Кибермошенничество с помощью смартфонов приняло угрожающий характер. Об этом с цифрами и фактами на руках говорят и в МВД, и в Центробанке, и в антихакерских лабораториях. Мошенники звонят в банки, представляясь клиентами, звонят гражданам от имени банков объем киберкраж исчисляется миллиардами рублей.
Можно ли технически остановить эту криминальную волну и что этому мешает?
В ближайшее время в Госдуме планируется рассмотрение законопроекта, который жестче пропишет правила идентификации абонентов для операторов мобильной связи. В случае нарушения новых требований сотовиками предполагается ввести дополнительную ответственность. Владельцев сетей могут обязать тщательнее следить за данными абонентов чтобы помочь правоохранителям вовремя выявлять и пресекать атаки кибермошенников, для которых смартфон стал подобием отмычки.
Проблема явно принимает угрожающие масштабы. К примеру, несколько дней назад Роструд сообщил о волне телефонного мошенничества, зафиксированного в Москве и 23 регионах. География «работы» преступников обширна: Центральная Россия, Поволжье, Северный Кавказ, Сибирь. Людям звонили якобы сотрудники инспекции труда и предлагали за некую сумму «подготовить предприятие к внеплановой проверке». Роструд обратился в МВД с просьбой принять меры для пресечения действий злоумышленников.
Самый популярный в России вид кибермошенничества, так называемый вишинг, также не обходится без использования мобильной связи. Злоумышленник звонит жертве и представляется сотрудником банка или какого-либо ведомства, пояснил газете ВЗГЛЯД руководитель лаборатории компьютерной криминалистики компании Group-IB Валерий Баулин. Мошенники обманом пытаются получить у жертв данные их банковских карт (CVV, кодовое слово или код-пароль в sms) или заставить перевести деньги на нужный счет или номер телефона за какую-то несуществующую услугу, налог или выигрыш. Именно таким образом, по оценке экспертов Group-IB, происходит более 80% хищений денег у граждан и фирм без каких-либо хакерских программ, просто «на доверии».
«Бывает, что злоумышленники используют автоответчик, который приветствует абонента, сообщает о проблеме, а уже после происходит подключение к диалогу «живого оператора». Такая схема также почти не вызывает подозрений со стороны жертвы, что делает ее не менее опасной, чем «живые» звонки», уточнил Баулин. Более сложная и более свежая схема подразумевает установку на смартфон программы удаленного доступа но жертва мошенников устанавливает ее, как правило, после звонка лжесотрудника банка. По данным МВД, в прошлом году было зарегистрировано почти 43 тыс. случаев вишинга. Эксперты Group-IB за несколько лет собрали более 400 тыс. подозрительных номеров.
Если говорить об официальных структурах, то Центробанк только за три летних месяца отправил операторам связи информацию о более чем 2,5 тыс. подозрительных номеров. Как пояснили газете ВЗГЛЯД в Центробанке, после принятия в прошлом году поправок в законы о противодействии хищению, заработала автоматизированная система обработки инцидентов ФинЦЕРТ (Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере департамента информационной безопасности Банка России). Как отмечается в отчете ЦБ о работе ФинЦЕРТ за сентябрь 2018-го август 2019 года,
«в 2019 году в арсенале злоумышленников появился новый способ обмана жертв».
«Технология подмены исходящего телефонного номера на номера, идентичные номерам кол-центров кредитных организаций, позволила им успешно выдавать себя за сотрудников служб безопасности банков», отмечают сотрудники ФинЦЕРТ. «Чаще всего мошенники звонят с городских номеров (в том числе подмененных) и под видом блокировки подозрительных транзакций совершают хищения средств жертв, указывают авторы отчета. Количество поступающих в ФинЦЕРТ сообщений о номерах телефонов злоумышленников существенно увеличилось. В результате ФинЦЕРТ отправил на блокировку в сигнальной сети информацию о 4936 номерах мобильных операторов и номерах в коде 8-800, задействованных в мошеннических sms-рассылках».
