Как мошенники крадут данные автовладельцев через телефоны
Владельцы автомобилей привыкли оставлять в сервисных центрах не только машины, но и личные сведения: как минимум имя и номер телефона, а порой и копию паспорта с реквизитами. В дилерских центрах клиенты сообщают еще больше информации для составления договора. Но что будет, если эта информация окажется у мошенников?
В автопроме, где работают салоны и сервисы разных масштабов – от малых частных мастерских до больших специализированных комплексов – сбор информации о клиентах является частью работы. Сборная информация может включать полные данные клиента: ФИО, паспортные сведения, контакты, платежные реквизиты, номера банковских карт и счетов. Если клиент представляет компанию, в базах данных могут храниться ее сведения.
Малые фирмы часто хранят данные о клиентах в Excel, а крупные организации с широкой сетью отдают предпочтение CRM-системам. Такие системы объединяют информацию в одной базе, доступной всем сотрудникам при интернет-соединении.
В этих системах сохраняется информация о клиентах и транспортных средствах: даты покупки или ремонта машин, проведенные работы, дата очередного технического обслуживания. Такая информация привлекательна для мошенников, однако её защита не всегда надлежащая.
Максимум – защита Excel-таблиц паролем и базовой антивирусной программой на компьютерах работников. Но несанкционированный доступ к личным данным может использоваться в мошенничестве для кражи денег.
Популярные мошеннические схемы
Замыслители мошенничества применяют разнообразные приёмы обмана, что затрудняет предсказание их действий.
– Эксклюзивная деталь или редкий автомобиль
В больших автосервисах стараются вести подробный учёт автомобилей, обслуживающихся и ремонтируемых у них. Базы данных этих сервисов хранят сведения о марках машин, их владельцах, контактах и истории выполненных работ.
Преступник, имея доступ к истории обслуживания автомобиля, может обмануть владельца, например, позвонив и напомнив о замене детали. Владелец, руководствуясь таким «напоминанием», станет более доверчивым и уязвимым для дальнейших махинаций. Мошенники могут убедить человека купить запчасть немедленно, утверждая, что их осталось всего две, а следующий заказ партии ожидается через несколько месяцев.
Мошенники обычно запрашивают сумму, которая клиенту не кажется большой. В результате автовладелец отправляется в сервис для установки запчастей и обнаруживает, что необходимая деталь отсутствует, и никто не предпринимал попыток её приобрести.
В автосалонах востребована услуга подбора автомобиля по запросам клиентов. Аферисты могут заявить о нахождении подходящего варианта и потребовать аванса, при этом размер убытков может оказаться большим.
– Дополнительная работа
Преступники могут проникнуть в систему автосервиса и получить доступ к информации о находящихся на ремонте автомобилях. Используя эту информацию, мошенники могут обмануть клиентов: по телефону они утверждают, что во время обслуживания обнаружена критическая неисправность, делающая эксплуатацию автомобиля опасной, и требуемая деталь редкая, доступна только в одном месте города (или даже ввезена неофициальным путем), из-за чего оплата через кассу невозможна. В результате владелец автомобиля, желающий вернуть свой транспорт быстро, переводит деньги на указанный счет. Однако при возвращении за машиной выясняется, что заявленной поломки нет, как и того «мастера», с которым проводилось общение.
С помощью паспортов, банковских карт и других документов мошенники могут осуществлять различные действия, не обязательно связанные с автомобильной отраслью. Под видом сотрудников Почты России, банка или других учреждений могут оказывать давление на потенциальную жертву. В этом случае дилерские и сервисные центры выступают лишь хранилищем похищенных данных.
Последствия утечки информации о клиенте.
Обработка и хранение информации о клиентах — важный фактор, влияющий на конкурентоспособность компании. Такие «теплокровные» потенциальные покупатели — цель менеджеров. Утрата клиентской базы может стать причиной краха бизнеса, особенно если данные перейдут к соперникам.
Компаниям стоит понимать, что утечка информации из-за их действий не только вредит их имиджу, но и может привести к судебному преследованию. отчета Количество инцидентов утечек данных в мире в 2023 году выросло на 61,5% по сравнению с прошлым годом, согласно исследованию InfoWatch «Инциденты утечек данных в мире».
В ответ на тревожную тенденцию президент Владимир Путин утвердил поправки к Федеральному закону № 152-ФЗ, устанавливающие более строгие требования к защите персональных данных. Штрафы за несоблюдение правил хранения и обработки персональных данных заметно увеличены.
Безопасность данных клиентов в автосервисах и дилерских центрах.
Безопасность персональных данных клиентов — ключевой фактор для каждого бизнеса, а в том числе для автосервисов и дилеров. Тем не менее, большая часть таких компаний не придаёт этому вопросу достаточного значения.
Обеспечение информационной безопасности сопряжено с расходами.
Аудит информационных систем
Владельцам автосервисов и дилерских центров следует провести аудит информационной системы. Такая мера поможет оценить применяемые в работе компьютеры, информационные ресурсы и существующий уровень защиты данных.
Аудит может быть выполнен как собственным IT-специалистом, так и компанией, специализирующейся на информационной безопасности. Такая организация даст полную картину используемых компьютеров, серверов, информационных систем и их назначения, а также выявит наличие или отсутствие средств защиты информации. По результатам аудита разрабатывается план мероприятий по повышению информационной безопасности.
Антивирусная защита
Многие пользователи считают, что установленная популярная операционная система, например Windows, и применение её встроеного антивируса обеспечивают достаточно высокий уровень безопасности от киберугроз.
В условиях преобладания операционных систем иностранного производства безопасность данных не гарантируется. Для надежной защиты требуется дополнительное программное обеспечение отечественного производства: антивирусы «Лаборатории Касперского», Dr.Web и Pro32. Важно продлевать лицензии на эти программы, чтобы получать актуальные обновления баз данных.
Защита сетевого периметра
Граница компьютерной сети организации, через которую происходит общение с внешним миром, — это сетевой периметр. Для его защиты применяются технические средства: маршрутизаторы и межсетевые экраны проверяют информацию и блокируют угрозы безопасности.
Сложные пароли
Пароли служат ключом к личной информации и устройствам. Рекомендуется применять сложные комбинации из 12 и более символов с разными регистрами букв, цифрами и спецсимволами. Не стоит включать осмысленные слова, такие как фамилия или год рождения, поскольку мошеннические системы взлома легко распознают их.
Для хранения данных рекомендуется применять менеджеры паролей, к примеру, отечественное программное обеспечение «Пассворк».
Многофакторная аутентификация
Двухфакторная (многофакторная) аутентификация предполагает предоставление пользователем дополнительной информации для подтверждения личности помимо обычных учетных данных при доступе к личным аккаунтам.
Для дополнительной верификации личности предусмотрено несколько способов.
Для входа можно использовать код из СМС-сообщения, звонок с кодом на телефон или специальные приложения для создания временных паролей.
– особые USB-накопители и последующее введение персонального идентификационного кода;
Карты из пластика, которые применяют для доступа в строения или офисы.
Профессиональная подготовка работников по вопросам защиты информации и формирование группы специалистов по информационному обеспечению.
Для противостояния повышающейся угрозе кибератак важно увеличивать уровень компьютерной грамотности персонала.
Необходимо разъяснять, что открывать электронные письма и переходить по ссылкам не стоит даже если отправщики представляются как «Госуслуги». Можно тренировать работников с помощью решения Phishman и проводить обучение кибербезопасности.
Мошенники применяют фишинг, метод обмана через электронные письма, имитирующие официальные сообщения государственных учреждений и содержащие вредоносное ПО.
Рекомендуется контролировать пересылку сотрудниками документов с рабочих компьютеров на личные. Для этого используют системы защиты корпоративных данных DLP, которые блокируют подозрительные действия и документы с конфиденциальной информацией, уведомляя службу безопасности. Эта структура принимает решение о дальнейших действиях — разрешить или запретить передачу данных.
Не все автосервисы и дилерские центры могут позволить себе штатных специалистов по информационной безопасности, поэтому можно воспользоваться услугами специалиста на аутсорсинге.
Контроль привилегий пользователей при взаимодействии с удаленными исполнителями.
При налаживании рабочих процессов сервисные или дилерские автоцентры могут работать с компаниями, занимающимися настройкой информационных систем. Популярность дистанционной работы и сотрудничества с независимыми исполнителями создаёт трудности с мониторингом их деятельности.
Для повышения прозрачности действий сторонних исполнителей стоит применить систему мониторинга привилегированных пользователей. Такая система регистрирует все действия удаленного подрядчика в режиме реального времени. Также важно предоставлять права только на те ресурсы, которые необходимы для выполнения поставленных задач, особенно если ранее сотрудничества с этим подрядчиком не было.
Идя по пути дистанционного сотрудничества, необходимо помнить: за маской IT-специалиста может скрываться мошенник. Компания, которой будет предоставлен удаленный доступ к информационной системе, должна быть тщательно проверена. Попытка сэкономить на найме более дешевого специалиста может привести к существенным убыткам.
Защита информации о клиентах столь же важна, как и защита корпоративных данных, поскольку от неё напрямую зависит репутация компании.
