Взлом по телефону

Как банковские счета граждан опустошаются по первому звонку.

Банк России зафиксировал в последние месяцы резкий подъем несанкционированных операций со счетами клиентов банков. В подавляющем большинстве случаев они происходят через подменные телефонные номера с использованием социальной инженерии. Банки и операторы связи готовы с этим бороться и даже предлагают реальные технические решения — но не могут решить, кто, кому и сколько должен заплатить. Поэтому гражданам пока остается лишь быть аккуратными со своими персональными данными и не откровенничать с неизвестными абонентами, пусть даже звонящим с телефона банков

Техника нападения

ФинЦЕРТ (подразделение ЦБ, отвечает за кибербезопасность) в отчете за 2018 год отметил резкий всплеск хищений средств с карт физических лиц. Общая сумма составила 1,4 млрд руб., что в 1,4 раза больше показателя 2017 года. Почти треть хищений пришлась на четвертый квартал и 97% атак были проведены с использованием социальной инженерии.

В начале 2019 года тренд усилился, причем злоумышленники при звонках потенциальным жертвам стали чаще использовать технологию подмены телефонного номера банка (так называемый А-номер) при использовании звонков через интернет. При таких звонках на экране телефона жертвы высвечивается реальный номер банка, а клиенту сообщают о попытке несанкционированного списания средств, называют его ФИО, номер паспорта, остаток по счету и даже последние трансакции.

Схема работы мошенников
Схема работы мошенников

Для защиты средств клиенту предлагают перевести их на специальный счет, сообщить полную информацию по карте, кодовое слово или данные из SMS. Нередко клиент, сбитый с толку информацией, которую может знать только банк, рассказывает незнакомцу в телефонной трубке все, о чем его просят. И после этого происходит хищение.

Для совершения подобных звонков злоумышленники используют IP-телефонию. Применяя один из протоколов такой связи (SIP-протокол), звонки можно проводить с помощью компьютера, установив специальную программу; через сети Wi-Fi или 3G/4G с помощью SIP-программ для планшетов и мобильных телефонов; используя специальный стационарный SIP-телефон, который включается в роутер; через обычный телефон, подключив его к VoIP-шлюзу, а сам шлюз — к роутеру. Технология широко используется в обычной жизни. Соединение по SIP-протоколу позволяет, например, организации с несколькими колл-центрами звонить своим клиентам с одного указанного на сайте телефона.

Есть и решения, позволяющие совершать звонок с номера, просто похожего на номер банка. Например, международные звонки с номера +880 (0) 555 5777, который похож на номер колл-центра Сбербанка 8800−5555777, но на самом деле совершается из Бангладеш. Или же звонки с иных номеров 8−800, которые операторы IP-телефонии могут сдать в аренду на срок от одного дня. «Сейчас программы и АТС, позволяющие совершать звонки с подменой А-номера, стали намного доступнее и дешевле, чем ранее», — отмечает директор по безопасности Почта-банка Станислав Павлунин.

По словам основателя компании DeviceLock (специализируется на защите персональных данных) Ашота Оганесяна, сообщения о звонках с использованием фальшивых номеров банка были еще в конце 2018 года, но тогда злоумышленникам не удавалось выдать себя за сотрудников, так как они обладали скудной информацией о клиентах.

«Январская атака на клиентов Сбербанка, когда злоумышленники знали уже паспортные данные и остатки по счетам, была более результативной, — отмечает он.— И она стала возможной только благодаря доступу злоумышленников к банковской тайне». По словам господина Оганесяна, сегодня «пробивка» данных по конкретному человеку доступна на черном рынке и можно за небольшие деньги по номеру телефона или полному имени владельца карты получить информацию об остатках на его счетах или трансакциях.

Один из Telegram-каналов предлагал подобную услугу по базам Промсвязьбанка, Бинбанка, Сбербанка и ВТБ, а также активно призывал к сотрудничеству желающих сливать информацию из других банков. «Прошлым летом правоохранительные органы выявили и задержали всех “представителей” банков, торгующих информацией, — рассказал собеседник “Ъ” в крупном банке.— Но уже через полгода канал возобновил работу, предлагая “услуги” по тем же организациям».

В самих банках подчеркивают, что источником информации совсем не обязательно выступают их сотрудники. «Недавно стало известно о всплывшей базе данных новых автомобилей выпуска 2018 года по Москве и Московской области, — подтверждает руководитель лаборатории практического анализа защищенности “Инфосистемы Джет” Лука Сафонов.— В базе 121 тыс. записей, она содержит адреса телефонов, даты регистрационных действий, номера, марки и модели автомобилей, документы на них, номера паспортов, адреса и телефоны владельцев».

Еще один пример — появление в открытом доступе информации по заемщикам банков Южного, Уральского и Приволжского федеральных округов, рассказывает Ашот Оганесян. По косвенным признакам база принадлежала брокеру на рынке POS-кредитования. В ней были данные по 294 тыс. заемщикам (полный пакет документов + фото), данные о кредитах и т. д.

Информацию об остатке на счете клиента и последних трансакциях мошенники могут выяснить, в том числе позвонив под видом клиента (с использованием той же технологии подмены А-номера) на автоинформатор банка. «Номер телефона клиента во многих банках позволяет пройти первичный уровень идентификации при звонке и получить доступ к подобной информации», — подтверждает глава департамента информационной безопасности ОТП-банка Сергей Чернокозинский.

