Мошенники провоцируют клиента самого забрать деньги из банка

Злоумышленники значительно увеличили число набегов на средства банковских клиентов, однако россияне становятся грамотнее и все реже попадаются на излюбленные уловки аферистов. В этих условиях мошенникам приходится искать новые схемы обмана. Как меняется их тактика, какие слабые места остаются у экосистем, какие киберугрозы для финансовой системы могут появиться в будущем, и как Банк России может на них ответить, в интервью РИА Новости (https://ria.ru/20210216/banki-1597639041.html) рассказал первый замглавы департамента информационной безопасности ЦБ Артем Сычев.

— Сколько кибермошенники похитили средств клиентов российских банков за 2020 год? Какие важные тенденции регулятор выявил в действиях злоумышленников?

— Говорить о конкретных цифрах я бы сейчас не стал, но мы раскроем их в скором времени. Но что совершенно точно можно сказать — в 2020 году активность мошенников сильно выросла, увеличилось число атак на людей. Вместе с тем, нужно понимать, что выросло и количество денежных переводов. Но что очень важно: при росте атак и числа переводов не фиксируется пропорциональное увеличение объема похищенных средств.

Кроме того, мы видим очень важную для нас тенденцию, хоть и незначительную в процентном отношении. В 2019 году 69% хищений совершались с применением техники социальной инженерии. За три квартала 2020 года такой процент составляет 66%. Кажется, что три процентных пункта в общем масштабе — это не так уж и много, но понимая, какие объемы денег за этим стоят, это, на самом деле, серьезная победа. Это показывает, что те меры, которые сейчас предпринимают банки, регулятор по повышению финансовой грамотности и то, что делают правоохранительные органы для профилактики и раскрытия преступлений в сфере кибермошенничества, медленно, но верно дают результат. Это не значит, что нам надо останавливаться на достигнутом. Для нас, например, это сигнал, что меры эффективные, и нам надо разворачивать более серьезно эту работу, что как раз и планируем на текущий год.

Проблема мошенничества будет решаться не только путем повышения финансовой грамотности, но и с помощью нормативного регулирования. Например, мы ожидаем принятия Госдумой законопроекта, который позволит Банку России оперативнее блокировать доступ к мошенническим сайтам. Другой законопроект направлен на создание Единой информационной системы проверки сведений об абоненте. Предполагается, что мобильные операторы будут предоставлять в систему информацию о статусе абонентского номера, о подтверждении сведений об абонентском номере, смене пользовательского оборудования абонентом, чтобы банки могли использовать эту информацию для противодействия мошенническим действиям.

— Можно ли ожидать, что доля социальной инженерии будет снижаться и в этом году?

— Несмотря на снижение, 66% — очень серьезный вызов. Я надеюсь, что доля социальной инженерии не будет расти, это уже было бы хорошо.

— Согласно данным Банка России, несмотря на то, что доля социнженерии в целом снизилась, все же она выросла при переводах юрлиц. Более того, вырос средний чек хищений, как у юрлиц, так и у физлиц. О чем это говорит? Кибермошенники стали охотиться на бизнес и более состоятельных граждан?

— Это говорит о том, что меняется тактика злоумышленников. И понятно, почему. Раньше это была «стрельба по площадям», и первое время граждане попадались. Именно поэтому для нападающего было важно собрать большее количество доверчивых людей. Однако меры, которые банки, мы, правоохрана приняли, привели к тому, что такое «ковровое бомбометание» со стороны злоумышленников стало меньше приносить дохода. Как компенсировать? Значит надо смотреть, где получить пусть за один раз, но больший куш. Каким образом это реализовать? Либо вернуться к старой истории с атакой на юридическое лицо, просто поменяв технику, либо использовать атаки на физлиц, но с другими сценариями.

В начале пандемии злоумышленники стали запугивать людей угрозой их средствам на депозите. Понятно, что у человека на вкладе, как правило, денег больше, чем на расчетном счету, а злоумышленник охотится за большой суммой. Это первый момент. Второй: мошенники провоцировали клиента взять кредит и тут же отдать им эти деньги. Это тоже большие суммы. Злоумышленники уже отыграли высокомаржинальную историю, они видят сокращение бизнеса, сокращение своих доходов и теперь переходят на другие сегменты — где можно брать не от многих жертв по чуть-чуть, а от одной, но сразу много.

Однако тактика «стрельбы по площадям» все равно не исчезла. Тот, кто первоначально отрабатывал схему с использованием методов социнженерии и вывел ее на криминальный рынок, очевидно, свои деньги «заработал». Он сбросил эту схему другим участникам криминального рынка, и сейчас ее эксплуатируют довольно большое количество групп. И чем дальше, тем этих схем больше.

Недавно мы вместе с МВД сообщили о новом сценарии. Злоумышленники представляются сотрудниками правоохранительных органов и убеждают гражданина, что якобы против него возбуждено уголовное дело по заявлению Центрального банка. Но все должны знать, что сотрудник полиции звонить не будет, вызовут повесткой. А Центральный банк не обращается с заявлениями в правоохрану по операциям без согласия клиента, это не в его компетенции, тем более в отношении лиц, которые обслуживаются в кредитных организациях. Как и все новые схемы, она появилась, потому что предыдущие уже известны, широко растиражированы и не дают эффекта.

Однако знаете, беспокоит другое. Волнует, что злоумышленники уже прекрасно понимают, что, если вся эта мошенническая активность идет через платежные системы, то она с большой вероятностью может быть остановлена на стороне банка. Поэтому сейчас мошенники под тем же предлогом угрозы деньгам на счете или по другой легенде пытаются спровоцировать клиента прийти в отделение, снять свои деньги и дальше отправить их злоумышленнику через платежный терминал или банкомат другого банка. И таким образом, банк, который обслуживает этого клиента, видит просто снятие денег, а куда деньги ушли, он не знает. И вот это серьезный вызов, который требует отдельной проработки и на нашей стороне, и стороне банков.

— Что еще беспокоит Банк России? Например, информационная безопасность экосистем?

— Мы в прошлом году наблюдали несколько случаев, когда злоумышленники нащупывали слабые места в программном обеспечении, которое находится между банком и клиентом. Но мы всегда учитываем такие риски. Во-первых, у банков есть обязанности проводить оценку защищенности такого ПО. Во-вторых, мы внимательно следим за подобными событиями, очень подробно описываем их в информационных бюллетенях, которые доступны всем финансовым организациям, даем советы, как закрывать такие бреши.

Что касается экосистем, ситуацию с информбезопасностью не выпускаем из поля зрения и считаем ее важной. Слабым звеном в экосистеме являются маленькие организации, которые находятся в ее периметре, имеют возможность доступа к информационным ресурсам крупных организаций, к их базам данных, но при этом не в состоянии оценить, насколько зарискован их собственный бизнес, и особо не понимают, как выстраивать его информационную безопасность. Если злоумышленникам будет интересно атаковать экосистемы, они будут это делать не в лоб, не станут целиться в самую защищенную компанию, просто найдут слабое звено.

Важный момент — это возможные атаки на так называемые цепочки поставок. Любая финансовая организация использует аутсорсинговые услуги, кто-то в большей степени, кто-то в меньшей. С прямым аутсорсером банку более-менее понятно, как выстраивать отношения с точки зрения информационной безопасности. Но мы прекрасно понимаем, что у этого аутсорсера есть свои аутсорсеры. И совершенно не обязательно нападать на прямого аутсорсера для того, чтобы атаковать основную цель.

— А есть ли какие-то нововведения в регулировании поднадзорных?

— Да, есть. В прошлом году мы провели киберучения с 22 банками. Надо сказать, что результаты таких учений дают намного больше, чем самые дотошные инспекционные проверки. Они дают представление о тех болевых точках, которые точно могут повлиять на информационную безопасность, на киберустойчивость, на операционную надежность. Такие мероприятия позволяют понять, как у банков работает система оценки рисков.

Киберучения очень хорошо показывают, как и насколько быстро организация может выявить атаку, ее локализовать, оценить масштаб проблемы и ликвидировать последствия. В конечном итоге это проекция того, насколько менеджмент организации правильно выстроил процесс управления операционным риском целиком, в том числе риском информационной безопасности. И насколько организация готова обеспечить свое устойчивое функционирование в условиях реализации кибератак и других угроз информационной безопасности. Вот это является для нас на текущий год абсолютным приоритетом, и эту тему будем очень активно развивать.

— Каковы результаты этого киберучения?

