Система быстрых платежей оказалась уязвимой для мошенников
В ЦБ признали наличие проблемы перебора номеров в Системе быстрых платежей (СБП). Система устроена так, что дает возможность получить имя и отчество клиента, привязавшего номер к карте или счетам, а также названия банков, в которых они находятся. Это первичная информация для мошенников, специализирующихся на социальной инженерии. Всего в рамках борьбы с подбором данных ЦБ заблокировал более 23 тыс. номеров. Но такая блокировка — временная мера, в системе другого банка заблокированный номер телефона воспринимается как «чистый» и подбор можно начинать снова.
Куратор ФинЦЕРТ (подразделение ЦБ) Артем Сычев сообщил 20 февраля в ходе Уральского форума по информбезопасности, что СБП позволила заблокировать 23,3 тыс. операций по подозрению в попытках перебора номеров.
Как пояснили в ЦБ, были блокированы 23 тыс. телефонных номеров для использования в СБП. Из них 169 блокировок —подтвержденные банками попытки перевода денег без согласия клиента. «Важно подчеркнуть, что в СБП не хранятся клиентские данные,— отметили в ЦБ.— При этом система антифрода обеспечивает блокировку номеров, с которых осуществляются переборы или попытки направления запросов в банки—участники СБП в целях выяснить, возможно ли сделать перевод в пользу того или иного клиента этих банков».
Система быстрых платежей Банка России работает с конца января 2019 года. По данным ЦБ, за год в ней было проведено около 9 млн операций на 80 млрд руб. В настоящее время к ней подключены 42 банка, еще около 160 кредитных организаций подали заявки на подключение. Система позволяет гражданам переводить деньги по номеру мобильного телефона клиенту подключенного к СБП банка. Таким образом злоумышленники и подбирают данные, выясняя, где у конкретного человека есть счета, а потом методами социальной инженерии добиваются перевода средств со счета клиента на свои счета или счета подставных лиц.
В неофициальных беседах банкиры подчеркивают, что использованная в СБП система блокировки номера – не слишком эффективная мера. Смысл ее в том, что после пяти неудачных попыток определения банка, в котором потенциальные жертвы держат счет, номер телефона, с которого осуществляется подбор, блокируется на сутки. Но для других банков, если число подборов меньше пяти, блокировка не происходит. С учетом числа участников СБП у социальных инженеров есть до 200 попыток с определением банков.
Национальная система платежных карт (НСПК, оператор СБП), выявляя подобные случаи, информирует банки. Сами банки, которые во внутренних системах антифрода устанавливают более жесткие условия отсечения (например, три неудачных попытки), такие данные не передают. Таким образом, существенная часть информации просто не доходит до НСПК, что значительно приуменьшает масштаб проблемы, отмечают участники рынка.
Поэтому банки предпочитают подстраховываться сами. По словам члена правления Альфа-банка Ивана Пяткова, банк ведет мониторинг операций через СБП с помощью внутренних антифрод-систем. В банке «Русский стандарт» сообщили, что сейчас на всех уровнях СБП уже работает защита от «перебора» банков—получателей платежа без цели совершить операцию, которая позволяет своевременно блокировать подобные действия. В банке ВТБ заявили, что приняты организационно-технические меры, не позволяющие преступникам подставлять банковские номера при звонках клиентам.
Впрочем, в борьбе с подбором данных стоит сопоставлять за и против, указывают эксперты. Так, директор департамента информационной безопасности МКБ Вячеслав Касимов отмечает, что в рамках СБП с помощью перебора номеров невозможно получить существенных результатов — максимум, что можно узнать, это пять-десять номеров телефонов и имен-отчеств, которые затем могут использовать социальные инженеры. «Если заблокировать возможность перебора номеров полностью, то СБП работать не будет, поэтому здесь мы должны минимизировать риски»,— поясняет он.