Техника защиты

Судя по официальным предупреждениям банков (Сбербанка, Райффайзенбанка, Юникредитбанка и т. д.), проблема остается актуальной. Ответственность и усилия по изменению ситуации банкиры хотят разделить с операторами связи.

Как отметили в Сбербанке, «оператор связи, пропуская через сеть такие вызовы, нарушает законодательство РФ (п. 9 ст. 46 закона “О связи”), поскольку не выполняет обязанность передать абонентский номер в неизменном виде». Кроме того, говорят в банке, оператор обязан прекратить оказание услуг по пропуску трафика на свою сеть (п. 10 той же статьи) в случае выявления подобных нарушений.

Однако ответственность за совершение вызовов с подменой номера в российском законодательстве не предусмотрена. Поэтому, подчеркивают в Сбербанке, необходимо «срочно инициировать разработку и внесение соответствующих изменений в законодательство, устанавливающих ответственность лиц, совершающих подобные действия, и операторов связи, не соблюдающих возложенные на них обязанности».

depositphotos.com
depositphotos.com

«Необходимо объединение усилий с операторами сотовой связи, которые уже предлагают механизмы защиты», — добавляет Станислав Павлунин. В частности, с предложениями к банкирам уже вышли «Ростелеком» и Tele2. Компании деталей не раскрывают. Но «Ъ» удалось ознакомиться с презентацией Tele2: оператор обещает с помощью специальной платформы защитить клиентов не только от звонков с подменой номера самого банка, но и от звонков из колл-центров в зонах, а также мошеннических звонков в кредитную организацию с подменных номеров клиентов.

В пресс-службе МТС сообщили «Ъ», что «наряду с платформой по проверке вызовов в компании реализован функционал по проверке любой подстановки А-номера или фейковой переадресации». Там добавили, что решение по защите от подстановки 800-номеров уже реализовано в сотрудничестве с банками. «Для гарантированной защиты от звонков с 8−800 в МТС скорректировали пропуск международного и междугороднего трафика», — отметил собеседник «Ъ», знакомый с ситуацией.

В «Вымпелкоме» сообщили, что совместно с банками «ищут и обсуждают варианты решений», причем технические системы компании «позволяют блокировать звонки с подменными номерами». По словам собеседника, знакомого с ситуацией в компании, техническое решение дорабатывается, в основе его лежит принцип работы платформы «Антифрод» одного из крупных европейских операторов, с банками обсуждаются детали.

В «МегаФоне» заверили «Ъ», что уже не один год оказывают банкам помощь в защите от мошенничества, связанного с подменой номера на официальную нумерацию банка при звонках клиентам. «Одновременно мы разрабатываем более функциональное решение, которое позволит покрыть и другие методы банковского мошенничества, когда злоумышленники при звонке используют подмену номера. Техническую готовность решения планируем к июлю этого года, о ценах пока говорить преждевременно», — сообщили в компании.

Еще одним вариантом решения проблемы, считают эксперты, могло бы быть ограничение для операторов связи пропуска трафика от номеров 8−800. Звонок должен проходить лишь в случае, когда номер закреплен за известным абонентом, но для этого необходим единый актуальный список номеров, а также внесение поправок в нормативные акты Минкомсвязи. В министерстве не ответили на запрос «Ъ».

В ЦБ уверены, что у операторов связи есть техническая возможность решить проблему мошенничеств через поддельные номера. Однако не решенным остается вопрос оплаты такой работы.

«Подобные звонки — фрод самого оператора связи, следовательно, и бороться с подобным фродом обязан сам оператор и за свой счет», — уверен собеседник «Ъ» в крупном банке. «Создание решения для борьбы с подменой номера требует времени и значительных ресурсов и потому будет коммерческим», — возражает топ-менеджер одного из операторов связи. Некоторые банкиры в целом готовы платить. «Но стоимость решения по защите клиентов банка от атак с подменой номера должна быть меньше или сопоставима с потерями банка, — уточняет собеседник банка топ-10.— При данных же атаках банк рискует исключительно деловой репутацией, потери клиента он вправе не возмещать».

Что делать без техники

Пока ЦБ и Минкомсвязи, банки и операторы связи ищут решение проблемы и спорят о его финансировании, спасение средств клиентов по-прежнему полностью зависит от них самих. Эксперты формулируют несколько простых правил.

Если банк видит несанкционированную трансакцию, он ее сам блокирует и лишь после этого связывается с клиентом. Если же вам сообщают о непонятной операции и предлагают ее заблокировать — перед вами мошенник.

Часто при мошеннических звонках клиент слышит «звуки колл-центра». Это подозрительный сигнал — в реальных колл-центрах банка используется оборудование, которое подавляет внешние шумы.

И главное, никогда, ни при каких условиях нельзя кому-либо называть CVV2 (CVC2) с обратной стороны карты, в том числе если предлагают ввести или надиктовать цифры через автоинформатор. То же касается кодового слова или пароля из SMS.

При поступлении звонка о несанкционированной операции по вашей карте необходимо положить трубку и самостоятельно позвонить в банк по официальному номеру.

Главное помнить, что если вы поверили мошенникам и сообщили свои данные, то средства вам банк не вернет — вы нарушите правила обращения с электронным средством платежа.

Вероника Горячева

Читайте также: