ЦБ обзвонит банки
Регулятор пытается бороться с подменами номеров
Пытаясь защитить граждан от мошеннических звонков, ЦБ решил собрать с банков номера телефонов, по которым они взаимодействуют с клиентами. Цель — передать номера операторам связи, чтобы те как минимум могли блокировать мошеннические звонки. Эксперты по информационной безопасности называют предложение полумерой, которая отсечет часть звонков, но лишь временно.
ЦБ разослал банкам письмо «О противодействии кредитному мошенничеству» за подписью зампреда Дмитрия Скобелкина, направленное на борьбу с хищением средств у клиентов-физлиц с использованием техники подмены номера.
В документе (есть в распоряжении “Ъ”) регулятор настоятельно рекомендует кредитным организациям в срок до 30 мая определить и представить в ЦБ списки номеров телефонов, которые используются банками только для приема входящих звонков от клиентов. Также необходимо представить перечни телефонных номеров, которые используются для звонков клиентам банков.
Помимо этого, регулятор рекомендует банкам при обслуживании клиентов в системе телефонного банкинга в автоматическом режиме использовать дополнительный параметр аутентификации (секретный код).
Письмо появилось в связи с массовыми хищениями средств у физлиц, когда мошенниками использовали технологию подмены номера. Злоумышленники, подменив номер клиента, звонили в банк и через автоинформатор получали информацию об остатке на счете, последних операциях, а далее уже с подменой номера банка звонили потенциальной жертве и, оперируя полученными данными, узнавали CVV коды и иную информацию (см. “Ъ” от 29 марта).
В ЦБ “Ъ” сообщили, что номера телефонов банков необходимы для подготовки механизма противодействия злоумышленникам, регулятор работает в этом направлении по договоренности с Минкомсвязью и операторами связи. В Минкомсвязи добавили, что в процессе участвуют также Роскомнадзором, МВД и крупнейшие российские банки.
Идея разделения номеров на чисто входящие и исходящие понятна, отмечает начальник отдела по противодействию мошенничеству «Инфосистемы Джет» Алексей Сизов, поскольку оператор связи сможет блокировать любые попытки позвонить клиентам с номера из списка входящих.
«Перечень же исходящих позволит в будущем определить список идентификаторов сотрудников банка, кто имеет право совершать звонок с использованием данного номера»,— отметил эксперт.
Кредитные организации оценивают ситуацию по-разному. В банках, где входящие номера публичны и отделены от исходящих, считают, что данная мера может быть действенной. Например, в ВТБ указывают, что нет дополнительных рисков при звонках с непубличных номеров. В Райффайзенбанке, где номера входящих и исходящих номеров телефонов совпадают, не планируют их разделять и звонить с непубличных номеров.
Мнения операторов связи по данному вопросу также расходятся. Так, в «Билайне» считают, что «требуется более комплексное сложное техническое решение». В МТС, напротив, уверены, что «предлагаемые меры позволят решить проблему, если банки будут своевременно сообщать операторам "белые" списки номеров и стыки, с которых могут поступать легальные звонки клиентам, а также "черные" списки номеров, звонки с которых должны быть закрыты сразу у всех операторов связи».
Есть расхождения в мнениях и относительно введения дополнительного идентификатора при звонке клиента на автоинформатор. По словам Алексея Сизова, данная мера как минимум лишит мошенников возможности узнавать остаток по счету клиента, что сузит количество информации о клиенте и сделает социальную инженерию менее успешной. При этом в Райффайзенбанке считают, что «автоинформатор» по определению выполняет информационно-справочную функцию и не требует от клиента дополнительного идентификатора. В Росбанке отметили, что прорабатывают вопрос введения идентификатора, хотя тут и предполагают на первых порах недовольство клиентов.
При столь разных подходах игроков к решению проблемы найти согласованное решение будет непросто. «Как следует из письма, ЦБ и сам понимает, что решить проблему введением белых списков и направлением их операторам связи нельзя,— отмечает руководитель аналитического центра Zecurion Владимир Ульянов.— Именно поэтому ЦБ и предлагает представителям банков, у которых есть идеи по борьбе с подменой номера, писать им».