Карты вскрыты. ЦБ предупреждает: новые виды хищений с банковских карт набирают обороты
Банк России зафиксировал в последние месяцы резкий подъем несанкционированных операций со счетами клиентов банков. В подавляющем большинстве случаев они происходят через подменные телефонные номера с использованием социальной инженерии, — отмечают специалисты ЦБ.
Доступ к банковской тайне
ФинЦЕРТ (подразделение ЦБ, отвечает за кибербезопасность) в отчете за 2018 год отметил резкий всплеск хищений средств с карт физических лиц. Общая сумма составила 1,4 млрд руб., что в 1,4 раза больше показателя 2017 года. Почти треть хищений пришлась по четвертый квартал и 97% атак были проведены с использованием социальной инженерии.
В начале 2019 года тренд усилился, причем злоумышленники при звонках потенциальным жертвам стали чаще использовать технологию подмены телефонного номера банка (так называемый А-номер) при использовании звонков через интернет. При таких звонках на экране телефона жертвы высвечивается реальный номер банка, а клиенту сообщают о попытке несанкционированного списания средств, называют его ФИО, номер паспорта, остаток по счету и даже последние трансакции. Для защиты средств клиенту предлагают перевести их на специальный счет, сообщить полную информацию по карте, кодовое слово или данные из СМС. Нередко клиент, сбитый с толку информацией, которую может знать только банк, рассказывает незнакомцу в телефонной трубке все, о чем его просят. И после этого происходит хищение.
Для совершения подобных звонков злоумышленники используют IP-телефонию. Применяя один из протоколов такой связи (SIP-протокол), звонки можно проводить с помощью компьютера, установив специальную программу. Есть и решения, позволяющие совершать звонок с номера, просто похожего на номер банка. Например, международные звонки с номера +880 (0) 555 5777, который похож на номер колл-центра Сбербанка 8800-5555777, но на самом деле совершается из Бангладеш. Или же звонки с иных номеров 8-800, которые операторы IP-телефонии могут сдать в аренду на срок от одного дня.
— Сейчас программы и АТС, позволяющие совершать звонки с подменой А-номера, стали намного доступнее и дешевле, чем ранее, — отмечают специалисты по безопасности.
Как прокомментировал «Коммерсанту» основатель компании DeviceLock (специализируется на защите персональных данных) Ашот Оганесян, сообщения о звонках с использованием фальшивых номеров банка были еще в конце 2018 года, но тогда злоумышленникам не удавалось выдать себя за сотрудников, так как они обладали скудной информацией о клиентах.
— Январская атака на клиентов Сбербанка, когда злоумышленники знали уже паспортные данные и остатки по счетам, была более результативной,— отмечает он.— И она стала возможной только благодаря доступу злоумышленников к банковской тайне.
Один из Telegram-каналов предлагал подобную услугу по базам Промсвязьбанка, Бинбанка, Сбербанка и ВТБ, а также активно призывал к сотрудничеству желающих сливать информацию из других банков.
— Прошлым летом правоохранительные органы выявили и задержали всех «представителей» банков, торгующие информацией,— рассказали в крупном банке.— Но уже через полгода канал возобновил работу, предлагая «услуги» по тем же организациям.
В самих банках подчеркивают, что источником информации совсем необязательно выступают их сотрудники. Недавно раскрыт случай слива крупной базы заемщиков брокером на рынке POS-кредитования. В ней были данные по 294 тыс. заемщикам (полный пакет документов + фото), данные о кредитах и т. д. Информацию об остатке на счете клиента и последних трансакциях мошенники могут выяснить, в том числе позвонив под видом клиента (с использованием той же технологии подмены А-номера) на автоинформатор банка.
По ком звонит мошенник
Судя по официальным предупреждениям банков (Сбербанка, Райффайзенбанка, Юникредитбанка и т. д.), проблема становится все более актуальной. Ответственность и усилия по изменению ситуации банкиры хотят разделить с операторами связи.
Как отметили в Сбербанке, «оператор связи, пропуская через сеть такие вызовы, нарушает законодательство РФ (п. 9 ст. 46 закона «О связи»), поскольку не выполняет обязанность передать абонентский номер в неизменном виде». Кроме того, говорят в банке, оператор обязан прекратить оказание услуг по пропуску трафика на свою сеть (п. 10 той же статьи) в случае выявления подобных нарушений. Однако ответственность за совершение вызовов с подменой номера в российском законодательстве не предусмотрена. Поэтому, подчеркивают в Сбербанке, необходимо «срочно инициировать разработку и внесение соответствующих изменений в законодательство, устанавливающих ответственность лиц, совершающих подобные действия, и операторов связи, не соблюдающих возложенные на них обязанности».
Еще одним вариантом решения проблемы, считают эксперты, могло бы быть ограничение для операторов связи пропуска трафика от номеров 8-800. Звонок должен проходить лишь в случае, когда номер закреплен за известным абонентом, но для этого необходим единый актуальный список номеров, а также внесение поправок в нормативные акты Минкомсвязи.
В ЦБ уверены, что у операторов связи есть техническая возможности решить проблему мошенничеств через поддельные номера. Однако не решенным остается вопрос оплаты такой работы.
— Подобные звонки — фрод самого оператора связи, следовательно, и бороться с подобным фродом обязан сам оператор и за свой счет,— уверены в крупном банке.
— Создание решения для борьбы с подменой номера требует времени и значительных ресурсов и потому будет коммерческим,— возражает топ-менеджер одного из операторов связи.
Дело рук самих утопающих
Пока ЦБ и Минкомсвязи, банки и операторы связи ищут решение проблемы и спорят о его финансировании, спасение средств клиентов по-прежнему полностью зависит от них самих. Эксперты формулируют несколько простых правил.
Если банк видит несанкционированную трансакцию, он ее сам блокирует и лишь после этого связывается с клиентом. Если же вам сообщают о непонятной операции и предлагают ее заблокировать — перед вами мошенник.
Часто при мошеннических звонках клиент слышит «звуки колл-центра». Это подозрительный сигнал — в реальных колл-центрах банка используется оборудование, которое подавляет внешние шумы.
И главное, никогда, ни при каких условиях нельзя кому-либо называть CVV2 (CVC2) с обратной стороны карты, в том числе если предлагают ввести или надиктовать цифры через автоинформатор. То же касается кодового слова или пароля из СМС.
При поступлении звонка о несанкционированной операции по вашей карте необходимо положить трубку и самостоятельно позвонить в банк по официальному номеру.
Главное помнить, что если вы поверили мошенникам и сообщили свои данные, то средства вам банк не вернет — вы нарушите правила обращения с электронным средством платежа.
Фото Юрия МАЛЬЦЕВА (из архива)