Оставил дилеру телефон, начали звонить мошенники: как воруют данные автовладельцев и что с этим делать Автомобильный портал 5 Колесо

Для автовладельцев стало обычным делом оставлять в сервисном центре не только машину, но и личные данные: как минимум имя и номер телефона, а иногда и копию паспорта и платежные реквизиты. В дилерских центрах клиенты предоставляют еще больше документов для заключения договора. Но что может произойти, если все эти данные попадут в руки мошенников? Эксперт с 20-летним опытом в области систем оповещения и безопасности, генеральный директор компании-интегратора решений по оповещению и безопасности SDS Fusion Дмитрий Ефимов рассказал, как может произойти утечка данных клиентов компании и что может предотвратить подобные инциденты.

В автомобильной индустрии, которая включает в себя дилерские центры и сервисы различного уровня от небольших частных мастерских до крупных специализированных комплексов, сбор данных клиента является неотъемлемой частью бизнес-процессов. Собираемая информация может включать в себя полные анкетные данные клиента, такие как ФИО, паспортные данные, контактные телефоны, а также платежные реквизиты, включая номера банковских карт и счетов. Если клиент представляет интересы юридического лица, в базах данных могут также храниться сведения о компании.

Малые предприятия часто используют Excel-таблицы для хранения данных о клиентах, тогда как крупные компании и организации с обширной сетью предпочитают более продвинутые решения — CRM-системы. Эти системы позволяют объединить информацию в единую базу, к которой могут иметь доступ все сотрудники компании при наличии интернета.

В таких системах хранятся не только личные данные клиентов, но и подробная информация о транспортных средствах — например, дата покупки или ремонта автомобилей, какие манипуляции были произведены, дата следующего ТО. Эти данные могут стать лакомым кусочком для злоумышленников, но при этом они не всегда качественно защищены. 

В лучшем случае на доступ к Excel-таблице будет стоять пароль, а на компьютерах сотрудников компании будет установлена базовая антивирусная программа. Однако несанкционированный доступ к персональной информации может быть использован для мошеннических операций, цель которых — незаконное присвоение финансовых средств.

Популярные мошеннические схемы

Мошенники могут использовать множество способов, чтобы ввести в заблуждение, поэтому сложно предугадать, какой именно маневр будет совершен. Однако есть несколько типовых вариантов развития событий.

– Эксклюзивная деталь или редкий автомобиль

В крупных автосервисах обычно ведется детальный учет транспортных средств, которые регулярно проходят обслуживание или ремонт. В базах данных таких центров содержится информация о марке автомобиля и его владельце, контактные данные и история проведенных работ.

Если доступ к таким данным получит мошенник, то, зная историю обслуживания конкретного автомобиля, он легко введет владельца в заблуждение. Например, он может позвонить клиенту, напомнив о необходимости замены определенной детали. Доверие автовладельца возрастает после такого «напоминания», что делает его более уязвимым для дальнейших манипуляций. Мошенники могут убедить человека приобрести нужную запчасть немедленно, утверждая, что в наличии их осталось всего две, а следующий заказ партии ожидается через несколько месяцев.

Как правило, сумма, которую запрашивают мошенники, не кажется клиенту подозрительно большой. В итоге владелец автомобиля приезжает в сервис для установки запчасти и сталкивается с неприятным открытием: необходимой детали нет, и никто не делал попыток ее приобретения.

В дилерских центрах популярностью пользуется услуга подбора автомобиля, когда клиенты оставляют характеристики, которые хотят видеть у своей новой машины. Мошенники могут сообщить, что подходящий автомобиль найден, и потребовать предоплату. В таком случае сумма ущерба может быть выше.

– Дополнительная работа

Злоумышленники могут проникнуть в систему автосервиса и получить доступ к информации о машинах, находящихся на ремонте в текущий момент. Используя эту информацию, они могут ввести клиентов в заблуждение: мошенник по телефону утверждает, что во время технического обслуживания была выявлена критическая неисправность, которая делает эксплуатацию автомобиля опасной для жизни, и что требуемая деталь крайне редка и доступна только в одном месте города (или даже ввезена неофициальным путем), из-за чего оплата за нее через кассу невозможна. В результате владелец автомобиля, который хочет вернуть свой транспорт как можно скорее, вынужден перевести деньги на указанный счет. Однако при возвращении за машиной он обнаруживает, что заявленная поломка отсутствует, как и тот «мастер», с которым проходило общение.

Получив данные паспорта, банковских карт и других документов, мошенники могут использовать их в различных целях, не обязательно связанных с автомобильной индустрией. Они могут представляться представителями Почты РФ, банка или других учреждений и оказывать давление на потенциальную жертву с разных сторон. В данном случае дилерские и сервисные центры представляют собой лишь место, где хранились похищенные данные.

Чем грозит потеря персональных данных клиента

Обработка и хранение данных клиентов — это ключевой фактор, определяющий конкурентоспособность компании. Именно такие «тёплые» лиды являются целью для менеджеров. Потеря базы клиентов может привести к краху бизнеса, особенно если они достанутся конкурентам.

Утечка информации по вине компании не только подрывает ее репутацию, но и может повлечь за собой уголовную ответственность. По данным отчета InfoWatch «Инциденты утечек данных в мире», количество случаев утечки персональных данных в 2023 году увеличилось на 61,5% по сравнению с предыдущим годом.

В ответ на эту тревожную тенденцию президент Владимир Путин подписал поправки к Федеральному закону № 152-ФЗ, ужесточающие требования к защите персональных данных. В частности, значительно повышены штрафы за нарушение правил хранения и обработки персональных данных.

