Это интересно

Мошенники оборвали банкам телефон. Звонки клиентам с подмененных номеров стали массовыми

Резкий рост мошеннических звонков клиентам якобы от банков с использованием технологии подмены номера зафиксировал ряд крупных кредитных организаций. У отдельных банков активность мошенников возросла в десятки раз. В банках указывают, что операторы связи недостаточно эффективно выявляют и блокируют подобные схемы. На данный момент решение проблемы вышло на уровень ЦБ, который намерен бороться с подменными номерами всеобщими усилиями.

Рисунок: Виктор Чумачев / Коммерсантъ

О том, что на прошлой неделе резко активизировались мошенники, звонящие с телефонов кредитных организаций (звонки с подменой номера) клиентам, рассказали “Ъ” несколько источников в крупных банках. Для клиента это выглядит как звонок банка: входящий номер принадлежит кредитной организации, представитель которой сообщает о попытке несанкционированной операции, далее выманиваются данные карты, происходит хищение. В январе подобным атакам, причем с использованием сложнейшей социальной инженерии, подверглись клиенты Сбербанка (см. “Ъ” от 30 января). «Если ранее у нас было одно-два сообщения в колл-центр о мошеннических звонках, то буквально с 18 февраля их количество возросло в десятки раз»,— отметил собеседник “Ъ”. «Мы видим явную активизацию злоумышленников начиная с середины недели»,— отметили в другом крупном банке. При этом, по словам другого собеседника “Ъ”, мошеннические звонки поступают не только клиентам, но и в колл-центры банков с подменой номеров клиентов. «Если система пропускает такой звонок, то злоумышленник может узнать баланс по карте, последние операции и т. д., чтобы использовать эти данные для более убедительной социальной инженерии, делая ее более эффективной»,— добавляет он.

Официальные предостережения об участившихся случаях мошенничества с запросами от имени банка для своих клиентов сделали Юникредит-банк и Райффайзенбанк. «Мы фиксируем определенный рост активности мошенников,— отметил руководитель отдела информационной безопасности Райффайзенбанка Денис Камзеев.— Мы даем клиентам рекомендации по безопасному использованию наших сервисов… и регулярно делаем рассылки, если появляется необходимость, информируем клиентов дополнительно».

В Банке России сообщили “Ъ”, что в курсе активизации мошенничеств с использованием технологии подмены номера. Решение проблемы требует как технической, так и юридической проработки, сейчас регулятор ведет консультации с банками, а также планирует привлечь к обсуждению операторов связи и Минкомсвязь, уточнили там.


"Проблема понятна, она на самом деле гораздо глубже, чем такой поверхностный взгляд, что надо взять и запретить... Это очень сложная работа с операторами связи и профильными министерствами". - Артем Сычев, замдиректора департамента информационной безопасности ЦБ, 19 февраля.


Проблема мошеннических атак на клиентов банков с подменных номеров обсуждалась и на Уральском форуме. В ходе круглого стола представители Сбербанка, ВТБ и банка «Санкт-Петербург» отметили, что их банки столкнулись с данной проблемой. Глава департамента информбезопасности банка «Санкт-Петербург» Анатолий Скородумов отметил, что операторам связи необходимо блокировать подобные звонки с подменой номера. В ходе дискуссии отмечалось, что подобные проблемы есть у «Билайна» и МТС, имеющей также наземную и мобильную связь, участниками было отмечено отсутствие подобных кейсов по «МегаФону».

Директор дирекции по информационной безопасности ПАО «Вымпелком» (бренд «Билайн») Александр Голубев сообщил, что проблема вызова, инициированного в их сети с подстановкой номера, существует. В настоящее время решение этой задачи происходит в ручном режиме, им занимаются коллеги специализированного подразделения компании.

Глава ФинЦЕРТ (подразделение ЦБ, отвечает за кибербезопасность) Артем Калашников отметил, что данную проблему необходимо решать общими усилиями. По его словам, технические ресурсы есть у операторов связи, у правоохранительных органов, у ЦБ.

«Недостаточно бороться с проблемой подмены номеров в ручном режиме — надо технически объединить усилия,— считает господин Калашников.— Тут главное — скорость реакции: банк видит проблему, сообщает в АСОИ (автоматизированная система обмена информацией), дальше оператору, но если сейчас оператор после "принято в работу" может тянуть неделю, то тут и операторы связи должны действовать оперативно».

