О новых способах мошенничества и стоимости клиентских данных на черном рынке
Телефонные мошенники на фоне коронавируса повысили ставки — с похищения денег с банковских карт они переключились на депозиты граждан, где, как правило, хранится гораздо больше средств, чем составляют остатки по счету. Такая смена цели связана с тем, что результативность массовых обзвонов падает, хотя их число растет. О ситуации в сфере кибермошенничества в интервью «Известиям» рассказал первый заместитель директора департамента информационной безопасности Банка России Артём Сычев. Кроме этого, он сообщил об учащении случаев обмана преступниками друг друга и поделился информацией о судьбе законопроектов для борьбы с хищением средств со счетов граждан.
От карт к депозитам
— В период изоляции безналичные платежи выросли на порядок, кроме этого было серьезно засорено информационное поле. Воспользовались ли мошенники ситуацией?
— Темы COVID-19, компенсаций от государства, выплат, снижения налогов, изменения условий по кредитным договорам действительно активно использовались злоумышленниками. Однако мошенники усиленно работали только неделю-полторы, пока не было детальной информации о том, как получить эти льготы. То есть как только государственные органы и банки начали активную разъяснительную кампанию по той или иной важной теме, активность злоумышленников падала.
Что касается кибербезопасности финансовых организаций, то переход на удаленную работу не сильно повлиял на существующую ситуацию. Увеличения числа успешных кибератак на банки в период пандемии нами не зафиксировано. Даже если банки переводят сотрудника на дистанционную работу, доступ к данным у него остаётся таким же, какой был в офисе. Для нас как регулятора важно, чтобы банк мог обеспечить защиту информации на должном уровне, а будет сотрудник при этом работать в офисе или дистанционно — не принципиально.
— Появились ли какие-то новые сценарии обмана?
— Злоумышленники пытаются убедить людей в том, что есть угроза их накоплениям. Сценарий «с вашего счета перевели деньги» трансформировался в новый — «есть угроза вашему депозиту». Суть в целом осталась та же — средства нужно перевести на якобы безопасный счёт. Для этого жертва либо должна сообщить данные карты, коды из СМС и т.д., либо самостоятельно перевести деньги. С точки зрения злоумышленников депозиты гораздо интереснее, чем остаток по обычному счету, так как можно сразу получить большие деньги. Это смещение интереса означает, что в массовом сегменте, где доход мошенника зависел скорее от количества обзвонов, прибыльность начала снижаться.
— Это как-то повлияло на количество обзвонов?
— Их количество возросло, но результативность — нет. Суммы похищаемых денег существенно не увеличились. Мы также видим, что доля несанкционированных операций в общем объеме платежей уменьшается. Более того, злоумышленники стали звонить по одному и тому же номеру несколько раз, да ещё в течение нескольких дней подряд. Это означает, что либо работает несколько групп, либо одна и та же, но ей не хватает выручки. То есть доля удачных звонков, которые закончились хищением средств, сокращается. Я полагаю, что снижение результативности массовых обзвонов связано и с тем, что наши граждане стали в большей степени вооружены знаниями о существовании мошенников-обзвонщиков, стали настороженнее относиться к звонкам.
10 рублей и выше
— За последний год в публичном поле массово появлялись данные о миллионных утечках баз данных из крупнейших финансовых организаций. Можно ли его окрестить «годом утечек персональных данных из банков»?
— Я бы так его не назвал. Роста утечек в финансовом секторе по сравнению с прошлым годом мы не наблюдаем. Рынок нелегальной информации, отнесенной к персональным данным, в принципе всегда относительно стабилен. И говорить о каких-то всплесках можно с очень большой натяжкой.
— В каких объёмах на чёрном рынке продаются именно банковские утечки?
— В гораздо меньших объемах, о которых в своих «предложениях» утверждают сами злоумышленники. Что примечательно, на этом же черном рынке есть большое количество мошенников, которые обманывают других мошенников. Они заявляют, что у них миллион записей из банка, а на самом деле их в лучшем случае несколько тысяч, или утечка эта из других организаций или скомпилирована из открытых источников — из соцсетей. На рынке очень много материалов, которые выдают за свежие данные, а на самом деле это очень давние утечки.
