Банку необходимо правильно выстроить отношения с оператором связи

29.03.2019   \  Интервью

О методах работы социальных инженеров, где они находят данные клиентов банков и о путях решения проблемы рассказал первый заместитель начальника департамента информационной безопасности ЦБ Артем Сычев.



- С нового года начались активные атаки на клиентов банков-физлиц с использованием социальной инженерии и технологии подмены телефонного номера. Можно ли сейчас оценить, насколько это массовая проблема?

- Она может касаться клиентов всех розничных банков вне зависимости от их размера.

- Среди пострадавших много клиентов из сегмента premium и private. Это таргетированные атаки или мошенники действуют по принципу «ковровой бомбардировки»?

- Это не таргетированные атаки, а «стрельба по площадям».

- Такое впечатление, что действуют хорошо организованные группы...

- Так и есть. Точно видно, что работают хорошо организованные группы, внутри которых есть четкое разделение по ролям. Есть аналитики, которые собирают информацию о клиенте и его картах, есть колл-центр, который получает эти данные и знает реквизиты карты, на которую нужно будет переводить средства. Есть те, кто готовит карты для вывода средств, и те, кто отвечает за снятие. Это мы четко наблюдаем по схеме атак.

- Откуда злоумышленники берут информацию о клиенте?

- Источники могут быть разные. Как правило, речь идет о старых базах данных, распространяемых в интернете. Но это совершенно точно разрозненные источники информации.

- Источники “Ъ” утверждают, что успешными такие атаки могут быть лишь при централизованном сливе данных отдельными сотрудниками банков. Вы исключаете такую возможность?

- Да, наговаривать на банки здесь не нужно, так как в подобном случае у звонивших было бы больше данных, да и состав данных был бы другим. Обычно у злоумышленника есть ФИО клиента, номер телефона, регистрационные данные на автомобиль или данные о покупках в интернете. Если бы информация поступала из банков, то у злоумышленников была бы точная информация об остатках по счетам, номера карт полностью, кодовое слово и другая идентифицирующая информация.

- Разве не было атак, при которых злоумышленники обладали этими сведениями?

- Точно нет. Такой вывод мы делаем на основе анализа обращений граждан и анализа публикаций в социальных сетях и телеграм-каналах. Мы можем уверено говорить, что это не утечка из банков.

- Если злоумышленники используют подмену номера и звонят под видом клиента в банк, то через автоинформатор они могут узнать остаток по счету, последние три трансакции. Такая информация используется при атаках. Планирует ли ЦБ ввести регулирование в данном направлении?

- Особенности клиентских сервисов мы сейчас исследуем. По результатам будут даны рекомендации для банков. Это касается не только автоинформирования, но и некоторых приложений.

- Как ЦБ намерен бороться с проблемой подмены номера в случаях, когда звонок идет под видом банка клиенту?

- В первую очередь банку необходимо правильно выстроить отношения с оператором связи, чтобы исключить возможность звонка с подмененного номера банка.

- Что для этого требуется сделать?

- Нужно, чтобы сигнализация проходила лишь по тем номерам, которые указали банки как телефонные номера для взаимодействия с клиентами. То есть банк определяет в договоре с оператором конечный пул номеров, с которых банк звонит клиенту, своего рода белый список. В итоге исходящий звонок с номера банка клиенту может быть совершен лишь из одного номера из пула. Перечень номеров должен быть определен в договоре с оператором. Сейчас первоочередная задача Банка России реализовать эту инициативу.

- Вы планируете выпустить нормативный документ?

- Нормативный - нет, все необходимые требования уже есть. По конкретной ситуации мы должны выдать банкам рекомендации. Они появятся в ближайшее время. Однако одними рекомендациями банкам проблему не решить. Важно взаимодействие операторов между собой, а это уже вне компетенции Банка России.

- То есть проблема нерешаема в принципе?

- Решаема, и мы рассчитываем на конструктивное взаимодействие с Минкомсвязью. Мы подготовили и направим в ближайшие дни обращение в министерство, где изложили свое видение проблемы. Подмена номера чаще всего происходит, когда идет присоединение SIP-оператора к оператору мобильной или фиксированной связи. Сейчас такое подключение ничем не регулируется, и тут, как нам кажется, важна позиция профильного регулятора.

