HSBC Turkey «потерял» данные банковских карт 2,7 млн клиентов

B2BSecurity Маркет
Турецкое подразделение международной банковской группы HSBC заявило об утечке данных банковских карт 2,7 млн своих клиентов. Однако перевыпуск карт не планируется: скомпрометированных данных недостаточно для доступа к средствам владельцев, говорят в банке.

Данные банковских карт около 2,7 млн клиентов были похищены при атаке на систему турецкого подразделения международной банковской группы HSBC. Факт утечки данных был выявлен внутренней службой безопасности. Проблема коснулась только турецкого филиала; администрация инициировала расследование с привлечением банковского регулятора страны и других компетентных органов.

Банк оповестил пользователей об инциденте и заявил, что скомпрометированы имена владельцев, номера и сроки действия карт, а также номера связанных с картами счетов. Поскольку этих данных недостаточно для проведения платежей, карты перевыпускать не планируется. Снятие средств через банкоматы, точно так же как и совершение транзакций через удаленные каналы, например через интернет-банк, преступникам недоступны, потому что в первом случае требуется дополнительная информация, которая содержится на магнитной полосе карты, а во втором — введение CVC. Никакой подозрительной активности, связанной с похищенными реквизитами, банк не наблюдает и обещает клиентам компенсировать ущерб в случае выявления инцидентов.

Однако эксперты ожидают использования похищенной информации для фишинга, целью которого станет получение полных идентификационных данных пользователей.

«На электронную почту жертв могут рассылаться поддельные уведомления, имитирующие сообщения банка, призывающие срочно передать/обновить личные данные, — поясняет ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. — Причины могут называться различные: это может быть утеря данных, поломка в системе, в том числе – упоминание этой утечки как предлога. Очень вероятно, что клиента попытаются напугать, придумать критичную причину для того, чтобы он выдал свою личную информацию. Как правило, сообщения содержат угрозы, например, заблокировать счет в случае невыполнения требований. Особенно опасны такие письма тем, что, уже имея на руках часть информации, злоумышленники используют ее для придания своим письмам более правдоподобного вида письма из банка».

Эксперты компании «Информзащита» подразделяют возможные риски на социальную инженерию и фишинг. «Зачастую клиенты сами выдают злоумышленникам ПИН и CVV коды от своих карт, — раскрывает механику социальной инженерии руководитель направления отдела безопасности банковских систем «Информзащиты» Леонид Плетнев. — У клиента может возникнуть эффект доверия к мошеннику, когда тот от имени Банка HSBC Turkey назовет ранее украденную информацию и постарается «выудить» недостающие данные платежной карты».

Примером фишинга может служить SMS со ссылкой на ресурс, копирующий внешний вид интернет-банка, где жертва вводит свои логин и пароль. В результате телефон жертвы заражается перехватчиком SMS, а так как операции в интернет-банке на 90% завязаны на SMS-подтверждения, злоумышленник получает возможность поменять пароль от личного кабинета жертвы и проводить любые операции через интернет-банк.