«Есть угроза вашему депозиту»
Телефонные мошенники на фоне коронавируса повысили ставки — с похищения денег с банковских карт они переключились на депозиты граждан. Подобная смена курса связана с тем, что результативность массовых обзвонов падает, хотя их число растет. На депозитах же, как правило, хранится гораздо больше средств, чем составляют остатки по счету. Об изменившейся ситуации в сфере кибермошенничества в интервью «Известиям» рассказал первый заместитель директора департамента информационной безопасности Банка России — куратор ФинЦЕРТ Артем Сычев. Кроме этого, он сообщил об участившихся случаях обмана преступниками друг друга и поделился информацией о судьбе законопроектов, направленных на борьбу с хищением средств со счетов граждан.
От карт к депозитам
— В период изоляции безналичные платежи выросли на порядок, кроме этого, было серьезно засорено информационное поле. Воспользовались ли мошенники ситуацией?
— Темы COVID-19, компенсаций от государства, выплат, снижения налогов, изменения условий по кредитным договорам действительно активно использовались злоумышленниками. Однако мошенники усиленно работали только неделю-полторы — пока не было детальной информации о том, как получить эти льготы. То есть как только государственные органы и банки начали активную разъяснительную кампанию, активность злоумышленников упала.
Что касается кибербезопасности финансовых организаций, то переход на удаленную работу не сильно повлиял на существующую ситуацию. Увеличения числа успешных кибератак на банки в период пандемии нами не зафиксировано. Даже если банки переводят сотрудника на дистанционную работу, доступ к данным у него остается таким же, какой был в офисе. Для нас как регулятора важно, чтобы банк мог обеспечить защиту информации на должном уровне. А будет сотрудник при этом работать в офисе или дистанционно — непринципиально.
— Появились ли какие-то новые сценарии обмана?
— Злоумышленники пытаются убедить людей в том, что есть угроза их накоплениям. Сценарий «с вашего счета перевели деньги» трансформировался в новый — «есть угроза вашему депозиту». Суть в целом осталась та же — средства нужно перевести на якобы безопасный счет. Для этого жертва либо должна сообщить данные карты, коды из СМС и т.д., либо самостоятельно перевести деньги. С точки зрения злоумышленников депозиты гораздо интереснее, чем остаток по обычному счету, так как можно сразу получить большие деньги. Это смещение интереса означает, что в массовом сегменте, где доход мошенника зависел скорее от количества обзвонов, прибыльность начала снижаться.
Куратор ФинЦЕРТ Банка России Артем Сычев
— Это как-то повлияло на количество обзвонов?
— Их количество возросло, но результативность — нет. Суммы похищаемых денег существенно не увеличились. Мы также видим, что доля несанкционированных операций в общем объеме платежей уменьшается. Более того, злоумышленники стали звонить по одному и тому же номеру несколько раз, да еще в течение нескольких дней подряд. Это означает, что либо работает несколько групп, либо одна и та же, но ей не хватает выручки. То есть доля удачных звонков, которые закончились хищением средств, сокращается. Я полагаю, что снижение результативности массовых обзвонов связано и с тем, что наши граждане стали в большей степени вооружены знаниями о существовании мошенников-обзвонщиков, стали настороженнее относиться к звонкам.
10 рублей и выше
— За последний год в публичном поле массово появлялись данные о миллионных утечках баз данных из крупнейших финансовых организаций. Можно ли назвать 2020-й «годом утечек персональных данных из банков»?
— Я бы так его не назвал. Роста утечек в финансовом секторе по сравнению с прошлым годом мы не наблюдаем. Рынок нелегальной информации, отнесенной к персональным данным, в принципе, всегда относительно стабилен. И говорить о каких-то всплесках можно с очень большой натяжкой.
— В каких объемах на черном рынке продаются именно банковские утечки?
— В гораздо меньших объемах, о которых в своих «предложениях» утверждают сами злоумышленники. Что примечательно, на этом же черном рынке есть большое количество мошенников, которые обманывают других мошенников. Они заявляют, что у них миллион записей из банка, а на самом деле их в лучшем случае несколько тысяч, или утечка эта из других организаций или скомпилирована из открытых источников — из соцсетей. На рынке очень много материалов, которые выдают за свежие данные, а на самом деле это очень давние утечки.
