Как мошенники получают данные автовладельцев через телефоны дилеров

Автолюбители привыкли оставлять в сервисном центре не только транспортное средство, но и личную информацию: минимум имя и номер телефона, а иногда и копию паспорта, платежные реквизиты. В дилерских центрах клиенты предоставляют еще больше документов для заключения договора. Что будет, если все эти сведения попадут к мошенникам? Эксперт с двадцатилетним стажем в области систем оповещения и безопасности, генеральный директор компании-интегратора решений по оповещению и безопасности SDS Fusion Дмитрий Ефимов рассказал о возможности утечки данных клиентов компании и мерах предотвращения подобных инцидентов.

В автомобильной индустрии, включающей дилерские центры и сервисные предприятия разных масштабов, от частных мастерских до крупных специализированных комплексов, сбор информации о клиентах является важным элементом бизнес-процессов. Эта информация может содержать полные анкетные данные клиента, например, ФИО, паспортные сведения, контактную информацию и платежные реквизиты, включая номера банковских карт и счетов. При взаимодействии юридических лиц в базах данных могут храниться также сведения о компании.

Мелкие фирмы часто хранят клиентские данные в Excel, крупные же организации с широкой филиальной сетью выбирают CRM-системы для централизованного хранения информации, доступной всем сотрудникам через интернет.

Эти системы хранят личные сведения клиентов и детальную информацию о транспортных средствах: дату покупки или ремонта автомобилей, виды выполненных манипуляций, дату следующего техобслуживания. Такая информация привлекательна для злоумышленников, но не всегда надежно защищена.

В лучшем случае доступ к Excel-таблице защищен паролем, а на компьютерах сотрудников установлена базовая антивирусная программа. Несанкционированный доступ к персональной информации может быть использован для мошеннических операций с целью незаконного присвоения финансовых средств.

Популярные мошеннические схемы

Обманщики применяют разнообразные методы обмана, из-за чего предсказать конкретный ход бывает трудно. Но существуют распространенные сценарии развития событий.

– Эксклюзивная деталь или редкий автомобиль

Крупные автосервисы ведут подробный учёт автомобилей, обслуживаемых или ремонтируемых в их мастерских. Базы данных этих центров хранят сведения о марке машины, её владельце, контактной информации и истории проведённых работ.

Получив доступ к таким сведениям, мошенник, зная историю обслуживания конкретного автомобиля, легко обманет владельца. Например, позвонив клиенту и напомнив о необходимости замены определённой детали, он может повысить доверие автовладельца, что сделает его более уязвимым для дальнейших действий. Мошенники могут убедить человека приобрести нужную запчасть немедленно, утверждая, что в наличии их осталось всего две, а следующий заказ партии ожидается через несколько месяцев.

Мошенники обычно запрашивают сумму, которая клиенту кажется приемлемой. В результате автовладелец едет в сервис для установки запчасти и обнаруживает, что её нет, а приобретать ее никто не пытался.

В салонах авто большой популярностью пользуется услуга подбора машины по пожеланиям клиентов. Мошенники могут предложить подобрать подходящий автомобиль и попросить перечислить предоплату. При этом размер убытков может оказаться больше.

– Дополнительная работа

Злоумышленники могут проникнуть в систему автосервиса и получить доступ к информации о находящихся на ремонте автомобилях. Используя эту информацию, мошенники могут обмануть клиентов: например, по телефону сообщают о критической неисправности, которая делает эксплуатацию автомобиля опасной для жизни, и что редкая требуемая деталь доступна только в одном месте города (или даже завозится неофициальным путем), из-за чего оплата через кассу невозможна. В результате владелец авто, желающий скорее получить транспорт обратно, переводит деньги на указанный счет. Однако при возвращении за машиной выясняется, что заявленной поломки нет, как и того «мастера», с которым происходило общение.

Похищенные паспорта, банковские карты и другие документы мошенники могут использовать для различных целей, не всегда связанных с автомобильной отраслью.
Под видом работников Почты РФ, банка или других организаций мошенники оказывают давление на потенциальную жертву. В данном случае дилерские и сервисные центры служат лишь хранилищем похищенной информации.

Последствия утраты личной информации клиента.

Обработка и хранение данных клиентов — основа успешной деятельности любой компании.
«Тёплые» потенциальные клиенты — главная цель для менеджеров. Утрата клиентской базы может стать причиной полного банкротства, особенно если данные попадут к конкурентам.

Проникновение информации из-за действий организации повреждает не только имиджу фирмы, но и может вызвать уголовное преследование. отчета Компания InfoWatch зафиксировала рост количества инцидентов утечек данных в мире в 2023 году на 61,5% относительно 2022 года.

В ответ на эту тревожную тенденцию президент Владимир Путин утвердил поправки к Федеральному закону № 152-ФЗ, повышающие требования к защите персональных данных. Штрафы за нарушения правил хранения и обработки персональных данных существенно увеличены.

