«Банку необходимо правильно выстроить отношения с оператором связи»
Артем Сычев, первый заместитель начальника департамента информбезопасности ЦБ
О методах работы социальных инженеров, где они находят данные клиентов банков и о путях решения проблемы рассказал первый заместитель начальника департамента информационной безопасности ЦБ Артем Сычев.
— С нового года начались активные атаки на клиентов банков-физлиц с использованием социальной инженерии и технологии подмены телефонного номера. Можно ли сейчас оценить, насколько это массовая проблема?
— Она может касаться клиентов всех розничных банков вне зависимости от их размера.
— Среди пострадавших много клиентов из сегмента premium и private. Это таргетированные атаки или мошенники действуют по принципу «ковровой бомбардировки»?
— Это не таргетированные атаки, а «стрельба по площадям».
— Такое впечатление, что действуют хорошо организованные группы...
— Так и есть. Точно видно, что работают хорошо организованные группы, внутри которых есть четкое разделение по ролям. Есть аналитики, которые собирают информацию о клиенте и его картах, есть колл-центр, который получает эти данные и знает реквизиты карты, на которую нужно будет переводить средства. Есть те, кто готовит карты для вывода средств, и те, кто отвечает за снятие. Это мы четко наблюдаем по схеме атак.
— Откуда злоумышленники берут информацию о клиенте?
— Источники могут быть разные. Как правило, речь идет о старых базах данных, распространяемых в интернете. Но это совершенно точно разрозненные источники информации.
— Источники “Ъ” утверждают, что успешными такие атаки могут быть лишь при централизованном сливе данных отдельными сотрудниками банков. Вы исключаете такую возможность?
— Да, наговаривать на банки здесь не нужно, так как в подобном случае у звонивших было бы больше данных, да и состав данных был бы другим. Обычно у злоумышленника есть ФИО клиента, номер телефона, регистрационные данные на автомобиль или данные о покупках в интернете. Если бы информация поступала из банков, то у злоумышленников была бы точная информация об остатках по счетам, номера карт полностью, кодовое слово и другая идентифицирующая информация.
— Разве не было атак, при которых злоумышленники обладали этими сведениями?
— Точно нет. Такой вывод мы делаем на основе анализа обращений граждан и анализа публикаций в социальных сетях и Telegram-каналах. Мы можем уверено говорить, что это не утечка из банков.
— Если злоумышленники используют подмену номера и звонят под видом клиента в банк, то через автоинформатор они могут узнать остаток по счету, последние три трансакции. Такая информация используется при атаках. Планирует ли ЦБ ввести регулирование в данном направлении?
— Особенности клиентских сервисов мы сейчас исследуем. По результатам будут даны рекомендации для банков. Это касается не только автоинформирования, но и некоторых приложений.
— Как ЦБ намерен бороться с проблемой подмены номера в случаях, когда звонок идет под видом банка клиенту?
— В первую очередь банку необходимо правильно выстроить отношения с оператором связи, чтобы исключить возможность звонка с подмененного номера банка.
— Что для этого требуется сделать?
— Нужно, чтобы сигнализация проходила лишь по тем номерам, которые указали банки как телефонные номера для взаимодействия с клиентами. То есть банк определяет в договоре с оператором конечный пул номеров, с которых банк звонит клиенту, своего рода белый список. В итоге исходящий звонок с номера банка клиенту может быть совершен лишь из одного номера из пула. Перечень номеров должен быть определен в договоре с оператором. Сейчас первоочередная задача Банка России реализовать эту инициативу.
— Вы планируете выпустить нормативный документ?
— Нормативный — нет, все необходимые требования уже есть. По конкретной ситуации мы должны выдать банкам рекомендации. Они появятся в ближайшее время. Однако одними рекомендациями банкам проблему не решить. Важно взаимодействие операторов между собой, а это уже вне компетенции Банка России.
— То есть проблема нерешаема в принципе?
