Какой риск в Системе быстрых платежей

Информация о банках, где у людей есть счета, упрощает мошенничество
Чтобы сделать перевод, отправитель должен в приложении своего банка выбрать номер получателя из списка контактов, а из перечня банков – участников СБП – тот, в который перевести деньги
Чтобы сделать перевод, отправитель должен в приложении своего банка выбрать номер получателя из списка контактов, а из перечня банков – участников СБП – тот, в который перевести деньги / Александра Зотова / для Ведомостей

С 28 февраля первые банки запустили для своих клиентов переводы денег по номеру телефона через Систему быстрых платежей (СБП) Центробанка. Чтобы сделать перевод, отправитель должен в приложении своего банка выбрать номер получателя из списка контактов, а из перечня банков – участников СБП – тот, в который перевести деньги.

Узнай его банки

Таким образом можно проверить, в каких банках есть счета у получателя, убедились «Ведомости». Если у него есть счет в каком-то банке, система показывала имя, отчество и первую букву фамилии получателя и предлагала отправить ему деньги. В противном случае появлялось сообщение, что у получателя в этом банке счета нет (такой ответ возможен также, если клиент не оставлял свой номер телефона в банке при открытии счета или давал другой номер).

Так корреспондент «Ведомостей» нашел банк, в котором есть счет у Владимира Комлева, гендиректора Национальной системы платежных карт (НСПК, «дочка» ЦБ, операционный клиринговый центр СБП).

Сам он это проблемой не считает. «Для того чтобы найти мой банк, вы должны знать мои имя и фамилию, мой номер мобильного и еще дополнительные детали, например место работы и предполагаемый зарплатный банк, – сказал Комлев «Ведомостям». – Вряд ли сведения о моем банке будут кому-то полезны. Мы знаем, что у более половины россиян есть счет в Сбербанке, например, – и что? Если же мошенники захотят что-то обо мне узнать, то использование СБП будет для них очень трудозатратно: во-первых, им нужны будут какие-то сведения изначально, либо им придется вручную перебирать все множество банков, во-вторых, у нас есть защита от ботов, которые могли бы автоматически методом перебора искать банки, в которых у владельца телефона есть счет».

Через СБП можно получить связь номера телефона, имени, отчества, счета в конкретном банке, чем могут воспользоваться злоумышленники, говорит ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. Злоумышленникам нужны эти данные для обзвона жертв (т. н. социальной инженерии), чтобы получить коды для списания денег. Уже сейчас злоумышленники обращаются к жертве по имени и отчеству, чтобы не вызывать подозрения, рассказывает он, теперь эти же злоумышленники смогут называть жертвам конкретные банки, в которых у них есть счета, и представляться службой безопасности одного из них. Шансы на успешное списание денег возрастут, указывает Голованов: чем больше злоумышленники знают, тем лучше они входят в доверие и тем больше людей им верят и выполняют их распоряжения.

В прошлом году мошенники украли с карт 1,4 млрд руб., рост за год – 44%, следует из данных ЦБ. Основная причина краж (в 97% случаев) – это социальная инженерия, говорится в отчете регулятора.  

Клиенты могут в СБП привязать к номеру телефона счет по умолчанию – тогда система не будет предлагать тем, кто отправляет им деньги, список банков на выбор, подчеркивают представители ЦБ (оператор СБП) и НСПК. Однако многие банки планируют автоматически подключать переводы через СБП своим клиентам, вне зависимости от того, выбрали они счет по умолчанию или нет.

«Тезис, что через СБП возможно узнать много дополнительной информации о клиенте, не соответствует действительности», – говорит представитель ЦБ, а описанный сценарий «перебора» не нов для рынка. Точно такую же информацию можно получить и в рамках внутрибанковских сервисов переводов по номеру телефона, указывает он. И подчеркивает, что в СБП предусмотрена защита для предотвращения мошенничества.

«Ведомости» направили запросы в Сбербанк и «Тинькофф банк», у которых есть собственные системы переводов по номеру телефона, видят ли они риски в их собственных системах. «Положение Банка России 383-п предусматривает возможность осуществления переводов по идентификатору получателя. Таким идентификатором может быть номер телефона. Банк действует в соответствии с законодательством», – сказал представитель Сбербанка, но на вопрос о возникающих при этом рисках не ответил. В «Тинькофф банке» есть система противодействия мошенничеству, которая ограничивает перебор счетов наших клиентов и обеспечивает защиту от бот-сетей, говорит его представитель. При подозрениях включается блокировка, в результате которой клиент не сможет запрашивать информацию на определенное время, указывает он.

К СБП будут подключены много банков, и если злоумышленники смогут узнать какой-то «редкий» банк, в котором у жертвы есть счет, то вызовут больше доверия, ведь счетом в Сбербанке уже никого не удивишь, говорит эксперт по информационной безопасности банков Николай Пятиизбянцев. Система мониторинга, защищающая от поиска счетов методом перебора, прежде чем сработать, должна сначала пропустить несколько запросов, а это дает мошенникам несколько попыток, объясняет он. По его мнению, логичнее, когда человек сам привязывает счет, на который он хочет получать деньги по номеру мобильного, и уже только после этого давать возможность получать переводы.

Есть риски и для госслужащих, указывает Пятиизбянцев: кто-то, зная их номер телефона, что не великая тайна, может перевести им деньги, а им потом придется объяснять, что это не взятка.

Нужно ли согласие

Правила НСПК обязывают банки получать согласие клиентов на передачу сведений о нем НСПК, участникам СБП и плательщику. А в положении Центробанка говорится о том, что банк, если это не указано в договоре, должен получить согласие клиента на зачисление денег по идентификатору, например номеру телефона.

Договоры QIWI и «Тинькофф» с клиентами уже предусматривают возможность получать деньги через СБП, говорят их представители. СКБ-банк и «АК барс» также не будут запрашивать отдельно согласие получателя. Клиент дает согласие в электронной форме на присоединение к СБП, говорит представитель Совкомбанка. Клиенты Райффайзенбанка смогут получать деньги через СБП только при наличии такого волеизъявления, говорит его представитель: чтобы начать пользоваться сервисом, нужно в настройках мобильного приложения выбрать Райффайзенбанк основным для получения переводов по номеру телефона, а также указать счет, на который будут зачисляться переводы. Представитель «Золотой короны» заявил, что из-за закона о персональных данных и банковской тайне сначала будет запрашиваться согласие на получение денег.

Клиент банка может в любой момент отказаться от получения средств через СБП, подчеркнула пресс-служба НСПК.