Впрочем, вне закрытых встреч с участниками рынка и представителями ЦБ операторы связи предпочитают отрицать наличие проблемы. Например, в ответе на запрос “Ъ” в МТС сообщили, что в сети компании создание подменных номеров невозможно, в случае же внешних угроз попытки оперативно блокируются в круглосуточном режиме. «Теле2» и «МегаФон» на запрос “Ъ” не ответили. В «Вымпелкоме» отметили, что в среднем блокируют несколько тысяч звонков с подменными номерами в день, роста звонков в последнюю неделю не наблюдают.

Пока же решение проблемы подменных номеров не найдено, клиенты банков должны сохранять бдительность: украденные подобным образом средства не вернуть. Банк при несанкционированном списании средств физлиц обязан возместить клиенту потерю, но лишь в случае, когда тот не нарушил правил пользования картой. Однако вся суть подобного мошенничества — выманить у клиента те самые сведения, которые никому нельзя сообщать, то есть вынудить нарушить правила.

 

Вероника Горячева, Владислав Новый

Опубликовано 25 февраля 2019 года в газете "Коммерсантъ" №33
Подробнее...
Источник: https://www.kommersant.ru/doc/3894264

 

Хакеров не обошли молчанием. Атаку группировки Silence на банки заметил ЦБ

Российские банки подверглись массовой атаке хакеров — ЦБ сообщил о фишинговых рассылках группировки Silence. Интересна атака не только масштабом (только Сбербанк получил 1,5 тыс. писем с вредоносными вложениями), но и тем, что рассылка шла с серверов в России. Сейчас в Госдуме находится законопроект, который даст возможность ЦБ блокировать фишинговые сайты и сможет эффективнее защитить рынок от подобных атак. Но для этого проект необходимо доработать, в том числе с учетом опыта последних рассылок, отмечают эксперты.

Фото: Виктор Коротаев / Коммерсантъ

На прошлой неделе ФинЦЕРТ (подразделение ЦБ по кибербезопасности) разослал по банкам бюллетени о фишинговой рассылке Silence. В частности, в рассылках от 16 января (есть в распоряжении “Ъ”) регулятор отмечает массовое распространение вредоносного ПО от имени несуществующих кредитных организаций — банков ICA, «Урал Развитие», «Финансовая перспектива», CCR, ЮКО, «БанкУралпром», а также якобы от организаторов финансового форума iFIN-2019.


Silence — группа русскоговорящих хакеров, впервые активность зафиксирована в 2016 году. Специализируется на целевых атаках на банки, рассылая фишинговые письма с вредоносными вложениями.


Текущая рассылка выделяется по нескольким параметрам. Первый — охват. В частности, Сбербанк фиксировал получение фишинговых писем в течение нескольких дней до 18 января включительно. «На средствах защиты по состоянию на 18 января зафиксированы и успешно заблокированы 1,5 тыс. вредоносных писем, имеющих отношение к рассылке Silence,— отметили в банке.— Рассылка продолжается, мы осуществляем усиленный контроль развития данной серии атак». О получении и успешной блокировке писем из фишинговой рассылки говорят также в Газпромбанке, Райффайзенбанке и Московском кредитном банке, отмечая, что ни сотрудники, ни клиенты не пострадали.

В ЦБ “Ъ” пояснили, что атака превышала стандартные масштабы, но «чрезвычайно большого объема» писем не было.

Во-вторых, в атаке использовалась качественная социальная инженерия, что нехарактерно для Silence. «Достаточно серьезно вкладываясь в инструменты, эта группировка обычно очень мало модифицирует и усложняет "социальный" вектор рассылки, используя типовые фишинговые уловки,— отметил операционный директор центра мониторинга и реагирования на кибератаки "Ростелеком-Solar" Антон Юдаков.— Однако на этот раз присутствовал крайне правдоподобный текст письма, идеально повторяющего официальное приглашение на профильную конференцию». По его словам, усовершенствованный социальный вектор существенно повышает результативность рассылки.

В-третьих, атака проведена с использованием серверов на территории РФ. В информационном бюллетене от 16 января ФинЦЕРТ указано, что для данной рассылки использовались, в частности, и домены из зоны .ru (fpbank.ru, bankurs.ru, ccrbank.ru). В ЦБ подтвердили “Ъ”, что в организации атаки были задействованы в числе прочего серверные мощности с IP-адресами в российской зоне интернета.


