20.07.2016 19:07
    Поделиться

    ЦБ придумал новый способ защиты клиентов банков от хакерских атак

    Банк России придумал новый способ защиты граждан от киберпреступников
    Банки смогут блокировать платежи клиентов, если возникнет подозрение, что к процессу приложили руку хакеры. Такой законопроект совместно с Минфином разработал Центробанк. Осенью он должен поступить на рассмотрение Госдумы. Об этом, а также о том, кого чаще атакуют кибертеррористы, откуда идут атаки и почему многие российские банки предпочитают об этом молчать, в интервью "РГ" рассказал заместитель начальника Главного управления безопасности и защиты информации Банка России Артем Сычев.

    Как часто кибермошенники выбирают своей целью обычных граждан?

    Артем Сычев: В последнее время реже, чем раньше. К примеру, резко упали объемы хищения денег с платежных карт, многие более или менее крупные мошенники просто потеряли к ним интерес. Хищения производились в основном через скимминг - специальное оборудование для съема информации с карт, которое преступники устанавливают на банкоматы. Но так как в Российской Федерации сейчас используются карты, оснащенные чип-модулями, и при проведении транзакций действует принцип "чип плюс PIN-код", актуальность скимминг-атак существенно снизилась.

    Хотя совершенно точно могу сказать, что сейчас злоумышленники изучают и разрабатывают варианты скиммингового оборудования, которое научится считывать информацию с чипов, так что затишье, скорее всего, долго не продлится.

    Какая сейчас самая распространенная схема мошенничества, жертвами которой становятся обычные люди?

    Артем Сычев: Рассылка SMS-сообщений на мобильные телефоны. Содержание стандартное: "Ваша карта заблокирована", подпись: "Служба безопасности ЦБ" и телефон. Мне и самому приходило такое сообщение. Иногда SMS рассылаются от имени служб безопасности кредитных организаций. Но схема всегда одна и та же. При звонке по указанному в сообщении номеру отвечают мошенники, цель которых - сбор персональной информации граждан: фамилия, имя, отчество, адрес, паспортные денные, номер банковской карты, PIN-код, CVV-код.

    Иногда владельцу карты предлагают пройти к банкомату и совершить какие-то операции якобы в целях проверки работоспособности карты или провести некоторые действия вроде "отмены списания" или активации интернет-банкинга. Даже если в процессе преступникам не удастся ничего украсть с карты, персональная информация, обманом полученная от ее владельца, хорошо продается.

    Как действовать, если пришло такое сообщение?

    Артем Сычев: Проигнорируйте его. Если остаются сомнения в отношении вашей карты, на ее обороте указан номер контактного центра вашего банка - позвоните по нему и задайте все интересующие вопросы. Если с вашей картой происходят какие-то подозрительные операции, опять же позвоните в свой банк. Но не сообщайте никому PIN-код, тем более что реальный банк никогда не будет у вас его спрашивать: это правило безопасности, которое соблюдают все.

    К сожалению, в особой группе риска находятся пожилые и социально незащищенные люди. У них сейчас есть и карточки, и мобильные телефоны, но часто не хватает знаний, как правильно вести себя в той или иной ситуации. Злоумышленники этим пользуются. Поэтому хотелось бы обратиться к молодому продвинутому поколению - найдите время, объясните родителям, как нужно действовать и как обезопасить себя и свои деньги от мошенников. Это очень важно.

    А если деньги с карточки уже увели?

    Артем Сычев: Нужно написать заявление в свой банк, он проведет расследование и по его итогам примет меры. Если есть основание считать, что это были мошеннические действия, необходимо обратиться в правоохранительные органы.

    Может ли человек, ставший жертвой мошенников, воспользоваться нормой закона, которая обязывает банк вернуть деньги на карту, если списание произошло без его ведома?

    Артем Сычев: Безусловно, может. Например, один из распространенных вариантов мошенничества, когда без вашего ведома по поддельным документам или с помощью сговора происходит замена SIM-карты, к которой привязан мобильный банкинг. После этого все оповещения по вашему счету в банке падают уже не на ваш телефон, и у преступников появляется возможность увести со счета деньги. В этом случае не составит никакого труда доказать, что вы эту SIM-карту не меняли, и совершенно точно банк деньги вернет.

