Такой вопрос задают часто. Ответ — не всегда. Безусловно, может быть утечка данных и из самого банка. Например, в 2019 году утечка произошла даже из Сбербанка, сам банк это тоже подтвердил. Расследование показало, что данные продал один конкретный сотрудник-айтишник.
Но банки достаточно много вкладывают безопасность и работают в том числе с человеческим фактором, так что вероятность утечки очнеь мала. Поэтому чаще всего применяются 3 других сценария.
1-й вариант — утечка данных сторонних сервисов. Например, был такой случай с Ozon, когда была подтверждена утечка логинов и паролей. Часто компании не подтверждают, что всплыли именно данные для входа, но как там на самом деле — неизвестно. Если злоумушленники могут зайти в личный кабинет, то они видят и привязанные карты. Их номер частично закрыт звездочками, да и вообще информации недостаточно для снятия денег или платежа злоумышленников. Иначе у нас были бы массовые катастрофы с хищением средств. Но даже по частично закрытому номеру часто можно определить банк, который выпустил карту. Есть специальнные сайты даже. А тут еще на блюдечке — телефон владельца. Вот ему и звонят и пытаются "развести" на деньги.
2-й вариант — утечка паролей от одного сайта, которые потом используют для других платформ. От первого варианта немного отличается. Может утечь база данных паролей к какому-то сайту или форуму, где ничего не покупают и нет привязки карты. Но многие пользователи везде используют одни и те же пароли. Поэтому тот же самый пароль преступники пробуют на сайтах и сервисах, где привязанная карта есть. И дальше уже узнают банк и начинают звонить жертвам и пытаться их обмануть, как в первом сценарии.
3-й вариант — действия наобум. Вы заметили, что чаще всего звонят из Сбербанка или ВТБ? Просто эти банки лидируют по числу клиентов, особенно Сбер — с большим отрывом, кстати.
В общем, кругом нас окружили, да. Но есть и хорошая новость. Телефонные мошенники по-прежнему в большинстве случаев используют социальную инжерению. То есть рассказывают сказки, чтобы жертва сама сказала код из смс или дала другие данные для доступа к счету. Мы можем на все эти сказки не реагировать, а лучше вообще сразу класть трубку при звонках "из банка", как я всегда советую. Даже если это реальный банк, они просто хотели вам продать кредит или кредитную карту. Это самые доходные продукты для них, поэтому чаще всего звонят с их рекламой, а не предлагают вклад или там дебетовую карту.