«Мы фиксируем волну хищений с помощью захвата аккаунтов в соцсетях»
Не все банки «белые и пушистые», но допущенные ими утечки баз лишь капля в море объема персональных данных, которые обращаются на черном рынке. Об этом в интервью «Известиям» заявил заместитель начальника департамента информационной безопасности ЦБ Артем Сычев, курирующий Центр мониторинга и реагирования на кибератаки в финансовой сфере (ФинЦЕРТ). По его словам, набирает популярность такой вариант мошенничества, как взлом аккаунтов в соцсетях и рассылка друзьям жертвы просьб о помощи, также злоумышленники переориентировались с пенсионеров на трудоспособное население. Куратор ФинЦЕРТ рассказал о принципиально новом способе хищений у состоятельных граждан с помощью имитации голосов их знакомых, а также о переезде колл-центров злоумышленников из тюрем в страны СНГ.
— В СМИ периодически попадает информация о том, что данные клиентов кредитных организаций появляются в Сети. ЦБ заявляет о принятии оперативных решений и мер регуляторного характера, но утечки всё равно происходят. Как вы это объясните?
— Оперативные меры, о которых мы говорим, позволяют устранять обнаруженные уязвимости, закрывать те бреши, которые обуславливают техническую возможность утечки. Чем раньше к нам поступает информация об инциденте, тем быстрее мы вместе с банком ликвидируем прорыв и тем меньше данных успевает уйти. Дальше уже задача банка — отработать инцидент с правоохранительными органами.
Согласен, не все банки «белые и пушистые», есть определенные проблемы, но финансовый сектор научился бороться с утечками гораздо лучше других отраслей. Благодаря тому что мы задали кредитным организациям достаточно высокую планку обеспечения информационной безопасности, число инцидентов и объем ущерба от них существенно снизились с того момента, когда мы только начали эту работу. Поэтому вероятность того, что ваши персональные данные утекут именно из банка к мошенникам, очень мала. Достаточно посмотреть на сценарии, по которым работают мошенники. Далеко не всегда у них есть платежные данные и реквизиты счетов. В сущности, обзвонщикам совершенно не обязательно даже знать, в каком банке вы обслуживаетесь, — им важно втянуть вас в диалог.
— Безопасность данных — наиболее острая сейчас тема и в СМИ, и на рынке. И если защиту платежей банки постепенно научились обеспечивать — за исключением тех случаев, когда ошибка на стороне клиента (если против него применяются приемы социальной инженерии), то о безопасности биометрических данных говорят пока мало. Тем не менее могут ли клиенты быть уверены, что их биометрия не попадет в руки злоумышленников по вине банка?
— С биометрией это крайне маловероятно. Чтобы произошла утечка, злоумышленникам необходимо будет подменить образец данных его аналогом. Динамическая подмена голоса, фразы в моменте, когда идет идентификация, — математически сложная задача. Ведь помимо лица там еще и голос. К тому же здесь используются средства криптографической защиты информации на всех этапах работы с биометрией. Самим же сотрудникам эта информация недоступна, они отвечают только за сбор.
В любом случае, чтобы использовать данные биометрии, хакерам придется скомпрометировать сразу три вида баз: Единой системы идентификации и аутентификации, Единой биометрической системы и учетную запись в самом банке. Злоумышленник сможет что-то сделать, только если соберет всё это в одном флаконе. Это крайне сложно и экономически невыгодно.
— Могут ли банки скрыть от вас компрометацию своих систем?
— Были случаи, когда проблемы пытались спрятать, но мы их всё равно выявляли, потому что они не работают в безвоздушной среде: это рынок со множеством участников. Если есть уязвимость, о ней тут же становится известно — если не кредитной организации, то ее клиентам или контрагентам.
У нас позиция очень простая: если банк честно сообщает о своих проблемах и готов их решать — самостоятельно или с помощью Банка России — то мы делаем вывод, что риск у него под контролем. Если сбои скрываются, организация неохотно работает с ФинЦЕРТ — это чаще всего означает сложности не столько с информационной безопасностью, сколько с бизнесом в целом. Тогда вопросы у Центрального банка возникают не к «безопасникам», а к руководству банка, причем по разным направлениям.
— По данным вашего отчета за прошлый год, объем хищений у банковских клиентов составил 1,4 млрд рублей. Это официально, а есть ли у вас оценки реального масштаба бедствия?
— Да, не всё до рубля попадает в статистику, не все банки ее аккуратно формируют перед отправкой нам. Но мы получаем информацию из разных источников, соотносим данные. Например, мы обмениваемся информацией с МВД, и наши показатели в целом совпадают, так что можно сделать вывод, что погрешность невелика.
— Какую долю в 1,4 млрд занимают хищения, ставшие возможными благодаря утечкам?
