«Ведомости»: ЦБ предупредил банки об атаках через Систему быстрых платежей
Регулятор называет атаками сбор информации о клиентах банков с помощью идентификатора, в качестве которого выступает номер мобильного телефона. Как действуют мошенники и можно ли защититься пользователям?
Читать на полной версииБанк России выявил компьютерные атаки на клиентов банков в Системе быстрых платежей (СБП). Об этом, как сообщает газета «Ведомости», говорится в письме ЦБ банкам.
Центробанк называет атаками сбор информации о клиентах банков с помощью идентификатора, в качестве которого выступает номер мобильного телефона. Войдя в СБП, мошенники вычисляют ФИО жертвы и название кредитной организации, которая выпустила банковскую карту. Этой информации мало для хищения денег, но мошенники могут использовать ее для того, чтобы совершить кражу с использованием методов «социальной инженерии». Например, позвонить от имени банка и, верно назвав имя и отчество человека, попытаться убедить того сообщить код из СМС-сообщения, необходимый для списания средств с карты. Комментирует технологический инвестор и предприниматель Денис Черкасов:
Денис Черкасов технологический инвестор и предприниматель «Любая информация о человеке, которая может быть доступна мошенникам или злоумышленникам, может всегда быть использована в системах так называемого мягкого взлома, или социальной инженерии. Получив данные о человеке из разрозненных источников (например, счета в каких банках у него открыты или его номер телефона), мошенники могут смоделировать ситуацию звонка из этого банка с просьбой сообщить им какие-то дополнительные коды верификации или ПИН-коды и таким образом взломать счет клиента. Здесь, наверное, имеет смысл говорить именно о методах социальной инженерии, а не о взломе кода, обслуживающего Систему быстрых платежей как таковую».
Система быстрых платежей позволяет переводить деньги по номеру мобильного вне зависимости от того, в каком из ее банков-участников открыты счета отправителя и получателя. Оператор СБП — Центробанк, система начала работать в начале года.
В июне первый заместитель директора департамента информационной безопасности ЦБ Артем Сычев прокомментировал опасения по поводу того, что через СБП мошенники могут узнать, в каком банке у человека открыт счет. Сычев тогда назвал уровень фрода, то есть мошенничества, нулевым. «Мы реализовали специальный алгоритм. Он позволяет в случае обнаружения подобных попыток со стороны банка-отправителя не доводить эти запросы до банка-получателя. Мы видим, что в ряде банковских систем такие переборы делают, но на уровне СБП они блокируются», — заявил он.
Как действуют мошенники и как защититься пользователям? Рассуждает заместитель генерального директора компании Zecurion, эксперт по кибербезопасности Александр Ковалев:
— По тому, что известно, защиты не очень достаточно, наверное, ее усилят. В принципе можно автоматом блокировать, потому что мало кому надо переводить десяти людям средства в течение одного дня, это очень редкий кейс. По конкретному человеку, если я захочу увидеть список его банков, логика системы подразумевает, что я должен увидеть этот список, чтобы выбрать банк. Если мы хотим дать посторонним людям возможность переводить вам на разные счета деньги, то они должны видеть, в каких банках у вас есть счета. В таком случае он может собрать [данные]. Он может собрать это, на бумажку переписать, тогда уже никаким образом никакие системы не помогут. Но это больше такая «кусочная» история, то есть массово собирать по большому количеству клиентов банков достаточно тяжело. Можно попытаться, но у банков от этого есть двойная защита.
— Как рядовой пользователь может защититься?
— Рекомендуется не брать звонки с незнакомых номеров, особенно если они в итоге представляются банками. Если уже позвонил банк, всегда перезванивать, и никому — ни работникам банков, ни мошенникам — не говорить СМС-коды, пароли или что-то еще.
Центробанк 1 октября сообщил о подключении к СБП десяти из 11 крупнейших банков России. На тот момент единственной не подключившейся к СБП системно значимой кредитной организацией оставался Сбербанк. На прошлой неделе глава ЦБ Эльвира Набиуллина заявила, что последний не выполнивший требование закона о подключении к СБП банк оштрафован.