ВКонтакте: ваш пароль был скомпрометирован

Ты восстанавливаешь доступ к странице, потому что потерял его. Это произошло потому, что твой пароль стал известен злоумышленникам. Вероятно, с твоей страницы рассылался спам и она была заморожена.

ВК спрашивает у тебя новый пароль, то есть тот пароль, который будет действовать с этого момента. А ты хочешь продолжать пользоваться старым паролем и указываешь его. Но к сожалению, этот старый пароль уже знают злоумышленники. Если оставить его, то они снова войдут на твою страницу. Это и называется «скомпрометирован». Родственное слово — компромат. У них есть компромат на тебя — твой пароль.

Таким образом, этот пароль тебе больше нельзя использовать. ВК запомнил это и не принимает его.

Другая ситуация

Если выдается ошибка «Этот пароль скомпрометирован. Этот пароль известен мошенникам, которые получали доступ к странице ранее, и не может быть использован для восстановления доступа», когда ты заполняешь заявку на восстановление, просто не нужно указывать никакой старый пароль. Оставь это поле пустым. Подробнее здесь:

Что означает компрометация карты?

Компрометация карты означает, что секретная информация, которая должна быть известна исключительно ее держателю, стала доступна третьим лицам.

Подобная утечка может произойти как по вине самого клиента (небрежное отношение к карте ¬– карту оставили у всех на виду, ее данные были переданы третьему лицу лично клиентом), так и добыта преступным путем (карту украли, считали с нее данные без ведома держателя, информацию с карты сфотографировал кассир в магазине и др.). А бывает, что утечка происходит вообще в самом банке: есть случаи взлома базы, секретную информацию мог использовать сотрудник банка без ведома клиента и др.

В любом случае лучше перестраховаться и срочно принять меры, даже если точно неизвестно, попали ли в чужие руки сведения.

Как происходит компрометация карты

Однако на практике эти секретные сведения порой все же становятся известны третьим лицам. Причем в большинстве случаев платежные данные посторонним людям раскрывают сами владельцы банковских карт. Как это происходит?

Опытные мошенники звонят своим жертвам и представляются сотрудниками банков. Они сообщают человеку, что зафиксирована попытка перевести с его счета крупную сумму денег в соседний регион. Затем спрашивают у него, совершал ли он подобную трансакцию. Взволнованный владелец карты говорит, что лично он не делал никакого перевода. В ответ на это фальшивый сотрудник банка предлагает человеку отменить трансакцию и запрашивает у него конфиденциальные сведения.

Иногда мошенники узнают платежные данные у своей жертвы, чтобы «перевести на ее счет денежную сумму» (пришедшую в банк социальную помощь или излишне перечисленные средства по кредиту).

Получить данные банковской карты мошенники могут и при помощи технических средств. На картоприемники банкоматов преступники накладывают специальные устройства — скиммеры. Они способны считывать данные, помещенные на пластик. PIN-код карточки можно узнать с помощью специальной накладной клавиатуры или веб-камеры, передающей изображение в режиме онлайн. При этом скиммеры и накладные клавиатуры внешне ничем не отличаются от подлинного оборудования.

Завладеть данными пластика преступники могут в интернете с помощью поддельных сайтов. Злоумышленники умело создают копии популярных площадок (интернет-магазинов и онлайн-сервисов, на которых люди производят оплаты). При этом дизайн фальшивого сайта неотличим от дизайна оригинального, а его URL-адрес изменен всего лишь на одну букву. Введя данные своей карточки на таком сайте, вы передадите их мошенникам.

Отличить надежно защищенный сайт вы сможете, если внимательно присмотритесь к его адресу. URL-адрес безопасного сайта начинается с букв «https», а не «http». Так обозначается протокол, который шифрует все передаваемые посетителями данные. Перед адресом надежного сайта будет стоять изображение маленького замочка зеленого цвета — знака того, что вся передаваемая информация защищена.

Получить доступ к платежным сведениям преступники смогут, если взломают базу данных банка или заразят компьютер пользователя карты вирусом. Вредоносное ПО может попасть на ваш компьютер, если вы скачаете из интернета файл с бесплатным содержимым, перейдете по рекламной ссылке из письма на почту или даже если просто посетите зараженный сайт.

Также банковская карта будет считаться скомпрометированной, если человек ее потерял или забыл в банкомате. Даже если карточку потом вернули и деньги с нее не списали, пользоваться ей в дальнейшем опасно. Ведь банковский платежный инструмент держали в руках посторонние люди (нашедшие пластик граждане, инкассаторы, сотрудники финансовых учреждений). Все он могли видеть данные, нанесенные на него.

