«Банку необходимо правильно выстроить отношения с оператором связи»

Артем Сычев, первый заместитель начальника департамента информбезопасности ЦБ

О методах работы социальных инженеров, где они находят данные клиентов банков и о путях решения проблемы рассказал первый заместитель начальника департамента информационной безопасности ЦБ Артем Сычев.

Фото: Пресс-служба Банка России

— С нового года начались активные атаки на клиентов банков-физлиц с использованием социальной инженерии и технологии подмены телефонного номера. Можно ли сейчас оценить, насколько это массовая проблема?

— Она может касаться клиентов всех розничных банков вне зависимости от их размера.

— Среди пострадавших много клиентов из сегмента premium и private. Это таргетированные атаки или мошенники действуют по принципу «ковровой бомбардировки»?

— Это не таргетированные атаки, а «стрельба по площадям».

— Такое впечатление, что действуют хорошо организованные группы...

— Так и есть. Точно видно, что работают хорошо организованные группы, внутри которых есть четкое разделение по ролям. Есть аналитики, которые собирают информацию о клиенте и его картах, есть колл-центр, который получает эти данные и знает реквизиты карты, на которую нужно будет переводить средства. Есть те, кто готовит карты для вывода средств, и те, кто отвечает за снятие. Это мы четко наблюдаем по схеме атак.

— Откуда злоумышленники берут информацию о клиенте?

— Источники могут быть разные. Как правило, речь идет о старых базах данных, распространяемых в интернете. Но это совершенно точно разрозненные источники информации.

— Источники “Ъ” утверждают, что успешными такие атаки могут быть лишь при централизованном сливе данных отдельными сотрудниками банков. Вы исключаете такую возможность?

— Да, наговаривать на банки здесь не нужно, так как в подобном случае у звонивших было бы больше данных, да и состав данных был бы другим. Обычно у злоумышленника есть ФИО клиента, номер телефона, регистрационные данные на автомобиль или данные о покупках в интернете. Если бы информация поступала из банков, то у злоумышленников была бы точная информация об остатках по счетам, номера карт полностью, кодовое слово и другая идентифицирующая информация.

— Разве не было атак, при которых злоумышленники обладали этими сведениями?

— Точно нет. Такой вывод мы делаем на основе анализа обращений граждан и анализа публикаций в социальных сетях и Telegram-каналах. Мы можем уверено говорить, что это не утечка из банков.

— Если злоумышленники используют подмену номера и звонят под видом клиента в банк, то через автоинформатор они могут узнать остаток по счету, последние три трансакции. Такая информация используется при атаках. Планирует ли ЦБ ввести регулирование в данном направлении?

— Особенности клиентских сервисов мы сейчас исследуем. По результатам будут даны рекомендации для банков. Это касается не только автоинформирования, но и некоторых приложений.

— Как ЦБ намерен бороться с проблемой подмены номера в случаях, когда звонок идет под видом банка клиенту?

— В первую очередь банку необходимо правильно выстроить отношения с оператором связи, чтобы исключить возможность звонка с подмененного номера банка.

— Что для этого требуется сделать?

— Нужно, чтобы сигнализация проходила лишь по тем номерам, которые указали банки как телефонные номера для взаимодействия с клиентами. То есть банк определяет в договоре с оператором конечный пул номеров, с которых банк звонит клиенту, своего рода белый список. В итоге исходящий звонок с номера банка клиенту может быть совершен лишь из одного номера из пула. Перечень номеров должен быть определен в договоре с оператором. Сейчас первоочередная задача Банка России реализовать эту инициативу.

— Вы планируете выпустить нормативный документ?

— Нормативный — нет, все необходимые требования уже есть. По конкретной ситуации мы должны выдать банкам рекомендации. Они появятся в ближайшее время. Однако одними рекомендациями банкам проблему не решить. Важно взаимодействие операторов между собой, а это уже вне компетенции Банка России.

— То есть проблема нерешаема в принципе?