«На сегодняшний момент мы видим два основных тренда. Первый тренд — это увеличение количества атак... Второй тренд …идет постепенное снижение количества денег, которые …финансовая система теряет от таких атак».— Артем Сычев, первый заместитель главы департамента информационной безопасности ЦБ, 27 ноября 2018 года.


Законопроект, дающий регулятору право самостоятельно блокировать подобные фишинговые ресурсы, позволит ускорить реагирование на атаки подобного рода, отметили в ЦБ. Речь идет о документе, который даст возможность ЦБ самостоятельно подавать в суд иски по блокировке сайтов, информация на которых может привести в числе прочего к хакерским атакам (см. “Ъ” от 11 января).

Однако для эффективной борьбы с фишинговыми рассылками законопроект потребуется доработать. «В текущей версии блокировка опасного ресурса возможна в течение нескольких дней, тогда как при фишинговой рассылке наибольшее количество опасных писем открывается в первые часы,— отметил руководитель аналитического центра Zecurion Analitics Владимир Ульянов.— Для эффективной защиты необходима возможность реагировать в течение нескольких часов».

Кроме того, проект позволяет блокировать только сайты, содержащие опасную информацию, а для фишинговой рассылки нет необходимости создавать сайт, достаточно зарегистрировать домен и создать почту. «Важно, чтобы была возможность блокировать домены и в таких случаях,— уверен руководитель лаборатории практического анализа защищенности "Инфосистемы Джет" Лука Сафонов.— Кроме того, часто легально работающие сервисы не уделяют внимания безопасной настройке почты, и злоумышленники получают возможность отправлять почту через них, в том числе и с поддельным адресом отправителя».

 

Вероника Горячева

Опубликовано 21 января 2019 года в газете "Коммерсантъ" №9
Подробнее...
Источник: https://www.kommersant.ru/doc/3859561

 

Хакеры пригласили на финансовый форум. Эксперты сообщили о крупной атаке группы Silence

На этой неделе хакеры из группировки Silence провели первую в нынешнем году атаку на российские банки: финансовые организации получили фальшивые приглашения на форум iFin-2019, сообщила компания Group IB. Подобные письма, по оценкам экспертов, были доставлены десяткам тысяч адресатов, среди которых были и сотрудники банков.

Фото: Евгений Павленко / Коммерсантъ

Group-IB сообщила о масштабной вредоносной рассылке группы Silence в России. В текущем году это пока самая крупная атака: она затронула более 80 тыс. получателей, подсчитали эксперты. Среди адресатов были сотрудники российских кредитно-финансовых организаций, в основном банков и крупных платежных систем.


Атака началась 16 января с рассылок, в которых содержалось приглашение посетить в феврале международный форум iFin-2019 в Москве, отмечает Group-IB.

Письма разослали через несколько часов после того, как настоящие приглашения отправили организаторы мероприятия. В своей рассылке злоумышленники использовали официальное приглашение, отредактировав его. «Заполните анкету в приложенном архиве и перешлите нам. Вы получите два бесплатных пригласительных, и название вашего банка будет размещено на официальном портале форума»,— говорится в письме. К посланию был прикреплен ZIP-архив, внутри которого — приглашение на банковский форум и вредоносное вложение Silence.Downloader aka TrueBot, которое используют только хакеры Silence.


То, что хакеры использовали реальный анонс финансового форума, подтверждает версию, согласно которой участниками Silence являются люди, занимавшиеся или до сих пор занимающиеся легальной работой, в том числе тестами на проникновение в информационные системы в финансовом секторе, полагает Group-IB. С этим не согласен собеседник “Ъ” на рынке информационной безопасности: получить реальное письмо от организаторов вполне мог и человек со стороны разными способами, он не обязательно должен работать в финансовых организациях.

По словам председателя оргкомитета iFin-2019 Андрея Бурдинского, они направляют в банки только персональные приглашения на форум и только постоянным посетителям. «Текст фальшивого приглашения не похож на реальное приглашение, отправленное в банки в этот день. Скорее всего, текст взят злоумышленниками с веб-сайта форума или из одного из пресс-релизов»,— добавляет господин Бурдинский. По его словам, 16 января организаторы форума iFin-2019 получили два письма от представителей банков, которые сообщили о получении фишинговых писем, других жалоб от участников форума не поступало.