Списать с пластиковой карточки деньги можно, даже если не иметь ее на руках, не знать ее PIN-кода и не иметь доступа к привязанному к ней мобильному телефону. При совершении платежей через интернет система двухступенчатой идентификации клиента применяется далеко не всегда. В таком случае для списания денег с карточного счета достаточно ввести в платежную форму информацию, указанную на самом пластике (включая CVV2 /CVC2-код). Таким образом можно будет купить, например, несколько смартфонов топового уровня на китайском сайте АлиЭкспресс или авиабилеты на сайте российской компании «S7». В обоих случаях ущерб для владельца скомпрометированного пластика составит несколько десятков тысяч рублей.

По той же причине не рекомендуется передавать пластиковую карту людям, которые принимают от вас оплату — продавцам в магазинах, официантам в барах, сотрудникам компаний по аренде автомобилей и т.д. Все подобные действия приводят к компрометации пластика. В этих случаях лучше показаться в глазах посторонних людей излишне мнительным, чем затем лишиться своих денег.

Последствия компрометации карты

Если третьи лица получают данные карточки, они могут ею распоряжаться так, как посчитают нужным.

Согласно закону о «Национальной платежной системе», если со счета клиента снимается сумма, а он об этом не знает, банк обязан вернуть ему эти средства. При этом нужно понять, кто действительно виновник утечки.

Если банк сможет доказать, что виноват клиент, который нарушил условия, прописанные в договоре, то деньги банк возвращать не обязан. Ведь он предупреждал, клиент знал.

Поэтому если клиент сам скомпрометировал данные, то он может попрощаться со своими деньгами. В этом случае банк просто выполнял указания, которые дает клиент, в коды и пароли просто подтвердили это.

Что делать при компрометации карты

Если пользователь получил на телефон сообщение от банка, то, значит, что его карта к этому моменту уже заблокирована. Система смогла распознать угрозу, поэтому без участия клиента его карта блокируется. В этом случае потребуется дождаться завершения проверки. Если попытка взлома подтвердится, то эта карта восстановлению подлежать уже не будет. Пользователь бесплатно получит перевыпущенную карту.

При обнаружении угрозы лично держателем, либо при утере/краже банковской карты, блокировка производится самостоятельно. Сейчас для этого есть несколько быстрых способов: использование интернет-банка, звонок в кредитную организацию, смс-команды. В крайнем случае, заблокировать карту при компрометации пользователь может в любом отделении своего банка.

Ирина Русанова – высшее образование в Международном Восточно-Европейском Университете по направлению “Банковское дело”. С отличием окончила Российский экономический институт имени Г.В. Плеханова по профилю “Финансы и кредит”. Десятилетний опыт работы в ведущих банках России: Альфа-Банк, Ренессанс Кредит, Хоум Кредит Банк, Дельта Кредит, АТБ, Связной (закрылся). Является аналитиком и экспертом сервиса Бробанк по банковской деятельности и финансовой стабильности. rusanova@brobank.ru

Как происходит компрометация банковской карты?

Чтобы разобраться в вопросе напомним, как происходит хранение средств на карт-счетах и операции с ними:

• клиент открывает в банке счет и получает карту, привязанную к этому счету;
• на карт-счет поступают средства (зарплата, пополнение, переводы с другой карты и прочее);
• держатель карты, то есть лицо ее получившее, получает право распоряжаться средствами карт-счета: снимать наличные, делать платежи и переводы.

Похоже на обращение с монетами и купюрами, но с одним принципиальным отличием – деньги в банке не помечены как принадлежащие тому или иному лицу, клиенту, вкладчику. Фактически в банке может вовсе не быть наличных денег.

Средства физического или юридического лица в банковском учреждении – это лишь обязательство банка выплатить этому лицу некоторую сумму по его требованию, или совершить какие-то другие операции с этими средствами.

• деньги клиента в банке – это только информационные массивы;
• все операции со средствами карт-счета – есть изменения информационных массивов (некоторое исключение – снятие наличных);
• кража денег с карты – это изменение имеющейся у банка информации о том, кому принадлежат деньги карт-счета.

Потому уберечься от подобной кражи можно лишь сохранив коды доступа к управлению средствами на карте.

Конфиденциальную информацию составляют: PIN-код и CVV/CVC-код карты, а также номер карты и данные ее владельца: фамилия, имя. Если карта привязана к электронному адресу или другим виртуальным сервисам, то и этот факт следует скрывать от посторонних.