- Но номер банка необязательно подменять. Можно взять похожий номер 8-800, и при достаточно объемной информации о потенциальной жертве он разницу не заметит. Такой номер можно легко арендовать на сутки.

- Да, этот вопрос в обращении мы тоже затронули. Со своей стороны, мы лишь можем уже после факта атаки на клиента инициировать его блокировку, чтобы с одного номера нельзя было позвонить дважды.

- Банки отмечают, что им уже поступают коммерческие предложения от операторов связи с предложением дополнительных услуг по борьбе с подменой номера.

- Активные действия операторов начались после того, как после обсуждения этой тематики на Уральском форуме (форум по информационной безопасности в финансовой сфере; проходил в феврале 2019 года.- “Ъ”) мы еще раз собрали основных операторов на своей площадке и поняли, что единой позиции и решения нет и очень важна точка зрения профильного регулятора. До этого операторы самостоятельно вели переговоры с крупными банками. Поэтому считаем необходимым обратиться за содействием.

- Банки волнует коммерческая сторона вопроса. Предложения операторов недешевы, а банки хотят соответствующий сервис либо бесплатно, либо чтобы потери от хищений средств клиентов были сопоставимы с затратами на защиту от атак. Какова позиция ЦБ?

- Комментировать этот вопрос сейчас преждевременно. Но операторы сообщили нам, что технически сделать сервис несложно.

- Сейчас также актуальна проблема звонка с технологией подмены номера под видом клиента банку. Ее вы намерены как-то решать?

- Клиент может позвонить с любого телефона, и вне зависимости от номера звонок будет легитимным. У банков есть дополнительные методы идентификации клиентов, которые должны позволять отличать их от мошенников.

- То есть эту проблему банки должны решать сами?

- Да, конечно, это не вопрос операторов.

- Периодически поднимается вопрос об усилении ответственности за разглашение информации, составляющей банковскую тайну. Например, есть телеграм-каналы, которые активно привлекают сотрудников банков для слива данных. Ответственность за разглашение банковской тайны минимальна. Планирует ли ЦБ ставить вопрос о ее усилении?

- Позиция о необходимости усиления ответственности нам понятна, и мы ее разделяем. Но это все же зона ответственности правоохранительных органов, именно они должны быть инициаторами поправок. Если они будут заинтересованы, мы поможем.

- Граждане, у которых социальные инженеры выманили данные карт, не могут рассчитывать на возврат средств на основании ФЗ 161 «О национальной платежной системе»?

- Возврат возможен в рамках требований, установленных ст. 9 ФЗ 161 (не предполагает гарантий возврата средств в случае мошенничеств с использованием социальной инженерии.- “Ъ”).

- Не рассматривает ли ЦБ возможность инициировать поправки, чтобы при подобном типе хищений средства возвращали более простым путем? Особенно с учетом того, что подменен может быть номер банка, а не клиента.

- Именно поэтому мы призываем граждан обращаться не только в банки, но и в правоохранительные органы, которые как раз и могут расследовать ситуацию, выяснить, что произошло.

- Банки отмечают, что в местах ограничения свободы работают целые мошеннические колл-центры, из которых идут звонки с подменой номера. Работает ли ЦБ с этой проблемой?

- Что она есть, мы знаем. Со ФСИН взаимодействуем.

- Отдельные банки предлагают клиентам переводить общение в мессенджеры и соцсети. Это увеличивает или снижает риски? Что вообще вы можете порекомендовать клиентам для защиты от мошенничеств?

- Мессенджеры и соцсети тоже небезопасны. Рекомендации просты: если клиент сомневается в легитимности звонка, целесообразно повесить трубку и самому перезвонить в банк по номеру, который указан на платежной карте или официальном сайте.

Интервью взяла Вероника Горячева

Источник - Ъ

Авторизуйтесь, чтобы оставить комментарий.
Аналитика    Сегодня 11:37

Fixed Income Daily, 18 апреля 2019

Аналитика УРАЛСИБ.

Аналитика    Сегодня 09:44

Утренний комментарий Промсвязьбанка

Роман Антонов, главный аналитик ПАО Промсвязьбанк.

   

Календарь мероприятий

Мы на Facebook