Однако мошенничество в исполнении так называемых социальных инженеров (психологов, которые уговаривают по телефону клиента банка совершить платеж, продиктовав код из sms) приобретает буквально массовый характер, констатировал в комментарии газете ВЗГЛЯД зампредседателя комиссии по цифровым финансовым технологиям Торгово-промышленной палаты России (ТПП) Тимур Аитов. Отметим, что собеседник, в частности, неоднократно общался с представителями ЦБ по вопросам кибербезопасности. Аитов констатировал:
«Утечки происходят из среды специалистов по информационной безопасности, бывших банковских сотрудников, среди которых сейчас зафиксирован очень высокий уровень безработицы.
Продаются даже записи разговоров клиента с банком, которые тоже помогают максимально изучить потенциальную жертву».
Общий ущерб от киберпреступников за 2018 год составил 2 млрд рублей, причем почти полтора миллиарда из них были похищены с использованием интернет-банкинга. Средняя потеря каждого обманутого россиянина составляла от 100 тысяч до полумиллиона рублей. Такие данные в конце октября привел глава комиссии Общественной палаты по развитию информационного сообщества, СМИ и массовых коммуникаций Александр Малькевич. Он подчеркнул: всегда эти мошенничества происходят через подменные телефонные номера. «Не все люди это понимают, заметил Малькевич. Одно дело, когда звонок идет, условно говоря, с «левого» мобильного номера, но в основном все эти номера определяются, как городские. Они идут через «левые» сим-карты».
Результаты борьбы с телефонными махинаторами пока не очень впечатляют. Как было сказано выше, ЦБ передал операторам порядка 2,5 тыс. «левых» номеров. Однако операторы заблокировали лишь 218 из них, для 59 ввели ограничение на использование финансовых сервисов, а в 198 случаях выявили подмену номера банка. При этом в еще более чем двух тысячах случаях операторы не стали принимать мер, так как не нашли для этого оснований.
Итак, с одной стороны, очевидно, что главным каналом для выхода в Сеть и для законопослушных граждан, и для мошенников стали мобильные сети, а мобильные телефоны оказываются главным «крючком», при помощи которого преступники ловят своих жертв. С другой стороны, операторы связи зачастую затрудняются отличить номер, которым пользуется обычный человек или организация, от «левого» номера.
Помочь может то, что проблема уязвимости данных граждан, которые становятся жертвами вишинга и фишинга (кражи паролей) при помощи мобильной связи это общемировая проблема, и в ряде стран уже выработаны варианты противодействия ей. К примеру, в Сингапуре может быть зарегистрировано не более трех номеров на одного абонента (вне зависимости от оператора связи), в Индии до девяти номеров.
Способы достоверной идентификации абонентов (robust identification) могут быть самыми разными. Например, это обязанность оператора удостоверять личность абонента. Либо сам оператор запрашивает такие сведения у компетентных органов (условно говоря, через паспортный стол), либо абонент обязан самостоятельно пройти проверку в любом государственном учете. Это может быть проверка абонентов по биометрическим данным. В любом случае, если оператор манкирует обязанностью достоверно идентифицировать своих абонентов, то ему может грозить штраф или ограничение лицензии. Стимулом для операторов может стать переход на постоплатную систему расчетов: сначала услуги потом деньги. Таким образом, сам поставщик мобильной связи оказывается заинтересован иметь при себе сведения о клиенте.
#{related}Впрочем, вопрос в том, насколько сами операторы готовы к ужесточению требований к себе. В том, что касается борьбы с банковским мошенничеством при помощи смартфонов, уже все необходимые меры приняты, полагают в Tele 2. «Система сверки данных абонентов уже и так успешно действует между банками и операторами и является важным аспектом противодействия мошенникам, сказала газете ВЗГЛЯД пресс-секретарь этой компании-оператора Дарья Колесникова. Операторы ответственны за качество сервисов верификации и постоянно технологически совершенствуют платформу. По мнению участников рынка, предлагаемый сейчас законопроект никак не улучшает действующую практику. Мы не поддерживаем создание посредника между банками и операторами и введение регулирования цен на предоставление сведений об абонентах».