Банковская карта становится скомпрометированной, если есть основания ожидать, что ее конфиденциальные данные известны не только владельцу, а также банку-эмитенту карты и платежным сервисам, но и посторонним лицам.

Ваше мнение

Отменить ответ

• 16:00 / 29.09.2021 Пользователи ОС Windows 10 пожаловались на сбои в работе после обновления системы
• 9:46 / 29.09.2021 Вспышка на Солнце может привести к глобальным изменениям на планете Земля

Необычное поведение

Явный признак того, что вас взломали, – это необычное или странное поведение при входе в аккаунт или во время его использования. К примеру, вы не можете получить доступ к своей учетной записи Google, используя привычное имя пользователя и пароль, или на один из ваших банковских счетов пришел чек за покупки, которые вы не совершали. Это очевидные признаки того, что ваша личная информация была скомпрометирована. Будем надеяться, что банк заметит подозрительные платежи, прежде чем ситуация зайдет слишком далеко.

Однако, прежде чем любой из ваших аккаунтов будет скомпрометирован, могут появиться предупреждающие уведомления. Учетная запись, в которую кто-то пытается проникнуть, может предупреждать вас о необычных попытках входа. Например, Facebook и Google будут отправлять уведомления и электронные письма, предупреждающие вас о попытках получить доступ к вашей учетной записи. Обычно это происходит, если кто-то пытался войти и потерпел неудачу, но уведомления также могут быть отправлены, когда кто-то успешно вошел в систему из незнакомого места.

Не проходит и дня, чтобы какая-нибудь компания, приложение или веб-сайт не страдали от утечки данных (начиная с Adobe и заканчивая Dungeons and Dragons). Эта украденная информация может включать в себя телефонные номера, пароли, данные кредитных карт и любую другую личную информацию. Она позволит преступникам получить доступ к вашей личной жизни. Компании должны быстро сообщить вам, если они были скомпрометированы. Использование службы уведомлений о нарушениях безопасности системы вышлет вам предупреждение об этом. Haveibeenpwned и Identity checker от F-Secure расскажут вам о старых утечках данных и предупредят о новых случаях, если ваши данные попадут в руки злоумышленников.

Перевести партию в эндшпиль

Тем не менее, определить активность злоумышленников и обезвредить ее на предыдущих этапах удается не всегда. Это означает необходимость особенного внимания защите критически важных узлов инфраструктуры: серверов Windows и Unix, устройств NAS, SharePoint и почтовых серверов Exchange, как локальных, так и облачных.

Для этого необходимо собирать и анализировать максимально возможный объем информации о том, как пользователи взаимодействуют с данными на всех платформах, с которыми они работают. Часть платформ позволяет сделать это при помощи API, для других требуется применение специально разработанных Varonis моделей угроз, отслеживающих подозрительную активность: излишне большой объем данных, к которым получает доступ тот или иной пользователь, необычное поведение, которое не согласуется с типовыми поведенческими моделями, наконец, изменения, которые пользователь вносит в файлы и попытки их шифрования.

В этом случае, даже если попытки зашифровать данные окажутся успешными, администраторы смогут быстро оценить масштаб проблемы и восстановить поврежденную информацию только в тех файлах, которые подверглись шифрованию, а не в масштабах всей системы. Мониторинг позволит еще и точно определить необходимую точку восстановления данных из резервной копии. Ожидать, что банды кибер-вымогателей сократят свою активность, не приходится. Их действия становятся с каждым днем все более изощренными, а развитие кибер-валют упрощает для зло-умышленников получение выкупа.

В таких условиях наиболее эффективным способом противодействия вымогателям становится комплексная защита, которая реагирует не на последствия атак, а на признаки их подготовки и осуществления. Тотальный контроль данных, которые окружаются несколькими оборонительными периметрами, позволяет отслеживать нелегитимные активности на всех уровнях, от файловых хранилищ до Active Directory, DNS, VPN и прокси-серверов. Дополняет эту защиту выявление наиболее ценных для преступников аккаунтов пользователей – тех, которые имеют широкие права доступа к данным и системам.

Анализ всех активностей, связанных со взаимодействием пользователей с данными, позволяет не просто обеспечить их защиту. Такой аудит лишает злоумышленников возможности организовать масштабную атаку на инфраструктуру: бизнес защищается и от случайных инсайдеров, и от хакерских группировок.

Если вы хотите узнать, какие данные в вашей компании наиболее уязвимы, и как минимизировать риски для бизнеса, пройдите бесплатный health-check от Varonis – оценку защищенности от программ-вымогателей.