— Мы не проводили в прошлом году такого разделения. По текущему году анализ будет сделан. Но можно сказать, что порядка 97% преступлений совершалось с помощью методов социальной инженерии — введения мошенниками пользователя в заблуждение, чтобы он самостоятельно предоставил преступнику доступ к средствам — своим собственным или банка.
— Какие социально-возрастные группы, жители каких регионов от этого больше всего страдают?
— Исследования, которые мы вместе с банками провели, говорят о том, что злоумышленник переориентировался со старшего и среднего возраста на категорию экономически активных граждан 30–45 лет. Это основная аудитория мошенников, причем около 65% в ней занимают женщины. Старшее поколение перестало покупаться на сообщения вроде «Мама, я попал в беду, кинь деньги сюда» или «Вам положена компенсация, дайте номер карты». Техники, которые были направлены исключительно на этот возраст, очевидно, стали приносить меньше дохода злоумышленникам.
Есть и другая особенность: цель мошенника — получить как можно больше денег за один раз, причем максимально быстро и затрачивая минимум усилий и средств. Как правило, у возрастных граждан больших сумм на картах нет. Имеющиеся сбережения они держат либо дома в наличном виде, либо хранят на вкладе в банке, поэтому оперативно обмануть пенсионера уже не получается. У более молодых людей уровень доверия к безопасности современных технологий довольно высокий. Поэтому их бывает проще «купить» на звонок или сообщение от имени сотрудника банка.
Главная задача — создать стрессовую ситуацию, в которой человеку будет сложно мыслить рационально. Например, злоумышленник может позвонить клиенту якобы с официального номера телефона банка, сообщить, что зафиксирована попытка несанкционированного списания средств с его счета. Чтобы предотвратить хищение, гражданина просят сообщить код, который приходит в SMS. Зачастую приходит номер подтверждения той или иной крупной покупки или человеку дают код для перепривязки счета к другому номеру телефона. В состоянии стресса клиент не читает текст сообщения, а акцентирует внимание только на цифрах. Здесь мы всегда обращаем внимание граждан на то, что по закону у них есть два дня, чтобы подтвердить или опровергнуть операцию, приостановленную банком как подозрительную, — нет необходимости принимать поспешные решения.
Либо другой распространенный вариант: предотвращена попытка списания, на всякий случай карту надо заблокировать, либо перевыпустить, либо перевести средства на резервный счет… Вариантов много, они постоянно меняются. В любом случае самая правильная реакция — это положить трубку и перезвонить в банк, уточнить, в чем дело. Причем номер банка надо набирать вручную. Если сделать «обратный вызов», есть риск попасть на тех же злоумышленников.
Артем Сычев — заместитель начальника департамента информационной безопасности ЦБ
— Известно ли вам о принципиально новых или сложных способах хищений?
— Мы фиксируем растущую волну хищений с помощью захвата аккаунтов в социальных сетях. Злоумышленник получает доступ к вашей странице и начинает публиковать посты, писать сообщения от вашего имени, например с просьбой о помощи. В виртуальном пространстве, хотим мы этого или нет, есть излишнее доверие к автору сообщений, который тебе вроде как друг. Это преломляет наши ощущения в пространстве реальном.
Мы знаем о случаях, когда злоумышленник имитирует голос знакомого своей жертвы. Но это пока большая редкость. Такой способ дорого стоит, и надо понимать, зачем вы это делаете, кому вы звоните. Если это и будет развиваться, то не против обычных граждан, а против собственников крупных компаний и в целом юридических лиц. Выход должен быть значительным, хищения нескольких сотен тысяч рублей не окупают такую операцию.
— Много ли злоумышленники зарабатывают, насколько это выгодный вид «бизнеса»?
— Как правило, обзвонщик сидит на проценте, получает примерно 10–15% от удачных хищений. Для него заработать в день тысяч 15–20 — это нормально. Самую большую долю получают обнальщики — те, кто выводят деньги. Эти участники преступной цепочки подвержены наибольшему риску, поскольку их легче всего поймать за руку. Их часть — около 40%. Остальное получают организаторы. Часть этих денег покрывает расходы на покупку баз у тех, кто их сливает, или у посредников.
— Кто этим занимается, каков социально-психологический портрет злоумышленника?
— Как правило, это молодые люди, которые любят драйв и нередко имеют криминальное прошлое. Раньше было очень популярно размещать подпольные колл-центры в тюрьмах. Сейчас эту практику в целом удалось пресечь. Отдельная проблема, которая нас сильно беспокоит, — это колл-центры, которые организуются за пределами РФ в некоторых республиках бывшего СССР. В них работают русскоговорящие обзвонщики, это дешевый канал связи и полная безнаказанность с юридической точки зрения. Крайне сложно закрыть такой колл-центр силами российских правоохранительных органов.