Конечно, можно ужесточать правила защиты информации в разных организациях, однако это полностью проблему не решит. То, что человек выдает о себе в социальных сетях, разных фишинговых сайтах, интернет-магазинах и других сайтах может использоваться мошенниками, и важно всем об этом помнить.
Более того, проблему утечек надо рассматривать в комплексе. Данные крадут для того, чтобы использовать в противоправных целях. Обзвонщики с помощью техник социальной инженерии вынуждают людей совершать поступки, которые приводят к тому, что деньги утекают от законного владельца к злоумышленнику. Если сравнить объемы утечек из банков с числом людей, которым звонят мошенники, то диспропорция становится очевидной: злоумышленники звонят гораздо большему числу людей, чем количество клиентов банков, данные которых утекли. Вывод один — проблема утечек характерна не только и даже не столько для банков.
— Как это выясняется?
— Мы видим не только количественную статистику по обзвонам, по операциям без согласия клиента, но и структуру — суть этих операций. Кстати, практически по всем утечкам именно из кредитных организаций, которые были зафиксированы в прошлом году, есть реализованные уголовные дела, какие-то уже имеют судебные решения. То есть если все-таки происходит утечка из банка, то всегда проводится серьезное расследование, виновные, как правило, находятся и предстают перед судом.
— Сколько стоят клиентские данные на черном рынке?
— Цена сильно зависит от состава данных, от продавца. В среднем одна запись стоит от 10 рублей и выше.
— Информация о базах данных, в том числе банковских, стала всё чаще появляться в открытых источниках — на форумах, в Telegram-каналах. Насколько она интересна для ФинЦЕРТ с точки зрения надзорной практики? Если нет, то кто может быть интересантом ее распространения?
— Информация, конечно, нам интересна именно с точки зрения использования ее в надзорной практике. Что касается конкурентной борьбы — нет, черный рынок для этого не используется. Основные потребители такой информации — это службы безопасности. Криминалитет на втором месте, и здесь мы будем двигаться в сторону ужесточения наказания за незаконный оборот.
Борьба на рассмотрении
— Банки обычно отказывают в возврате средств жертвам социальной инженерии, поскольку люди сами подтвердили операцию, назвав код из СМС. Сейчас в Ассоциации банков России готовится законопроект, который позволит замораживать счета на стороне получателя средств — если отправитель объявит, что они были уведены с помощью какой-то из схем социальной инженерии...
— Да, мы с коллегами обсуждали эту инициативу. Ассоциация направила свои предложения по законопроекту в Банк России, но он требует еще очень серьезной юридической проработки. Механизмы, которые предложены, не всегда укладываются в логику Гражданского кодекса.
— Еще с марта прошлого года в Госдуме находится законопроект о взаимодействии между банками и сотовыми операторами по обмену данным о SIM-картах. Поясните, в чем суть проблемы, которую поможет решить его принятие?
— Суть в том, что сейчас существуют мошеннические схемы, когда злоумышленники без ведома владельца телефона меняют SIM-карту. После этого преступники получают доступ к онлайн-банкингу, перехватывают SMS-сообщения и опустошают счета законных владельцев денег. При этом сами владельцы даже не сразу понимают, что произошло: к ним не приходят SMS о списании денег со счета.
— Какой механизм решения заложен в законопроекте и когда вы ожидаете его принятия?
— Оператор связи будет обязан информацию о замене SIM-карт предоставить в банк. И — что важно — доступ к этой информации получат все без исключения банки (если это касается их клиента), а не только самые крупные. Таким образом банк сможет отследить, что номер принадлежит законному владельцу, а не злоумышленнику. Более того, чтобы качественно провести работу по противодействию мошенничеству, банкам необходимо знать дополнительные сведения — например, что происходит с устройством гражданина. Это не значит, что за гражданином надо следить. Оператор видит признаки того, что на телефоне стоит вредоносное программное обеспечение. Эта информация нужна банку, чтобы предотвратить кражу, предупредить клиента.
Мы рассчитываем, что в осеннюю сессию во втором чтении законопроект примут.
— А что касается борьбы с подменой номеров, когда мошенники маскируются под сотрудников банка?
— Законопроект готов, находится в профильном комитете Госдумы. После его принятия появится правовая база для того, чтобы не давать злоумышленникам использовать технику подмены номеров. Мы считаем, что его нужно принимать как можно скорее.
— В Европе довольно давно действует Общее положение о защите данных — GDPR — регламент, который обязывает сообщать об утечках и штрафует банки за сливы персональных данных. В России будет ужесточаться регулирование в этом направлении?
— Когда мы говорим о регулировании в этом контексте, необходимо помнить о том, что я говорил выше: данные далеко не всегда утекают из банков. И если равняться на юридическую конструкцию GDPR, то штрафовать нужно будет только банки, а это, наверное, не очень эффективно с точки зрения борьбы с утечками.
Банк России высказывал свои предложения и пожелания относительно возможных изменений в Федеральный закон «О персональных данных» (ответственный федеральный орган исполнительной власти — Минкомсвязь), где ужесточение наказания — лишь одна из составляющих.
Система быстрых и безопасных платежей
— В последнее время наращивает обороты система быстрых платежей (СБП) — через нее проходят миллиарды рублей в месяц. Насколько защищена СБП с точки зрения обеспечения безопасности пользователей?
— Мы проектировали систему быстрых платежей с учетом большого числа тонкостей с точки зрения безопасности и выстроили многоуровневую защиту: на стороне Банка России, НСПК и банка клиента. Кроме того, в СБП реализован обмен между банками-участниками так называемым риск-баллом — набором определенных данных и критериев (например, номер телефона ранее был использован для совершения несанкционированной операции), позволяющим определить, насколько та или иная операция может быть отнесена к операции без согласия клиента. Это своего рода превентивный многофакторный анализ возможных атак на клиентов банков. Это позволяет быстро выявлять атаки и не допускать потерь граждан. Такого механизма пока нет у международных платежных систем, его только собираются внедрять. Благодаря этой технологии банк понимает всю цепочку передачи денег и может принять взвешенное решение.
— Упростила ли СБП задачу для социальных инженеров, которые убеждают переводить деньги по номеру телефона?
— Нет. Мошенники обычно используют перевод с карты на карту, со счета на счет, а также оплату товаров и услуг с чужих карт. К СБП пристального внимания в этом плане нет. Сейчас злоумышленники хотят получить контроль над счетом, над аккаунтом пользователя. Важна техника, которую они используют для этого, — перепривязка своего телефона к онлайн-банку клиента, авторизация в приложении с чужого смартфона. Для этого им и нужны коды из SMS. Для мошенников вопрос не столько в скорости получения денег, сколько в масштабе тех средств, к которым они пытаются открыть себе доступ.
— В прошлом году ЦБ направил в кредитные организации письмо, где говорилось, что СБП может быть использована для «пробива»: когда вводится номер телефона и высвечивается имя, отчество и первая буква фамилии, а также наличие счета в определенном банке. Мошенники используют эти сведения для более успешного обмана. Сейчас эта проблема решена?
— «Пробив» интересен мошенникам, если его можно использовать массово. СБП таких вещей не допускает. Механизм быстро блокирует возможность проверки множества номеров, если замечается подозрительная активность — то есть если есть признаки «пробива».
— В конце августа в одном из банков хакеры нашли уязвимость, которая позволяла подменять номер отправителя средств. Сколько клиентов могли пострадать из-за этой уязвимости, пока она не была обнаружена ФинЦЕРТ, и связана ли эта уязвимость с СБП?
— Уязвимость была обнаружена не в СБП, а в программном обеспечении системы дистанционного банковского обслуживания небольшого банка — участника системы. И это принципиально разные вещи. Никакие сервисы и протоколы самой СБП уязвимы не были. Мы совместно с банком оперативно устранили брешь в программном обеспечении. Сейчас у банка всё работает в штатном режиме. Банк полностью компенсировал потери пострадавшим клиентам.
