марта
Источники информации для мошенников о банковских клиентах — точно не банки. Об этом заявил, комментируя в интервью газете «Коммерсант» активные телефонные атаки на банковских клиентов начиная с этого года, первый заместитель начальника департамента информационной безопасности ЦБ Артем Сычев.
Он констатировал, что проблема может касаться клиентов всех розничных банков вне зависимости от их размера, причем это не таргетированные атаки, а «стрельба по площадям».
«Точно видно, что работают хорошо организованные группы, внутри которых есть четкое разделение по ролям. Есть аналитики, которые собирают информацию о клиенте и его картах, есть кол-центр, который получает эти данные и знает реквизиты карты, на которую нужно будет переводить средства. Есть те, кто готовит карты для вывода средств, и те, кто отвечает за снятие. Это мы четко наблюдаем по схеме атак», — рассказал Сычев.
По его словам, источники могут быть разные. Как правило, речь идет о старых базах данных, распространяемых в Интернете. «Наговаривать на банки здесь не нужно, так как в подобном случае у звонивших было бы больше данных, да и состав данных был бы другим, — подчеркнул он. — Обычно у злоумышленника есть Ф. И. О. клиента, номер телефона, регистрационные данные на автомобиль или данные о покупках в Интернете. Если бы информация поступала из банков, то у злоумышленников была бы точная информация об остатках по счетам, номера карт полностью, кодовое слово и другая идентифицирующая информация».
«Мы можем уверенно говорить, что это не утечка из банков», — заверил представитель ЦБ.
Комментируя замечание интервьюера о том, что если злоумышленники используют подмену номера и звонят под видом клиента в банк, то через автоинформатор могут узнать остаток по счету и последние три трансакции, Сычев отметил: «Особенности клиентских сервисов мы сейчас исследуем. По результатам будут даны рекомендации для банков. Это касается не только автоинформирования, но и некоторых приложений».
Относительно методов борьбы с проблемой подмены номера в случаях, когда звонок идет под видом банка клиенту, он заявил, что «в первую очередь банку необходимо правильно выстроить отношения с оператором связи, чтобы исключить возможность звонка с подмененного номера банка».
«Нужно, чтобы сигнализация проходила лишь по тем номерам, которые указали банки как телефонные номера для взаимодействия с клиентами, — пояснил Сычев. — То есть банк определяет в договоре с оператором конечный пул номеров, с которых банк звонит клиенту, своего рода белый список. В итоге исходящий звонок с номера банка клиенту может быть совершен лишь из одного номера из пула. Перечень номеров должен быть определен в договоре с оператором. Сейчас первоочередная задача Банка России — реализовать эту инициативу».
Сычев отметил, что нормативный документ выпускать на планируется, все необходимые требования уже есть. «По конкретной ситуации мы должны выдать банкам рекомендации. Они появятся в ближайшее время. Однако одними рекомендациями банкам проблему не решить. Важно взаимодействие операторов между собой, а это уже вне компетенции Банка России», — сказал представитель ЦБ.
Он уверен, что проблема решаема. «Мы рассчитываем на конструктивное взаимодействие с Минкомсвязью. Мы подготовили и направим в ближайшие дни обращение в министерство, где изложили свое видение проблемы. Подмена номера чаще всего происходит, когда идет присоединение SIP-оператора к оператору мобильной или фиксированной связи. Сейчас такое подключение ничем не регулируется, и тут, как нам кажется, важна позиция профильного регулятора», — отметил Сычев.
Он прокомментировал описанную изданием ситуацию, когда позвонить якобы от имени банка можно даже без подмены номера: можно взять похожий номер на 8-800 (а его можно арендовать на сутки), и при достаточно объемной информации о потенциальной жертве та разницу не заметит. «Да, этот вопрос в обращении мы тоже затронули, — сказал Сычев. — Со своей стороны мы лишь можем уже после факта атаки на клиента инициировать блокировку, чтобы с одного номера нельзя было позвонить дважды».
Сычев подтвердил, что, по данным операторов связи, сделать сервис для борьбы с подменой номеров технически не сложно, но счел преждевременным комментировать коммерческую сторону вопроса.
При этом представитель ЦБ не считает проблемой звонки банкам от имени клиентов при помощи технологий подмены номера. «Клиент может позвонить с любого телефона, и вне зависимости от номера звонок будет легитимным. У банков есть дополнительные методы идентификации клиентов, которые должны позволять отличать их от мошенников», — пояснил Сычев. Эту проблему банки должны решать сами, это не вопрос операторов, полагает он.
Первый заместитель начальника департамента информационной безопасности ЦБ добавил, что мессенджеры и соцсети тоже небезопасны.
«Рекомендации просты: если клиент сомневается в легитимности звонка, целесообразно повесить трубку и самому перезвонить в банк по номеру, который указан на платежной карте или официальном сайте», — заключил Сычев.