    Вместе с тем, в ситуациях, когда вы стали жертвой мошенничества с использованием так называемой социальной инженерии (сами сообщили преступникам реквизиты карты или перевели по их просьбе деньги через банкомат), единственный вариант - обратиться в правоохранительные органы.

    Планируются ли какие-то новации, направленные на усиление защиты клиентов банков от несанкционированных операций?

    Артем Сычев: Банк России совместно с Министерством финансов разработал законопроект, основная цель которого - создать условия, чтобы деньги со счета невозможно было вывести без ведома их законного владельца.

    В числе наиболее значимых новаций, которые предлагаются, стоит отметить механизм приостановки платежа. Он активизируется в том случае, если есть подозрения, что банк-отправитель или клиент банка были атакован хакерами. Денежный перевод в этом случае может быть осуществлен только тогда, когда клиент подтвердит его легитимность.

    В особой группе риска - пожилые люди. У них сейчас есть и карточки, и мобильные телефоны, но часто не хватает финансовой грамотности

    Если в результате хакерской атаки платеж все-таки был отправлен, законопроект предусматривает действия по возврату незаконно выведенных средств.

    Сейчас документ проходит стадию общественных обсуждений. Внесение законопроекта на рассмотрение в Госдуму планируется в осеннюю сессию.

    С какой целью кибермошенники атакуют сайты банков?

    Артем Сычев: У любой атаки есть цель - заработать. Но монетизируются они по-разному: либо это просто хищение средств, либо получение денег за сам факт организации атаки. К примеру, на фоне напряженных внешнеполитических событий можно было наблюдать особый всплеск активности атак на ресурсы крупнейших российских банков. Характерной особенностью было то, что атаки были направлены не на финансовые сервисы банков. Преступники пытались нарушить работу сайтов, в том числе и сайта Банка России.

    В чем смысл?

    Артем Сычев: Нанести урон репутации, создать повод для недоверия со стороны клиентов. Логика простая: если кредитная организация не смогла обеспечить работоспособность и безопасность своего собственного сайта, стоит ли доверять ей деньги? В случае с Банком России - посеять недоверие к нему, как к регулятору и управляющему золотовалютными резервами государства. Как правило, такие атаки носят политический характер. Факты таких атак совпадали с фактами атак на сайт президента, правительства и других госведомств.

    Атаки с целью хищения средств идут постоянно, но если раньше преступники особенно активно интересовались счетами юрлиц, то теперь переориентировались на корреспондентские счета банков.

    Происходит это так: в кредитную организацию забрасывается электронное письмо, содержащее загрузчик вредоносного программного обеспечения. Таким образом, злоумышленники получают доступ к сети банка, находятся там от недели до двух, наблюдая, что происходит с корсчетом, после чего подкладывают фиктивные документы и выводят деньги.

    Недавно МВД и ФСБ сообщали о задержании нескольких преступных групп, которые проворачивали подобные схемы. Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) Банка России оказывал коллегам из правоохранительных органов всестороннюю экспертную и консультационную помощь в расследовании уголовных дел, по результатам которых и были произведены эти задержания. Надеемся, что этот успех будет способствовать снижению числа преступлений. К сожалению, это не говорит о том, что они вообще перестанут существовать.

    Можно ли предсказать, куда дальше пойдут кибертеррористы?

    Артем Сычев: Пойдут в сторону финансовых рынков. Их пока спасает только то, что злоумышленники не научились быстро выводить похищенные деньги. Сервисы мобильных операторов тоже сейчас внимательно изучаются.

    Из каких стран идут атаки кибертеррористов?

    Артем Сычев: Вопрос больше к правоохранительным органам. Но по опыту из того, что мы видим, могу сказать, что все сильно зависит от того, что это за атака. Иногда это исключительно Юго-Восточная Азия, иногда гремучая смесь Восточной Европы и Ближнего Востока, но почти всегда это не один конкретный адрес. Чтобы организовать более или менее масштабную DDoS-атаку, нужно иметь большое количество компьютеров. Злоумышленники заражают специальной вредоносной программой огромное количество машин по всему миру. Вы можете работать на машине и не знать, что она захвачена и выполняет чужие команды. Злоумышленники могут продавать или сдавать в аренду такие бот-сети - группы компьютеров, зараженных вредоносными программами, причем в одном "пакете" находятся не десятки и сотни, а тысячи компьютеров.