— Решаема, и мы рассчитываем на конструктивное взаимодействие с Минкомсвязью. Мы подготовили и направим в ближайшие дни обращение в министерство, где изложили свое видение проблемы. Подмена номера чаще всего происходит, когда идет присоединение SIP-оператора к оператору мобильной или фиксированной связи. Сейчас такое подключение ничем не регулируется, и тут, как нам кажется, важна позиция профильного регулятора.

— Но номер банка необязательно подменять. Можно взять похожий номер 8–800, и при достаточно объемной информации о потенциальной жертве он разницу не заметит. Такой номер можно легко арендовать на сутки.

— Да, этот вопрос в обращении мы тоже затронули. Со своей стороны, мы лишь можем уже после факта атаки на клиента инициировать его блокировку, чтобы с одного номера нельзя было позвонить дважды.

— Банки отмечают, что им уже поступают коммерческие предложения от операторов связи с предложением дополнительных услуг по борьбе с подменой номера.

— Активные действия операторов начались после того, как после обсуждения этой тематики на Уральском форуме (форум по информационной безопасности в финансовой сфере; проходил в феврале 2019 года.— “Ъ”) мы еще раз собрали основных операторов на своей площадке и поняли, что единой позиции и решения нет и очень важна точка зрения профильного регулятора. До этого операторы самостоятельно вели переговоры с крупными банками. Поэтому считаем необходимым обратиться за содействием.

— Банки волнует коммерческая сторона вопроса. Предложения операторов недешевы, а банки хотят соответствующий сервис либо бесплатно, либо чтобы потери от хищений средств клиентов были сопоставимы с затратами на защиту от атак. Какова позиция ЦБ?

— Комментировать этот вопрос сейчас преждевременно. Но операторы сообщили нам, что технически сделать сервис несложно.

— Сейчас также актуальна проблема звонка с технологией подмены номера под видом клиента банку. Ее вы намерены как-то решать?

— Клиент может позвонить с любого телефона, и вне зависимости от номера звонок будет легитимным. У банков есть дополнительные методы идентификации клиентов, которые должны позволять отличать их от мошенников.

— То есть эту проблему банки должны решать сами?

— Да, конечно, это не вопрос операторов.

— Периодически поднимается вопрос об усилении ответственности за разглашение информации, составляющей банковскую тайну. Например, есть Telegram-каналы, которые активно привлекают сотрудников банков для слива данных. Ответственность за разглашение банковской тайны минимальна. Планирует ли ЦБ ставить вопрос о ее усилении?

— Позиция о необходимости усиления ответственности нам понятна, и мы ее разделяем. Но это все же зона ответственности правоохранительных органов, именно они должны быть инициаторами поправок. Если они будут заинтересованы, мы поможем.

— Граждане, у которых социальные инженеры выманили данные карт, не могут рассчитывать на возврат средств на основании ФЗ 161 «О национальной платежной системе»?

— Возврат возможен в рамках требований, установленных ст. 9 ФЗ 161 (не предполагает гарантий возврата средств в случае мошенничеств с использованием социальной инженерии.— “Ъ”).

— Не рассматривает ли ЦБ возможность инициировать поправки, чтобы при подобном типе хищений средства возвращали более простым путем? Особенно с учетом того, что подменен может быть номер банка, а не клиента.

— Именно поэтому мы призываем граждан обращаться не только в банки, но и в правоохранительные органы, которые как раз и могут расследовать ситуацию, выяснить, что произошло.

— Банки отмечают, что в местах ограничения свободы работают целые мошеннические колл-центры, из которых идут звонки с подменой номера. Работает ли ЦБ с этой проблемой?

— Что она есть, мы знаем. Со ФСИН взаимодействуем.

— Отдельные банки предлагают клиентам переводить общение в мессенджеры и соцсети. Это увеличивает или снижает риски? Что вообще вы можете порекомендовать клиентам для защиты от мошенничеств?

— Мессенджеры и соцсети тоже небезопасны. Рекомендации просты: если клиент сомневается в легитимности звонка, целесообразно повесить трубку и самому перезвонить в банк по номеру, который указан на платежной карте или официальном сайте.

Интервью взяла Вероника Горячева

Взлом по телефону

Как банковские счета граждан опустошаются по первому звонку

Читать далее

Картина дня

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...