Конечно, можно ужесточать правила защиты информации в разных организациях, однако это полностью проблему не решит. То, что человек выдает о себе в социальных сетях, разных фишинговых сайтах, интернет-магазинах и других сайтах может использоваться мошенниками, и важно всем об этом помнить.
Более того, проблему утечек надо рассматривать в комплексе. Данные крадут для того, чтобы использовать в противоправных целях. Обзвонщики с помощью техник социальной инженерии вынуждают людей совершать поступки, которые приводят к тому, что деньги утекают от законного владельца к злоумышленнику. Если сравнить объемы утечек из банков с числом людей, которым звонят мошенники, то диспропорция становится очевидной: злоумышленники звонят гораздо большему числу людей, чем количество клиентов банков, данные которых утекли. Вывод один — проблема утечек характерна не только и даже не столько для банков.
— Как это выясняется?
— Мы видим не только количественную статистику по обзвонам, по операциям без согласия клиента, но и структуру — суть этих операций. Кстати, практически по всем утечкам именно из кредитных организаций, которые были зафиксированы в прошлом году, есть реализованные уголовные дела, какие-то уже имеют судебные решения. То есть если все-таки происходит утечка из банка, то всегда проводится серьезное расследование, виновные, как правило, находятся и предстают перед судом.
— Сколько стоят клиентские данные на чёрном рынке?
— Цена сильно зависит от состава данных, от продавца. В среднем одна запись стоит от 10 рублей и выше.
— Информация о базах данных, в том числе банковских, стала все чаще появляться в открытых источниках — на форумах, в телеграм-каналах. Насколько она интересна для ФинЦЕРТ с точки зрения надзорной практики? Если нет, то кто может быть интересантом ее распространения (иными словами — может ли это быть инструментом конкурентной борьбы)?
— Информация, конечно, нам интересна именно с точки зрения использования ее в надзорной практике. Что касается конкурентной борьбы — нет, черный рынок для этого не используется. Основные потребители такой информации — это службы безопасности. Криминалитет — на втором месте, и здесь мы будем двигаться в сторону ужесточения наказания за незаконный оборот.
Борьба на рассмотрении
— Банки обычно отказывают в возврате средств жертвам социальной инженерии, поскольку они сами подтвердили операцию, назвав код из СМС. Сейчас в Ассоциации банков России (АБР) готовится законопроект, который позволит замораживать счета на стороне получателя средств, если отправитель объявит, что они были уведены с помощью какой-то из схем социальной инженерии...
— Да, мы с коллегами обсуждали эту инициативу. Ассоциация направила свои предложения по законопроекту в Банк России, но он требует еще очень серьезной юридической проработки. Механизмы, которые предложены, не всегда укладываются в логику Гражданского кодекса.
— Ещё с марта прошлого года в Госдуме лежит законопроект о взаимодействии между банками и сотовыми операторами по обмену данным о сим-картах. Поясните, в чем суть проблемы, которую поможет решить его принятие?
— Суть в том, что сейчас существуют мошеннические схемы, когда злоумышленники без ведома владельца телефона меняют сим карту. После этого преступники получают доступ к онлайн банкингу, перехватывают смс сообщения и опустошают счета законных владельцев денег. При этом сами владельцы даже не сразу понимают, что произошло — к ним не приходят смс о списании денег со счета.
— Какой механизм решения заложен в законопроекте и когда вы ожидаете его принятия?
— Оператор связи будет обязан информацию о замене сим-карт предоставить в банк. И что важно — доступ к этой информации получат все без исключения банки (если это касается их клиента), а не только самые крупные. Таким образом банк сможет отследить, что номер привязан к законному владельцу, а не злоумышленнику. Более того, чтобы качественно провести работу по противодействию мошенничеству, банкам необходимо знать дополнительные сведения — что происходит с устройством гражданина. Это не значит, что за гражданином надо следить. Оператор видит признаки того, что на телефоне стоит вредоносное программное обеспечение. Эта информация нужна банку, чтобы они предотвратили кражу, предупредить клиента.
