Заранее было ясно, что СПБ будет помогать мошенникам
В ЦБ признали наличие проблемы перебора номеров в Системе быстрых платежей (СБП). Система устроена так, что дает возможность получить имя и отчество клиента, привязавшего номер к карте или счетам, а также названия банков, в которых они находятся. Это первичная информация для мошенников, специализирующихся на социальной инженерии. Всего в рамках борьбы с подбором данных ЦБ заблокировал более 23 тыс. номеров. Но такая блокировка - временная мера, в системе другого банка заблокированный номер телефона воспринимается как "чистый" и подбор можно начинать снова.
ВЭП-Комментарий
Проблемы СПБ являются "секретом полишинеля".
Еще год назад на официальных встречах и конференциях с Банком России приходилось слышать вопросы в адрес Банка России, нормально ли это, когда любой пользователь забивая в сервисе СБП чей-либо номер телефона и выбирая банк сразу узнает о наличии счета владельца данного номера в данном банке. В ответ только улыбались - концепцию менять никто не собирался.
Банковская тайна в законе написана, но информационные и платежные системы приоткрывающие банковскую тайну любому - допускаются. Получается - банковское дело не только без принципов, но и с нарушением закона. |
Куратор ФинЦЕРТ (подразделение ЦБ) Артем Сычев сообщил 20 февраля в ходе Уральского форума по информбезопасности, что СБП позволила заблокировать 23,3 тыс. операций по подозрению в попытках перебора номеров.
Как пояснили в ЦБ, были блокированы 23 тыс. телефонных номеров для использования в СБП. Из них 169 блокировок -подтвержденные банками попытки перевода денег без согласия клиента. "Важно подчеркнуть, что в СБП не хранятся клиентские данные,- отметили в ЦБ.- При этом система антифрода обеспечивает блокировку номеров, с которых осуществляются переборы или попытки направления запросов в банки-участники СБП в целях выяснить, возможно ли сделать перевод в пользу того или иного клиента этих банков".
Система быстрых платежей Банка России работает с конца января 2019 года. По данным ЦБ, за год в ней было проведено около 9 млн операций на 80 млрд руб. В настоящее время к ней подключены 42 банка, еще около 160 кредитных организаций подали заявки на подключение. Система позволяет гражданам переводить деньги по номеру мобильного телефона клиенту подключенного к СБП банка. Таким образом злоумышленники и подбирают данные, выясняя, где у конкретного человека есть счета, а потом методами социальной инженерии добиваются перевода средств со счета клиента на свои счета или счета подставных лиц.
В неофициальных беседах банкиры подчеркивают, что использованная в СБП система блокировки номера - не слишком эффективная мера. Смысл ее в том, что после пяти неудачных попыток определения банка, в котором потенциальные жертвы держат счет, номер телефона, с которого осуществляется подбор, блокируется на сутки. Но для других банков, если число подборов меньше пяти, блокировка не происходит. С учетом числа участников СБП у социальных инженеров есть до 200 попыток с определением банков.
Национальная система платежных карт (НСПК, оператор СБП), выявляя подобные случаи, информирует банки. Сами банки, которые во внутренних системах антифрода устанавливают более жесткие условия отсечения (например, три неудачных попытки), такие данные не передают. Таким образом, существенная часть информации просто не доходит до НСПК, что значительно приуменьшает масштаб проблемы, отмечают участники рынка.
Поэтому банки предпочитают подстраховываться сами. По словам члена правления Альфа-банка Ивана Пяткова, банк ведет мониторинг операций через СБП с помощью внутренних антифрод-систем. В банке "Русский стандарт" сообщили, что сейчас на всех уровнях СБП уже работает защита от "перебора" банков-получателей платежа без цели совершить операцию, которая позволяет своевременно блокировать подобные действия. В банке ВТБ заявили, что приняты организационно-технические меры, не позволяющие преступникам подставлять банковские номера при звонках клиентам.
Впрочем, в борьбе с подбором данных стоит сопоставлять за и против, указывают эксперты. Так, директор департамента информационной безопасности МКБ Вячеслав Касимов отмечает, что в рамках СБП с помощью перебора номеров невозможно получить существенных результатов - максимум, что можно узнать, это пять-десять номеров телефонов и имен-отчеств, которые затем могут использовать социальные инженеры. "Если заблокировать возможность перебора номеров полностью, то СБП работать не будет, поэтому здесь мы должны минимизировать риски",- поясняет он.
Новость: Система быстрых платежей оказалась уязвимой для мошенников
Источник: Коммерсант https://www.kommersant.ru/doc/4261586
21.02.2020