с номером запроса "на замену SIM-карты". Меня удивила формулировка, но значения я не придала, так как старалась не опоздать на рабочую встречу. Через час телефон показал No Service", – рассказывает она.
Элеонора успела восстановить номер в тот же вечер. К этому же номеру была привязана аутентификация в "Приват24", поэтому Элеонора позвонила в банк, заявила о краже номера, заблокировала карточки.
На следующий день она сообщила о мошенничестве в отделение банка, поменяла финансовый номер и заказала перевыпуск карт. Вернувшись домой, пользователь зашла в "Приват24", чтобы проверить выписки и увидела, что мошенники к тому времени успели вывести 1000 грн и пополнить телефон. "Мелочь, но чувство, что тебя поимели", – вспоминает она.
Элеонора заказала выписку по карте за 2019-2020 год и оказалось, что еще с сентября 2019, то есть до потери номера, с аккаунтов WFP.EDA и WFP.TICK.AGN*WFP списывали с ее карты по 120-300 грн в месяц. Она обратилась в поддержку "ПриватБанк" и по этому вопросу, но пока не получила объяснения.
Это было еще не все. В это же время пользователю на почту пришло сообщение о получении кредита на 7500 грн в "Динеро" и "Укрпозыка".
Чтобы оформить кредит, в большинстве случаев нужны данные паспорта и номер налогоплательщика (ИНН).
"Есть только одно предположение, откуда мошенник могли получить информацию о моем паспорте, рабочей почте и ИНН! Схема простая: клонируем карту, сразу входим в "Приват24" по звонку, нажимаем 1, берем информацию паспорта, переходим внутрь приложения по ссылке и вуаля: вы без запроса пароля "Приват24" для бизнеса получаете доступ к данным по ФОП", – описывает она ситуацию в Facebook.
Онлайн-кабинеты для получения кредита были созданы мгновенно после увода номера, а деньги мошенники получили уже через 20 минут. Пользователю пришло уведомление на почту и от Portmone с просьбой оценить качество услуг: так она узнала, что и в этой системе тоже создали аккаунт на ее имя, но запросов на кредит не оформляли.
"У мошенников оказалась возможность создавать кабинеты на мое имя, была моя рабочая почта, финансовый номер телефона, номер ИНН и паспорт. Чистая случайность, что я часто проверяю почту и сразу увидела сообщения", – говорит она.
Специалисты по борьбе с мошенничеством банка предложили пострадавшей поменять номер счета. За последнюю неделю она трижды заказывала перевыпуск карт.
Что можно сделать в таком случае
Финансовый ущерб в этой ситуации получился относительно небольшим: до 10 000 грн. Но эта история показывает, насколько просто может быть для мошенников добраться до всех ключевых данные пользователя. Элеонора обратилась в службу поддержки "ПриватБанка", в кредитные организации, где оформили на нее кредит, написала заявление об утере паспорта и в Киберполицию.
Для себя пользователь сделала из этого несколько выводов, к примеру:
- Все телефонные номера нужно регистрировать на свое имя.
- Финансовый номер должен быть отдельным от номера для ежедневного пользования.
- На почте и в приложениях, где есть такая опция, нужно включать 2-факторную аутентификацию.
- Системы хранения персональных данных в банках могут быть ненадежными.
"Карманные воры все еще не вымерли, но куда сложнее сейчас не стать жертвой социальной инженерии. Не ленитесь лично появляться в офисах компаний, которым однажды передали персональные данные, вместо вопросов-ответов по телефону", – советует она.