Мы рассчитываем, что в осеннюю сессию во втором чтении законопроект примут.
— А что касается борьбы с подменой номеров, когда мошенники маскируются под сотрудников банка?
— Законопроект готов, находится в профильном комитете Госдумы. После его принятия появится правовая база для того, чтобы не давать злоумышленникам использовать технику подмены номеров. Мы считаем, что его нужно принимать как можно скорее.
— В Европе уже довольно давно действует Общее положение о защите данных -GDPR — регламент, который обязывает сообщать об утечках и штрафует банки за сливы персональных данных. В России будет ужесточаться регулирование в этом направлении?
— Когда мы говорим о регулировании в этом контексте, необходимо помнить о том, что я говорил выше: данные далеко не всегда утекают из банков. И если равняться на юридическую конструкцию GDPR, то штрафовать нужно будет только банки, а это, наверное, не очень эффективно с точки зрения борьбы с утечками.
Банк России высказывал свои предложения и пожелания относительно возможных изменений в Федеральный закон «О персональных данных» (ответственный федеральный орган исполнительной власти — Минкомсвязь), где ужесточение наказания — лишь одна из составляющих.
Система быстрых и безопасных платежей
— В последнее время наращивает обороты система быстрых платежей (СБП), через нее проходят миллиарды рублей в месяц. Насколько защищена СБП с точки зрения обеспечения безопасности пользователей?
— Мы проектировали Систему быстрых платежей с учетом большого числа тонкостей с точки зрения безопасности и выстроили многоуровневую защиту: на стороне Банка России, НСПК и банка клиента. Кроме того, в СБП реализован обмен между банками-участниками так называемым риск-баллом — то есть набором определенных данных и критериев (например, номер телефона ранее был использован для совершения несанкционированной операции), позволяющим определить, насколько та или иная операция может быть отнесена к операции без согласия клиента. Это своего рода превентивный многофакторный анализ возможных атак на клиентов банков. Это позволяет быстро выявлять атаки и не допускать потерь клиентов банков. Такого механизма пока нет у международных платёжных систем, его только собираются внедрять. Благодаря этой технологии банк понимает всю цепочку передачи денег и может принять взвешенное решение.
— Упростила ли СБП задачу для социальных инженеров, которые убеждают переводить деньги по номеру телефона?
— Нет. Мошенники обычно используют перевод с карты на карту, со счета на счет, а также оплату товаров и услуг с чужих карт. К СБП пристального внимания в этом плане нет. Сейчас злоумышленники хотят получить контроль над счетом, над аккаунтом пользователя. Важна техника, которую они используют для этого — перепривязка своего телефона к онлайн-банку клиента, авторизация в приложении с чужого смартфона. Для этого им и нужны коды из СМС. Для мошенников вопрос не столько в скорости получения денег, сколько в масштабе тех средств, к которым они пытаются открыть себе доступ.
— В прошлом году ЦБ направил в кредитные организации письмо, где говорилось, что СБП может быть использована для пробива данных: когда вводится номер телефона и высвечивается имя, отчество и первая буква фамилии, а также наличие счёта в определённом банке. Мошенники эти сведения используют для более успешного обмана. Сейчас эта проблема решена?
— Пробив интересен мошенникам, если его можно использовать массово. СБП таких вещей не допускает. Механизм быстро блокирует возможность проверки множества номеров, если замечается подозрительная активность, то есть, если есть признаки пробива.
— В конце августа в одном из банков хакеры нашли уязвимость, которая позволяла подменять номер отправителя средств. Сколько клиентов могли пострадать из-за этой уязвимости, пока она не была обнаружена ФинЦЕРТом и связана ли эта уязвимость с СБП?
— Уязвимость была обнаружена не в СБП, а в программном обеспечении системы дистанционного банковского обслуживания небольшого банка-участника системы. И это принципиально разные вещи. Никакие сервисы и протоколы самой СБП уязвимы не были. Мы совместно с банком оперативно устранили «брешь» в программном обеспечении. Сейчас у банка все работает в штатном режиме. Банк полностью компенсировал потери пострадавшим клиентам.
Автор: Наталья Ильина