Как банковские счета граждан опустошаются по первому звонку.
Банк
России зафиксировал в последние месяцы резкий подъем
несанкционированных операций со счетами клиентов банков. В подавляющем
большинстве случаев они происходят через подменные телефонные номера
с использованием социальной инженерии. Банки и операторы связи готовы
с этим бороться и даже предлагают реальные технические решения —
но не могут решить, кто, кому и сколько должен заплатить. Поэтому
гражданам пока остается лишь быть аккуратными со своими персональными
данными и не откровенничать с неизвестными абонентами, пусть даже
звонящим с телефона банков
ФинЦЕРТ
(подразделение ЦБ, отвечает за кибербезопасность) в отчете за 2018 год
отметил резкий всплеск хищений средств с карт физических лиц. Общая
сумма составила 1,4 млрд руб., что в 1,4 раза больше
показателя 2017 года. Почти треть хищений пришлась на четвертый квартал
и 97% атак были проведены с использованием социальной инженерии.
В начале
2019 года тренд усилился, причем злоумышленники при звонках
потенциальным жертвам стали чаще использовать технологию подмены
телефонного номера банка (так называемый А-номер) при использовании
звонков через интернет. При таких звонках на экране телефона жертвы
высвечивается реальный номер банка, а клиенту сообщают о попытке
несанкционированного списания средств, называют его ФИО, номер паспорта,
остаток по счету и даже последние трансакции.
Для защиты
средств клиенту предлагают перевести их на специальный счет, сообщить
полную информацию по карте, кодовое слово или данные из SMS. Нередко
клиент, сбитый с толку информацией, которую может знать только банк,
рассказывает незнакомцу в телефонной трубке все, о чем его просят.
И после этого происходит хищение.
Для совершения
подобных звонков злоумышленники используют IP-телефонию. Применяя один
из протоколов такой связи (SIP-протокол), звонки можно проводить
с помощью компьютера, установив специальную программу; через сети Wi-Fi
или 3G/4G с помощью SIP-программ для планшетов и мобильных телефонов;
используя специальный стационарный SIP-телефон, который включается
в роутер; через обычный телефон, подключив его к VoIP-шлюзу, а сам
шлюз — к роутеру. Технология широко используется в обычной жизни.
Соединение по SIP-протоколу позволяет, например, организации
с несколькими колл-центрами звонить своим клиентам с одного указанного
на сайте телефона.
Есть
и решения, позволяющие совершать звонок с номера, просто похожего
на номер банка. Например, международные звонки с номера +880 (0)
555 5777, который похож на номер колл-центра Сбербанка 8800−5555777,
но на самом деле совершается из Бангладеш. Или же звонки с иных номеров
8−800, которые операторы IP-телефонии могут сдать в аренду на срок
от одного дня. «Сейчас программы и АТС, позволяющие совершать звонки
с подменой А-номера, стали намного доступнее и дешевле, чем ранее», —
отмечает директор по безопасности Почта-банка Станислав Павлунин.
По словам
основателя компании DeviceLock (специализируется на защите персональных
данных) Ашота Оганесяна, сообщения о звонках с использованием фальшивых
номеров банка были еще в конце 2018 года, но тогда злоумышленникам
не удавалось выдать себя за сотрудников, так как они обладали скудной
информацией о клиентах.
«Январская атака на клиентов Сбербанка,
когда злоумышленники знали уже паспортные данные и остатки по счетам,
была более результативной, — отмечает он.— И она стала возможной только
благодаря доступу злоумышленников к банковской тайне». По словам
господина Оганесяна, сегодня «пробивка» данных по конкретному человеку
доступна на черном рынке и можно за небольшие деньги по номеру телефона
или полному имени владельца карты получить информацию об остатках на его
счетах или трансакциях.
Один
из Telegram-каналов предлагал подобную услугу по базам Промсвязьбанка,
Бинбанка, Сбербанка и ВТБ, а также активно призывал к сотрудничеству
желающих сливать информацию из других банков. «Прошлым летом
правоохранительные органы выявили и задержали всех “представителей”
банков, торгующих информацией, — рассказал собеседник “Ъ” в крупном
банке.— Но уже через полгода канал возобновил работу, предлагая “услуги”
по тем же организациям».
В самих
банках подчеркивают, что источником информации совсем не обязательно
выступают их сотрудники. «Недавно стало известно о всплывшей базе данных
новых автомобилей выпуска 2018 года по Москве и Московской области, —
подтверждает руководитель лаборатории практического анализа защищенности
“Инфосистемы Джет” Лука Сафонов.— В базе 121 тыс. записей, она содержит
адреса телефонов, даты регистрационных действий, номера, марки и модели
автомобилей, документы на них, номера паспортов, адреса и телефоны
владельцев».
Еще
один пример — появление в открытом доступе информации по заемщикам
банков Южного, Уральского и Приволжского федеральных округов,
рассказывает Ашот Оганесян. По косвенным признакам база принадлежала
брокеру на рынке POS-кредитования. В ней были данные по 294 тыс.
заемщикам (полный пакет документов + фото), данные о кредитах и т. д.
Информацию
об остатке на счете клиента и последних трансакциях мошенники могут
выяснить, в том числе позвонив под видом клиента (с использованием
той же технологии подмены А-номера) на автоинформатор банка. «Номер
телефона клиента во многих банках позволяет пройти первичный уровень
идентификации при звонке и получить доступ к подобной информации», —
подтверждает глава департамента информационной безопасности ОТП-банка
Сергей Чернокозинский.