    Можно отследить управляющие центры таких бот-сетей, но расположение этого центра и государство, на территории которого он находится, - это не одно и то же. Очень часто преступники, находясь на территории одного государства, арендуют или просто покупают место на серверах провайдеров услуг в другом государстве только для того, чтобы не попасть под юрисдикцию атакуемого государства.

    Вы упомянули о Центре мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) Банка России. Каким образом FinCERT может противодействовать преступникам?

    Артем Сычев: Мы можем способствовать тому, что деньги, которые злоумышленники уже вывели из банка, могут быть оперативно остановлены на стороне банка-получателя. Нами зафиксированы покушения на хищение с корсчетов нескольких банков на сумму 2,87 миллиарда рублей. Из них хищения на сумму 1,5 миллиарда рублей совместными усилиями нашего центра, правоохранительных органов и кредитных организаций удалось предотвратить.

    Кроме того, по итогам нашего взаимодействия с Координационным центром национального домена сети интернет блокируются домены в интернете, на которых расположены ресурсы, представляющие угрозу. Это подделки под сайты кредитных организаций, ресурсы, где размещается недобросовестная реклама финансовых услуг, так называемые фишинговые ресурсы (сайты, предназначенные для выманивания персональных данных и информации у клиентов о номерах кредитных карт и реквизитах доступа к дистанционным счетам). Меньше чем за полгода по нашим обращениям было заблокировано свыше 180 ресурсов.

    Но появляются новые.

    Артем Сычев: Появляются. Но если вообще ничего не делать, будет еще хуже. Мы своей целью видим не ликвидацию киберпреступности - это невозможно, а сохранение минимального уровня подобных преступлений. В платежных системах фрод (мошенничество в области информационных технологий - прим. ред.) был всегда и всегда будет, но есть определенный уровень, выше которого подниматься нельзя. Сейчас уровень хищений в Российской Федерации составляет 0,005 процента от оборота денежных средств в электронном виде. Выше него нам подниматься нельзя - мы себе ставим именно такую задачу.

    О чем молчат банки

    Основную информацию о кибератаках вы получаете от банков. Сколько их уже подключилось к FinCERT?

    Артем Сычев: Сейчас у нас в информационном обмене участвуют 278 кредитных организаций. Раньше процентов 70 из тех, кто подключился к FinCERT, были "молчунами", то есть они просто наблюдали за нашими рассылками, но никакой собственной информации не предоставляли. Сейчас их количество сократилось примерно до 55 процентов.

    Остальные делятся данными об атаках, вредоносных заражениях. Задача ребят, которые работают в центре, все это анализировать. Потом данные обобщаются и уходят участникам информационного обмена в виде бюллетеней. Вся информация обезличена. Из нашей рассылки невозможно почерпнуть информацию, в каком банке что произошло. Мы не создаем репутационные риски для тех, кто с нами делится информацией.

    Но банки, включая крупнейших игроков рынка, в последнее время сами стали публично говорить об имевших место атаках киберпреступников. Зачем?

    Артем Сычев: Это становится слишком заметно. В Западной Европе и в США есть законодательные требования, которые обязывают банк такую информацию раскрывать. Более того, там установлена определенная ответственность для тех, кто вовремя не обеспечил раскрытие подобной информации. У нас такого нет. Но не исключаю, что мы тоже к этому придем. Пока же у нас действует принцип "2Д": добровольность и доверие.

    Почему все остальные банки пока не подключаются к FinCERT, а часть подключенных продолжают оставаться "молчунами"?

    Артем Сычев: Во многом срабатывает стереотип: "Вот я сейчас о ЧП регулятору сообщу, а он проверку пришлет". Некоторые банки до сих пор даже не знают, что есть такой сервис. Но за год работы почти 300 участников - хороший показатель, тем более что нормативно мы никого ни к чему не обязываем.

    И не будете?

    Артем Сычев: Пока таких планов нет.

    Поделиться