Безопасность данных клиентов автомастерских и автосалонов.

Сохранение конфиденциальности информации клиентов – первостепенная задача для любых компаний, в том числе автосервисов и дилеров. Тем не менее, немало организаций пренебрегают этим принципом.

Поддержание информационной безопасности сопряжено с расходами. Достаточно лишь поставить защитные системы, нужно также постоянно их модернизировать, продлевать лицензии и получать техподдержку.

Аудит информационных систем

Владельцу автосервиса или дилерского центра необходимо провести аудит информационной системы.

Аудит может провести как штатный специалист в сфере IT, так и организация, которая занимается информационной безопасностью. Специалисты предоставят полную информацию о используемых компьютерах, серверах, информационных системах и их назначении, а также определят наличие или отсутствие средств защиты информации. По результатам аудита разрабатывается план мероприятий по повышению уровня информационной безопасности.

Антивирусная защита

Многие считают, что установка широко используемой операционной системы, например Windows, и пользование ее встроенным антивирусом достаточно для защиты от киберпреступлений. Такое суждение неверно.

В нынешних реалиях, с преобладанием зарубежных операционных систем, полная защита информации не гарантируется. Для надёжной обороны требуется дополнительное программное обеспечение отечественного происхождения: антивирусы «Лаборатории Касперского», Dr.Web и Pro32. Регулярное продление лицензий на такие программы обеспечит доступ к актуальным обновлениям баз данных.

Защита сетевого периметра

Граница компьютерной сети организации, через которую происходит взаимодействие с внешним миром, будь то интернет или другие локальные сети, называется сетевым периметром. Для безопасности периметра применяют технические средства. К примеру, маршрутизаторы и межсетевые экраны контролируют трафик и предотвращают проникновение вредоносного ПО.

Сложные пароли

Пароли — ключ к личной информации и устройствам. Рекомендуется использовать сложные комбинации из 12 и более символов с буквами разного регистра, цифрами и спецсимволами. Пароли не должны содержать осмысленные слова (например, фамилию или год рождения), так как мошеннические системы для взлома паролей легко это распознают.

Для хранения данных рекомендуется воспользоваться менеджерами паролей, например, российской разработкой «Пассворк».

Многофакторная аутентификация

Для входа в личные аккаунты двухфакторная (многофакторная) аутентификация требует дополнительного подтверждения личности пользователя, помимо обычных учетных данных. В этом случае хорошо зарекомендовали себя компании Indeed и «Аладдин».

Для дополнительной верификации личности доступны различные методы.

– код из текстового сообщения, вызов с кодом на номер телефона или применение программ для создания временных паролей.
– специальные USB-накопители и ввод PIN-кода.
– карточки из пластмассы, которые применяют для прохода в помещения или служебные кабинеты.

Тренing персонала по нормам киберзащиты и формирование службы безопасности информации.

Рост кибератак подталкивает к повышению компьютерной грамотности сотрудников. Важно разъяснить им, что не стоит открывать электронные письма и переходить по ссылкам, даже если отправитель указан как «Госуслуги». Для тренировки можно использовать Phishman и проводить обучение киберграмотности.

Мошенники могут применять фишинг, при котором в подозрительных электронных письмах, имитирующих официальные письма государственных структур, скрываются вирусы.

Важно контролировать перемещение документами сотрудниками с рабочих компьютеров на личные. Для этого применяются системы защиты корпоративных данных DLP: при выявлении подозрительных действий или документов с конфиденциальной информацией система блокирует их и уведомляет службу безопасности. После этого сотрудники службы принимают решение о дальнейшем обращении с данными — разрешить или запретить передачу.

Не все автосервисы и дилерские центры могут позволить себе штатного специалиста по информационной безопасности, поэтому можно воспользоваться услугами сотрудника на аутсорсинге. Такой подход позволяет выполнить требования законодательства по защите данных и предотвратить кибератаки без больших расходов на создание собственной службы безопасности.

Управление доступом привилегированных пользователей к работам удаленных подрядчиков.

При налаживании рабочих процессов сервисные или дилерские автоцентры могут взаимодействовать с внешними компаниями, занимающимися настройкой программного обеспечения. Популярность дистанционной работы и привлечения фрилансеров создает трудности в мониторинге их деятельности.

Для большей прозрачности действий сторонних исполнителей целесообразно применять систему мониторинга привилегированных пользователей, регистрирующую все действия удаленного подрядчика в режиме реального времени. Также важно предоставлять права доступа только к необходимым ресурсам для выполнения поставленных задач, особенно если ранее сотрудничества с этим подрядчиком не было.

Замаскированный под IT-специалиста мошенник — реальная угроза. Важно удостовериться в надежности компании, которой предоставляется удаленный доступ к информационной системе. Стремление сэкономить, выбирая более дешевого специалиста, может привести к существенным убыткам.

Безопасность информации клиентов столь же важна, как и защита корпоративных данных. От этого зависят репутация и благополучие компании, оказывающей услуги.