Судя
по официальным предупреждениям банков (Сбербанка, Райффайзенбанка,
Юникредитбанка и т. д.), проблема остается актуальной. Ответственность
и усилия по изменению ситуации банкиры хотят разделить с операторами
связи.
Как
отметили в Сбербанке, «оператор связи, пропуская через сеть такие
вызовы, нарушает законодательство РФ (п. 9 ст. 46 закона “О связи”),
поскольку не выполняет обязанность передать абонентский номер
в неизменном виде». Кроме того, говорят в банке, оператор обязан
прекратить оказание услуг по пропуску трафика на свою сеть (п. 10 той же
статьи) в случае выявления подобных нарушений.
Однако
ответственность за совершение вызовов с подменой номера в российском
законодательстве не предусмотрена. Поэтому, подчеркивают в Сбербанке,
необходимо «срочно инициировать разработку и внесение соответствующих
изменений в законодательство, устанавливающих ответственность лиц,
совершающих подобные действия, и операторов связи, не соблюдающих
возложенные на них обязанности».
«Необходимо
объединение усилий с операторами сотовой связи, которые уже предлагают
механизмы защиты», — добавляет Станислав Павлунин. В частности,
с предложениями к банкирам уже вышли «Ростелеком» и Tele2. Компании
деталей не раскрывают. Но «Ъ» удалось ознакомиться с презентацией Tele2:
оператор обещает с помощью специальной платформы защитить клиентов
не только от звонков с подменой номера самого банка, но и от звонков из
колл-центров в зонах, а также мошеннических звонков в кредитную
организацию с подменных номеров клиентов.
В пресс-службе
МТС сообщили «Ъ», что «наряду с платформой по проверке вызовов
в компании реализован функционал по проверке любой подстановки А-номера
или фейковой переадресации». Там добавили, что решение по защите
от подстановки 800-номеров уже реализовано в сотрудничестве с банками.
«Для гарантированной защиты от звонков с 8−800 в МТС скорректировали
пропуск международного и междугороднего трафика», — отметил собеседник
«Ъ», знакомый с ситуацией.
В «Вымпелкоме»
сообщили, что совместно с банками «ищут и обсуждают варианты решений»,
причем технические системы компании «позволяют блокировать звонки
с подменными номерами». По словам собеседника, знакомого с ситуацией
в компании, техническое решение дорабатывается, в основе его лежит
принцип работы платформы «Антифрод» одного из крупных европейских
операторов, с банками обсуждаются детали.
В «МегаФоне»
заверили «Ъ», что уже не один год оказывают банкам помощь в защите
от мошенничества, связанного с подменой номера на официальную нумерацию
банка при звонках клиентам. «Одновременно мы разрабатываем более
функциональное решение, которое позволит покрыть и другие методы
банковского мошенничества, когда злоумышленники при звонке используют
подмену номера. Техническую готовность решения планируем к июлю этого
года, о ценах пока говорить преждевременно», — сообщили в компании.
Еще
одним вариантом решения проблемы, считают эксперты, могло бы быть
ограничение для операторов связи пропуска трафика от номеров 8−800.
Звонок должен проходить лишь в случае, когда номер закреплен
за известным абонентом, но для этого необходим единый актуальный список
номеров, а также внесение поправок в нормативные акты Минкомсвязи.
В министерстве не ответили на запрос «Ъ».
В ЦБ
уверены, что у операторов связи есть техническая возможность решить
проблему мошенничеств через поддельные номера. Однако не решенным
остается вопрос оплаты такой работы.
«Подобные
звонки — фрод самого оператора связи, следовательно, и бороться
с подобным фродом обязан сам оператор и за свой счет», — уверен
собеседник «Ъ» в крупном банке. «Создание решения для борьбы с подменой
номера требует времени и значительных ресурсов и потому будет
коммерческим», — возражает топ-менеджер одного из операторов связи.
Некоторые банкиры в целом готовы платить. «Но стоимость решения
по защите клиентов банка от атак с подменой номера должна быть меньше
или сопоставима с потерями банка, — уточняет собеседник банка топ-10.—
При данных же атаках банк рискует исключительно деловой репутацией,
потери клиента он вправе не возмещать».
Пока ЦБ
и Минкомсвязи, банки и операторы связи ищут решение проблемы и спорят
о его финансировании, спасение средств клиентов по-прежнему полностью
зависит от них самих. Эксперты формулируют несколько простых правил.
Если
банк видит несанкционированную трансакцию, он ее сам блокирует и лишь
после этого связывается с клиентом. Если же вам сообщают о непонятной
операции и предлагают ее заблокировать — перед вами мошенник.
Часто
при мошеннических звонках клиент слышит «звуки колл-центра». Это
подозрительный сигнал — в реальных колл-центрах банка используется
оборудование, которое подавляет внешние шумы.
И главное,
никогда, ни при каких условиях нельзя кому-либо называть CVV2 (CVC2)
с обратной стороны карты, в том числе если предлагают ввести или
надиктовать цифры через автоинформатор. То же касается кодового слова
или пароля из SMS.
При поступлении
звонка о несанкционированной операции по вашей карте необходимо
положить трубку и самостоятельно позвонить в банк по официальному
номеру.
Главное
помнить, что если вы поверили мошенникам и сообщили свои данные,
то средства вам банк не вернет — вы нарушите