— Во-первых, мы увидели, что у всех участников построены системы мониторинга, выявления и реагирования. Мы сумели отработать взаимодействие не просто внутри банка, мы отработали цепочку взаимодействия: банк — Банк России — другой банк. Увидели, что она работает. Стало понятно, что надо дополнительно совершенствовать банкам, что нужно сделать нам. Но в целом итоги оказались положительными, мы ожидали больше проблем. Опыт показал, что банки достойно готовятся к отражению атак.

— Эти киберучения планировалось провести летом, затем регулятор отказался от этого времени из-за пандемии. Когда вам удалось их провести?

— Последние учения прошли в начале декабря. Со стороны банков это была исключительно добровольная история. Мы же моделировали ситуации и нападения с учетом актуальных угроз.

— В этом году планируете такие мероприятия проводить? Когда?

— Да, конечно. Я думаю, что начиная со второго квартала мы пойдем киберучиться. Но понятно, что для некоторых финансовых организаций это будет тяжелое испытание, поскольку это все-таки демонстрация практической безопасности, а не бумажной. Это не просто отдать проверяющему документ и показать, на какой машине это работает. Это навык отрабатывания реальных инцидентов.

— Сколько в среднем телефонные мошенники крадут у россиян за один звонок?

— По данным за третий квартал, средний чек составляет 10 с лишним тысяч рублей. Раньше мошенникам достаточно было массово обзванивать граждан. Потом, когда стало понятно, что большая часть граждан уже прекрасно их идентифицирует и с ними не разговаривает, они стали менять сценарии.

Большой проблемой остаются звонки с подменными номерами. Многие люди действительно теряют бдительность и легче клюют на уловки мошенников, когда видят на телефоне номер банка. Это решит проект закона, который готовится ко второму чтению в Госдуме. Он направлен на создание Единой информационной системы проверки сведений об абоненте и пользователях услугами связи абонента. Предполагается, что мобильные операторы будут предоставлять в систему информацию о статусе абонентского номера, о подтверждении сведений об абонентском номере, смене пользовательского оборудования абонентом для дальнейшего использования пользователями такой системы в целях противодействия мошенническим действиям на финансовом рынке.

— Со стороны банковского сообщества звучат различные предложения по совершенствованию механизма борьбы с выводом похищенных денег, как вы к ним относитесь?

— Никто не спорит, что механизм надо совершенствовать. Но методы совершенствования могут быть абсолютно разные. Иногда предлагаются варианты, которые мы точно не можем поддержать. Ну, например, мы не согласны с желанием ряда банков блокировать счета клиентов на длительный период. Мы также не одобряем идею передавать данные по клиенту, через которого пытались вывести деньги, непосредственно клиенту, которого пытались ограбить. Это юридически неправильные конструкции, которые порождают дополнительные существенные риски. Но то, что это требует совершенствования — да, безусловно, и мы с банками постоянно ведем диалог, чтобы найти возможные варианты.

— Работает ли Банк России над изменением процедуры возврата средств клиентам? Ведь большая часть денег похищается из-за «социальных инженеров», когда клиент по факту сам нарушает условия договора и по существующим правилам не может рассчитывать на компенсацию.

— Да, есть определенные предложения, но пока их рано озвучивать. Мы стараемся со своими поднадзорными проработать возможные варианты. Есть предложения со стороны ассоциаций, есть предложения с нашей стороны, необходимо учитывать интересы граждан с точки зрения обеспечения сохранности их денег. Здесь нужно искать определенный консенсус. Мы работаем над этим.

— Как часто клиенты жалуются на блокировки в рамках работы закона об остановке подозрительных платежей?

— Единицы по сравнению с объемами.

— Подготовил ли Банк России предложения по усилению ответственности сотрудников финансовых организаций за утечку персональных данных?

— Мы готовы поддержать предложение, звучавшее на площадке Ассоциации банков России, по изменению структуры 183 статьи Уголовного кодекса (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну — Прим. ред.). Мы за увеличение срока наказания по ней. В статье речь идет не о персональных данных, а о банковской тайне. Ведь по сути из банка утекают не только сведения о конкретном человеке, но и информация о его счете, а это уже не просто персональные данные, а данные, составляющие банковскую тайну. При этом подчеркну, что далеко не все утекающие персональные данные уходят именно из банков. Банки — это капля в море. Основные утечки идут через фишинговые сайты, разные интернет-магазины и другие ресурсы, которые собирают данные людей.

Беседовала Светлана Орлик.