Регулятор сообщил банкам о том, что мошенники используют голосовое меню для получения сведений о состоянии счета клиентов, используя всего четыре последние цифры карты. До последнего времени раскрытие этой информации считалось безопасным — ее пишут на каждом чеке,— поскольку с ее помощью нельзя напрямую списать средства со счета. Однако оказалось, что для обмана граждан с помощью социальной инженерии этих четырех цифр вполне достаточно.
Фото: Александр Казаков, Коммерсантъ / купить фото
Как стало известно “Ъ”, в конце прошлой недели ФинЦЕРТ Банка России разослал бюллетень, в котором описывается схема получения сведений об остатках на счетах клиентов кредитных организаций при помощи интерактивного голосового меню (IVR). Согласно документу, неназванный банк сообщил в ЦБ о резком росте звонков его клиентам со стороны мошенников, которые были хорошо осведомлены о размерах остатков на их счетах. «Злоумышленники совершали телефонные звонки в систему IVR, подменяя телефонные номера клиентов. В системе они запрашивали сведения по остаткам денежных средств на картах клиентов, вводя последние четыре цифры номеров соответствующих банковских карт»,— говорится в бюллетене. Затем мошенники звонили клиентам, представлялись сотрудниками банка, а сведения о размере остатка на счете использовали «для преодоления барьера недоверия». После чего успешно применяли методы социальной инженерии для хищения денег.
В Банке России “Ъ” подтвердили рассылку этого бюллетеня ФинЦЕРТа. Как пояснили в ЦБ, был зафиксирован единичный случай подобного мошенничества из-за несоблюдения рекомендаций Банка России.
«После этого в своем бюллетене еще раз подчеркнул актуальность и необходимость следования рекомендуемым мерам»,— сообщил регулятор. При этом он пояснил, что рекомендации, как обезопасить клиентов от несанкционированного доступа к их конфиденциальной информации через IVR, давал банкам еще в 2019 году.
Откуда мошенники узнали номера карт и телефонов, в Банке России точно не установили, но считают, что наиболее вероятный источник — база покупателей международной торговой платформы Joom. «В августе 2020 года в сети интернет были размещены 55 тыс. записей из этой базы с фамилиями, именами, адресами, телефонными номерами, неполными номерами и сроками действия банковских карт клиентов ряда российских банков»,— говорится в документе.
Первые сообщения об этой утечке появились в марте — тогда Joom сам сообщил, что было скомпрометировано около 1 тыс. аккаунтов покупателей из России и Белоруссии, потом их число выросло до 55 тыс. Однако представители интернет-магазина и банков уверяли, что опасности для клиентов нет, поскольку данных, попавших руки мошенников, недостаточно для того, чтобы списать деньги с их счетов. Тогда сообщалось, что скомпрометированы были карты клиентов банков «Ак Барс», ВТБ, «Открытие», «Почта банк», Райффайзенбанка, Россельхозбанка, Сбербанка, Тинькофф-банка и других.
И вот теперь стало ясно, что идея о безопасности такого рода утечки излишне оптимистична. Оказывается, и четырех последних цифр карты может быть достаточно, чтобы получить конфиденциальную информацию клиентов банка. А ведь эта информация официально не относится к секретной и печатается на любом чеке, указывается в СМС-сообщениях. Более того, при оплате картой телефона в терминале на чеке кроме этих четырех цифр печатается и номер телефона. Не говоря уже об интернет-магазинах, где, как показал пример Joom, эти данные вполне доступны для мошенников.
Правда, ЦБ утверждает, что предупреждал банки о том, что последние четыре цифры номера карты нельзя указывать в качестве дополнительных параметров аутентификации.
«Банки при обслуживании клиентов в системе телефонного банкинга в автоматическом режиме должны использовать дополнительный параметр аутентификации, например секретный код, который устанавливается клиентом при заключении договора»,— говорит регулятор. В ВТБ считают, что любые мошенничества становятся возможными только при нарушении клиентами требований информационной безопасности.
По словам ведущего эксперта «Лаборатории Касперского» Сергея Голованова, случаи, когда злоумышленники пытаются обмануть голосового помощника, встречаются достаточно редко. Тем не менее он считает, что чем больше у злоумышленников информации о клиенте финансовой организации, тем больше вероятность, что они смогут обмануть жертву, используя социальную инженерию. При этом Сергей Голованов полагает, что использование биометрии как одного из факторов идентификации клиента может упростить процесс идентификации для пользователя и сделать этот процесс более безопасным. Правда, он признает, что пока технологию нельзя признать совершенной. «Это связано с ошибками первого и второго рода в системах распознавания биометрических данных, которые неприемлемы при финансовых операциях»,— говорит Сергей Голованов.
При этом эксперт, знакомый с проблемой, считает, что использование биометрии для проверки баланса было бы избыточным, к тому же заметно увеличило бы ее себестоимость для банка.
«Для банка важна конверсия. Одно дело, когда клиента автоматически определяют по номеру телефона и в качестве второго идентификатора просят назвать номер карты, которая у него в руке, а другое дело, когда ему надо идти куда-то за паспортом, который не так часто под рукой. Половина клиентов просто “отвалится” на этом этапе»,— говорит он.
Таким образом, несмотря на рекомендации ЦБ, банки будут продолжать минимизировать свои затраты в этой области, рискуя сделать своих клиентов жертвами мошенников. По его словам, сегодня у ряда банков в голосовом помощнике вообще нет второго идентификатора, даже в виде не одобренного ЦБ варианта — четырех последних цифр номера карты.