Пока что инициатива усиления контроля за достоверностью данных исходит не от телеком-операторов, а от банков, констатируют эксперты. «Банки не сами, а с подачи компетентных регуляторов, которые занимаются данной темой, выступили с инициативой создать единую информационную систему, которая будет представлять сведения о том, кто фактически является владельцем конкретного телефонного номера.
Я думаю, дальше последует предложение: «А теперь давайте обяжем всех банковских клиентов использовать только тот номер телефона, владельцем которого является именно этот клиент. По паспорту».
Я уверен, что такое предложение обязательно поступит», полагает зампред комиссии по цифровым финансовым технологиям Торгово-промышленной палаты Тимур Аитов.
Но многие телеком-операторы относятся к идее такого рода единой информационной системы достаточно сдержанно, добавил собеседник. «Во многом потому, что телекомы уже оказывают подобную услугу заинтересованным лицам, чаще всего банкам, но на коммерческой основе. Разумеется, операторы не хотели бы потерять этот сервис в качестве источника небольшого, но постоянного дохода», констатировал представитель ТПП. С другой стороны, отметил Аитов, он уже несколько раз выступал с предложениями о мерах, которые могут помочь в борьбе с телефонным мошенничеством однако банки, не всегда заинтересованы в серьезном противодействии, им проще списать потери.
«Причина закон «О национальной платежной системе», статья 9, которая обязывает банк вернуть, отменить противоправную транзакцию, если клиент вовремя о ней сообщил. Вовремя имеется в виду в течение одного банковского дня. Практически же по этой девятой статье банки ничего не возвращают. В течение месяца они расследуют и находят причину не возвращать. А уж если клиент говорит, что его атаковал социальный инженер, мошенник, то это становится поводом для отказа с формулировкой: «Вы все сделали добровольно».
Чтобы реально противодействовать социальным инженерам, необходимо в методы идентификации платежей добавлять еще и биометрию, полагает Аитов. «То есть, помимо кодов подтверждения операции, может быть добавлен голос, фотография на усмотрение банка, сказал представитель ТПП. Например, если злоумышленник заморочил голову человеку, обещая заблокировать транзакцию и пресечь воровство денег с его счета взамен на несколько тысяч рублей, которые «должны быть переведены в банк немедленно», то подтверждение операций по счету с помощью голоса или при помощи фотографий превращается в дополнительный рубеж обороны».
Схожее предложение высказал в комментарии газете ВЗГЛЯД специалист по IT-технологиям, руководитель «Центра компетенций по импортозамещению в сфере ИКТ» Илья Массух. Во-первых, решить наконец вопрос с продажей нелегальных сим-карт, а также ввести биометрическую идентификацию абонентов как в телефонах, так и в мессенджерах, заявил собеседник.
При этом он напомнил, что некоторые банки требуют при использовании своего мобильного приложения устанавливать на устройство антивирус для отслеживания шпионских и мошеннических программ. Поскольку все банки для работы с клиентами используют мобильные приложения, можно было бы ввести наличие антивируса на устройстве, как обязательное требование при пользовании мобильными банковскими услугами, предложил эксперт. «Но это при условии, что сами банки заинтересованы в борьбе с мобильным мошенничеством. А то они только говорят, что заинтересованы, при этом никаких действий в этом направлении не предпринимают», полагает Илья Массух.
Теги:
сотовая связь
,
мобильные телефоны
,
мошенничество
,
законодательство
,
мобильная связь
,
смартфон
. vz.ru
2019-11-19 16:45
