ЦБ и банки научат людей противостоять социальной инженерии
Клиенты банков поддаются обману все чащеБанк России заметил всплеск мошенничества в финансовой сфере с использованием методов социальной инженерии: мошенники обманом вынуждают жертв перевести им деньги или выуживают из них конфиденциальную информацию. ЦБ намерен изучить проблему и найти механизмы борьбы c ней, сообщил в ответ на запрос «Ведомостей» представитель регулятора, для этого создана рабочая группа, в которую вошли представители розничных банков.
Группа собирается подготовить материалы, информирующие население о методах противодействия мошенникам, говорят два близких к ней человека. Она появилась еще в начале этого года, добавляет один из них.
Сейчас обсуждается концепция информирования и обучения различных категорий граждан, рассказывает директор по мониторингу электронного бизнеса Альфа-банка Алексей Голенищев. Два других человека, близких к рабочей группе, сообщают, что сейчас составляются «портреты жертв», на основе которых и будет выбрана стратегия подачи информации для каждой категории.
ЦБ уделяет большое внимание предупреждению населения об угрозах кибербезопасности, в том числе через публикации в СМИ и социальных сетях, указывает его представитель. Отдельного финансирования для этой работы, по его словам, не предполагается. Положение ЦБ уже обязывает банки уведомлять клиентов о рисках при совершении денежных переводов и мерах защиты информации.
За прошлый год мошенникам удалось похитить почти в 1,5 раза больше денег с карт россиян – 1,4 млрд руб., по данным ЦБ, это на 44% больше, чем годом ранее. До этого улов мошенников снижался три года подряд. Большинство случаев хищения денег связано с социальной инженерией, говорится в отчете структуры ЦБ Fincert за 2018 г. Банки зафиксировали всплеск мошенничества, связанного с социальной инженерией, во второй половине 2018 г., говорит директор департамента информационной безопасности Росбанка Михаил Иванов.
Как правило, мошенник звонит человеку, представляясь сотрудником службы безопасности банка.
У него уже есть некоторые сведения – например, он может обратиться по имени и отчеству, знать последние цифры номера карты и т. д. Используя эти данные, он пытается войти в доверие, усыпить бдительность жертвы и заставить ее сообщить недостающую для списания денег с карты информацию (например, одноразовый секретный код безопасности для подтверждения перевода). В последнее время мошенники стали подменять номера: например, при входящем звонке жертве высвечивается настоящий номер службы поддержки банка.
Банки уже во многом побороли мошенничество, связанное с уязвимостями технологий, и теперь злоумышленники переключились на работу с клиентами – сейчас это одна из самых острых проблем в сфере безопасности, указывает директор по рискам Ассоциации участников Mastercard Николай Дош. Социальная инженерия – примитивный тип мошенничества, который не требует ни больших финансовых вложений, ни глубоких технических знаний, рассказывает руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин. Главная сложность в том, объясняет Дош, что банки не могут контролировать своих клиентов, которые, поддавшись обману, отдают деньги мошенникам. Банки рассказывают клиентам о правилах безопасности, но нужна системная работа на уровне регулятора, подчеркивает он.
Представители «Открытия» и Альфа-банка признают, что участились атаки на клиентов с помощью социальной инженерии. Это связано с активным внедрением цифровых сервисов, развитием карточных технологий и удаленного банковского обслуживания, а также с ростом активности организованных преступных групп, перечисляет Голенищев, люди же пока слишком мало знают об этих угрозах. А вот «Тинькофф банк» не отмечает всплеска такого мошенничества – помогает его антифрод-система, говорит представитель банка, а информацию о защите от мошенников банк распространяет по всем доступным каналам коммуникации. Московский кредитный банк (МКБ) информирует клиентов о правилах безопасности в соцсетях, на сайте банка, при помощи рассылок, через радио и телевидение, рассказывает директор департамента информационной безопасности МКБ Вячеслав Касимов. Всплеска хищений его банк не зафиксировал. Представитель Сбербанка на запрос не ответил.