ЦБ предупредил банки об атаках через Систему быстрых платежей
С помощью нее преступники могут собирать данные о клиентахЦентробанк выявил «иные» компьютерные атаки на клиентов банков в Системе быстрых платежей (СБП). Об этом регулятор сообщил банкам в письме за подписью директора департамента информационной безопасности Вадима Уварова. «Ведомости» ознакомились с документом, три человека подтвердили его содержание.
СБП позволяет людям переводить деньги друг другу по номеру мобильного телефона вне зависимости от того, в каком из ее банков-участников открыты счета отправителя и получателя. Оператор СБП – Центробанк, система заработала в феврале.
В письме ЦБ называет атаками сбор информации о клиентах банков. Зная идентификатор клиента в СБП, проще говоря, номер его мобильного телефона, можно получить дополнительную информацию о человеке. Например, имя, отчество и первую букву фамилии, а также названия банков, где у него открыты счета. Такие запросы могут быть массовыми, ЦБ называет их «переборами идентификаторов клиентов» и относит к инцидентам информационной безопасности.
Мошенники используют полученные сведения для звонков жертвам якобы из банков или из государственных органов, объясняет представитель ВТБ. Так они пытаются убедить жертву в легитимности звонка, усыпить ее бдительность и выведать код из sms-сообщения, необходимый для списания денег с карты жертвы, которое инициировали сами мошенники. Через СБП можно узнать, где у человека открыт счет, но это не дает мошеннику всех данных, которые нужны для кражи денег, говорит собеседник «Ведомостей» в одном из участников СБП.
ЦБ предлагает бороться с переборами так, следует из письма. Национальная система платежных карт (НСПК, 100%-ная «дочка» ЦБ, операционно-клиринговый центр СБП) проводит мониторинг операций и блокирует в СБП номера телефонов, с которых осуществляется массовый перебор. Срок блокировки – не более суток. Также ЦБ будет информировать банки об идентификаторах, с которых осуществляется массовый перебор.
СБП надежно защищена с точки зрения кибербезопасности, подчеркивает представитель ЦБ. В СБП двухступенчатая система защиты, объясняет он. Первая – на стороне банков, которые должны предотвращать переборы номеров. Вторая – на уровне НСПК, где выявляются запросы клиентов банков, которые не заканчиваются переводами. Такие запросы, по его словам, блокируются. Информационное письмо разъясняет порядок действий в таких случаях и еще раз обращает внимание банков на необходимость мониторинга переборов и обеспечения защиты, заключил представитель ЦБ. НСПК, говорит ее представитель, круглосуточно осуществляет мониторинг операций в СБП. По его словам, за все время выявлено лишь несколько операций перебора без цели совершения платежа, они были заблокированы.
Как работает метод перебора в СБП
Денежные переводы в СБП осуществляются по номеру мобильного телефона. Знать его достаточно, чтобы перевести деньги через СБП, сделать это можно в интернет- или мобильном банке. Отправителю средств, вбившему номер телефона в графе «получатель перевода», система показывает в ответ имя, отчество и первую букву фамилии владельца номера телефона – в том случае, если он является клиентом банка-участника СБП. Далее система предлагает отправителю самостоятельно выбрать из списка всех банков-участников СБП, в какой из них перечислить деньги для получателя. Отправитель может перебирать банки из списка: если у получателя в каком-либо из них есть счет, система об этом предупредит. Последнее правило не действует, когда получатель по умолчанию установил банк для зачисления переводов через СБП: в этом случае система покажет отправителю единственную опцию – перевод в конкретный банк.
Связанные с перебором риски в СБП есть, но их значимость сильно преувеличена, считает собеседник «Ведомостей» в одном из участников СБП. Доля атак с использованием метода перебора ничтожно мала, говорит представитель ВТБ. Впрочем, мошенники могут знать о лимитах, которые выставляют банки для блокировки переборов, и не превышать этот лимит, говорит эксперт по безопасности в платежной сфере. Кроме того, по его словам, мошенники могут использовать специальные алгоритмы и делать запросы с разных номеров и не вызывать подозрений. А сотрудник крупного банка добавляет, что для целенаправленных атак, например на состоятельных клиентов банков, мошенникам может хватить и пары запросов. Что касается массовых переборов в СБП, то они не запрещены законом, добавляет он, и основания для блокировки очень спорны.
Внутрибанковские переводы по номеру телефона дают такие же возможности по получению информации, как и СБП, указывает технический директор «Золотой короны» Андрей Надточий. По его словам, банки выстраивают механизмы противодействия социальной инженерии (к ней как раз относят хищения денег путем обмана), вне зависимости от того, как мошенники получили данные клиента.
Например, ВТБ принял меры, не позволяющие преступникам подставлять банковские номера при звонках клиентам, сказал его представитель. А МКБ блокирует клиентов, превысивших лимит проверок принадлежности номера телефона клиента к банку в СБП, говорит директор департамента электронного бизнеса МКБ Алексей Курзяков.