— Решаема, и мы рассчитываем на конструктивное взаимодействие с Минкомсвязью. Мы подготовили и направим в ближайшие дни обращение в министерство, где изложили свое видение проблемы. Подмена номера чаще всего происходит, когда идет присоединение SIP-оператора к оператору мобильной или фиксированной связи. Сейчас такое подключение ничем не регулируется, и тут, как нам кажется, важна позиция профильного регулятора.
— Но номер банка необязательно подменять. Можно взять похожий номер 8–800, и при достаточно объемной информации о потенциальной жертве он разницу не заметит. Такой номер можно легко арендовать на сутки.
— Да, этот вопрос в обращении мы тоже затронули. Со своей стороны, мы лишь можем уже после факта атаки на клиента инициировать его блокировку, чтобы с одного номера нельзя было позвонить дважды.
— Банки отмечают, что им уже поступают коммерческие предложения от операторов связи с предложением дополнительных услуг по борьбе с подменой номера.
— Активные действия операторов начались после того, как после обсуждения этой тематики на Уральском форуме (форум по информационной безопасности в финансовой сфере; проходил в феврале 2019 года.— “Ъ”) мы еще раз собрали основных операторов на своей площадке и поняли, что единой позиции и решения нет и очень важна точка зрения профильного регулятора. До этого операторы самостоятельно вели переговоры с крупными банками. Поэтому считаем необходимым обратиться за содействием.
— Банки волнует коммерческая сторона вопроса. Предложения операторов недешевы, а банки хотят соответствующий сервис либо бесплатно, либо чтобы потери от хищений средств клиентов были сопоставимы с затратами на защиту от атак. Какова позиция ЦБ?
— Комментировать этот вопрос сейчас преждевременно. Но операторы сообщили нам, что технически сделать сервис несложно.
— Сейчас также актуальна проблема звонка с технологией подмены номера под видом клиента банку. Ее вы намерены как-то решать?
— Клиент может позвонить с любого телефона, и вне зависимости от номера звонок будет легитимным. У банков есть дополнительные методы идентификации клиентов, которые должны позволять отличать их от мошенников.
— То есть эту проблему банки должны решать сами?
— Да, конечно, это не вопрос операторов.
— Периодически поднимается вопрос об усилении ответственности за разглашение информации, составляющей банковскую тайну. Например, есть Telegram-каналы, которые активно привлекают сотрудников банков для слива данных. Ответственность за разглашение банковской тайны минимальна. Планирует ли ЦБ ставить вопрос о ее усилении?
— Позиция о необходимости усиления ответственности нам понятна, и мы ее разделяем. Но это все же зона ответственности правоохранительных органов, именно они должны быть инициаторами поправок. Если они будут заинтересованы, мы поможем.
— Граждане, у которых социальные инженеры выманили данные карт, не могут рассчитывать на возврат средств на основании ФЗ 161 «О национальной платежной системе»?
— Возврат возможен в рамках требований, установленных ст. 9 ФЗ 161 (не предполагает гарантий возврата средств в случае мошенничеств с использованием социальной инженерии.— “Ъ”).
— Не рассматривает ли ЦБ возможность инициировать поправки, чтобы при подобном типе хищений средства возвращали более простым путем? Особенно с учетом того, что подменен может быть номер банка, а не клиента.
— Именно поэтому мы призываем граждан обращаться не только в банки, но и в правоохранительные органы, которые как раз и могут расследовать ситуацию, выяснить, что произошло.
— Банки отмечают, что в местах ограничения свободы работают целые мошеннические колл-центры, из которых идут звонки с подменой номера. Работает ли ЦБ с этой проблемой?
— Что она есть, мы знаем. Со ФСИН взаимодействуем.
— Отдельные банки предлагают клиентам переводить общение в мессенджеры и соцсети. Это увеличивает или снижает риски? Что вообще вы можете порекомендовать клиентам для защиты от мошенничеств?
— Мессенджеры и соцсети тоже небезопасны. Рекомендации просты: если клиент сомневается в легитимности звонка, целесообразно повесить трубку и самому перезвонить в банк по номеру, который указан на платежной карте или официальном сайте.