Как защитить данные клиентов автосервиса и дилерских центров

Защита личных данных клиентов является важнейшим аспектом работы любого бизнеса, включая автомобильные сервисные центры и дилерские сети. Однако, к сожалению, многие из них не уделяют этому вопросу должного внимания.

Обеспечение информационной безопасности требует определенных затрат. Необходимо не только установить соответствующие системы защиты, но и регулярно обновлять их, продлевать лицензии и предоставлять техническую поддержку.

Аудит информационных систем

Первым шагом для владельца автосервиса или дилерского центра должно стать проведение аудита информационной системы. Это позволит оценить используемые в работе компьютерные и информационные ресурсы и текущий уровень защиты данных.

Аудит может быть проведен как силами собственного IT-специалиста, так и с помощью сторонних организаций, специализирующихся на информационной безопасности. Они предоставят полную картину используемых компьютеров, серверов, информационных систем и их назначения, а также выявят наличие или отсутствие средств защиты информации. На основе результатов аудита разрабатывается план мероприятий по улучшению информационной безопасности. 

Антивирусная защита 

Большинство пользователей полагают, что установка популярной операционной системы вроде Windows и использование её встроенного антивирусного ПО обеспечивает достаточный уровень защиты от киберугроз. Однако это мнение ошибочно.

В современных условиях, когда многие операционные системы имеют иностранное происхождение, невозможно гарантировать полную безопасность данных. Для надежной защиты необходимо дополнительное программное обеспечение отечественного производства. Примеры таких решений — антивирусы «Лаборатории Касперского», Dr.Web и Pro32. Важно регулярно продлевать лицензии на эти программы, чтобы иметь доступ к актуальным обновлениям баз данных.

Защита сетевого периметра

Сетевой периметр представляет собой границу компьютерной сети организации, через которую происходит взаимодействие с внешним миром, будь то интернет или другие локальные сети. Для обеспечения безопасности периметра используются различные технические средства. К примеру, ключевыми элементами являются специализированные устройства, такие как маршрутизаторы и межсетевые экраны (firewall), которые контролируют трафик и предотвращают проникновение вредоносного ПО.

Сложные пароли

Пароли — ключ к личной информации и устройствам. Рекомендуется использовать сложные комбинации, состоящие из 12 и более символов с буквами разного регистра, цифрами и спецсимволами. Они не должны содержать осмысленные слова (например, фамилию или год рождения), поскольку мошеннические системы для взлома паролей легко могут это распознать. 

Рекомендуется использовать менеджеры паролей — например, российское решение «Пассворк». Оно хранит данные безопасно и централизованно, защищая от несанкционированного доступа.

Многофакторная аутентификация

Двухфакторная (многофакторная) аутентификация подразумевает внесение дополнительного подтверждения личности пользователя помимо стандартных учетных данных при входе в личные аккаунты. Здесь хорошо зарекомендовали себя вендоры Indeed и «Аладдин».

Существует несколько вариантов дополнительной проверки личности:

– код из SMS, звонок с кодом на телефон или использование специальных приложений для генерации одноразовых паролей;
– специальные USB-ключи и последующий ввод пин-кода;
– пластиковые карты, используемые для входа в здания или офисы. 

Обучение сотрудников правилам кибербезопасности и создание отдела информационной безопасности

В условиях растущей угрозы кибератак важно повышать уровень компьютерной грамотности сотрудников. Необходимо разъяснять, что не стоит открывать электронные письма и переходить по ссылкам, даже если они от «Госуслуг». Можно даже тренировать работников с помощью решения Phishman и далее проводить обучение киберграмотности.

Дело в том, что мошенники могут использовать фишинг — вид мошенничества, при котором в электронных письмах, внешне похожих на официальные сообщения от государственных органов, содержится вредоносная программа.

Рекомендуется контролировать пересылку сотрудниками документов с рабочих компьютеров на личные. Для этого применяются системы защиты корпоративных данных DLP (Data Loss Prevention Systems): если система обнаруживает подозрительные действия или документы с конфиденциальной информацией, она блокирует их и уведомляет службу безопасности. Затем сотрудники этой структуры принимают решение о дальнейших действиях — разрешить или запретить передачу данных. 

Безусловно, держать в штате специалистов по информационной безопасности могут позволить себе лишь некоторые автосервисы и крупные дилерские центры, поэтому можно обойтись сотрудником на аутсорсинге. Это позволяет соблюсти требования законодательства по защите данных и предотвратить кибератаки без значительных затрат на создание собственной службы безопасности.

Система контроля привилегированных пользователей при работе с удаленными подрядчиками

В процессе настройки бизнес-процессов сервисный или дилерский автоцентр может сотрудничать со сторонними организациями, которые настраивают информационные системы. В связи с ростом популярности удаленной работы и сотрудничества с фрилансерами возникают сложности с контролем за их действиями. 

Чтобы обеспечить прозрачность действий сторонних исполнителей, рекомендуется использовать систему мониторинга привилегированных пользователей, которая фиксирует все действия удаленного подрядчика в режиме реального времени. Кроме того, важно предоставлять права только на те ресурсы, которые необходимы для выполнения поставленных задач, особенно если ранее с этим подрядчиком вы не сотрудничали.

Не исключено, что под личиной IT-специалиста будет скрываться мошенник. Поэтому важно идентифицировать компанию, которой планируется предоставить удаленный доступ к информационной системе. Желание сэкономить, наняв более дешевого специалиста, в конечном итоге может обернуться серьезными потерями.

Защита персональных данных клиентов не менее важна, чем защита корпоративных данных. В конечном итоге от этого зависит репутация компании, предоставляющей услуги. 

Источник: 5koleso.ru