Silence стала известна в 2018 году, когда ее заподозрили в рассылке вредоносных писем от лица Центробанка России (ЦБ РФ). В сообщении, которые получили тогда российские банки с поддельного адреса ЦБ РФ, адресатам предлагали ознакомиться с новым постановлением регулятора. Получателями ноябрьской рассылки, по данным Group-IB, оказались как минимум 52 банка в России и пять банков за рубежом.

В период с 25 по 27 декабря Silence также рассылала письма по финансовым учреждениям от имени несуществующей фармкомпании, сотрудник которой обращался в банк с просьбой открыть корпоративный счет и зарплатный проект.

В январе Group-IB обнаружили еще две фишинговые рассылки от имени начальников отделов в несуществующих банках — Банк ICA и «Банкуралпром». Отправители обращались в банки с просьбой оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентских счетов их организаций. Во вложении содержался архив с договором, при распаковке которого на компьютер пользователя загружалась вредоносная программа Silence.Downloader.

Аналитики называют Silence малочисленной и слабоизученной хакерской группой. «Масштаб действий Silence увеличивается: мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний.


«На данный момент Silence — одна из самых опасных русскоязычных групп, фактически стоящая в одном ряду с Cobalt и MoneyTaker»,— полагает эксперт по киберразведке Group-IB Рустам Миркасымов.


Маскировкой вредоносных программ под официальные письма часто занимаются и хакеры из прогосударственных группировок, отмечают аналитики. Например, хакеры направляют письма в военные ведомства, посольства, министерства и СМИ с приглашениями на конференции НАТО, ООН или ЕС. Внутри них скрыто программное обеспечение, цель которого — шпионить за получателем.

 

Кристина Жукова

Опубликовано 18 января 2019 года на сайте "Коммерсантъ"
Подробнее...
Источник: https://www.kommersant.ru/doc/3858862

 

Настоящую личность защитит ЦБ. С подменой биометрических данных будут бороться нормативно

Банк России начал работу над нормативными документами, применение которых поможет защитить граждан от мошеннического использования их биометрических данных. В частности, планируется описать порядок действий банка и его клиентов на случай негативного развития событий. Как признавал сам регулятор, это маловероятные, однако полностью не закрываемые риски.

Фото: Глеб Щелкунов / Коммерсантъ

Как стало известно “Ъ”, ЦБ начал работать над методическими рекомендациями, задача которых — обеспечение регуляторных и организационно-технических мер по недопущению мошенничества в сфере применения удаленной идентификации с использованием биометрии. Эти меры должны минимизировать риск «подмена личности», который возможен при идентификации клиентов банков с помощью ранее сданных в Единую биометрическую систему (ЕБС) образов лица и голоса. Решение о начале работы над документами было принято ЦБ в конце прошлого года по итогам стратегической сессии, на которой были отобраны 14 новых инициатив участников финансового рынка. Как сообщил “Ъ” собеседник, знакомый с позицией ЦБ, формат методических рекомендаций был принят потому, что данный документ можно выпустить достаточно оперативно и его не надо регистрировать в Минюсте.

С предложениями по минимизации рисков утечки конфиденциальной информации в процессе сбора биометрии выступило НП «Национальный платежный совет» (НПС). По словам главы НПС Алмы Обаевой, они были направлены в Банк России еще в конце весны 2018 года. В частности, среди предложений НПС было определение порядка использования биометрии в случае, когда сданные данные были скомпрометированы, в том числе и по вине самого владельца биометрических данных.

«И ЦБ, и "Ростелеком" часто отмечают, что утечка биометрии почти невозможна,— указывает Алма Обаева.— В то же время риски "кражи личности" все же есть, и потому необходим четкий, определенный в нормативном акте порядок, как в этом случае действовать банку, как действовать клиенту». Госпожа Обаева привела в пример закон «О национальной платежной системе», где четко зафиксировано, какие действия предпринимаются в случае несанкционированного списания денежных средств со счета клиента банка, и отметила, что схожий механизм нужен и для случаев получения мошенниками средств в банке на основании чужой биометрии.

Эксперты отмечают, что инициативу НПС поддерживает ФАС. «На закрытых совещаниях с ЦБ замглавы ФАС Андрей Кашеваров отмечал, что риск получение кредитов с помощью чужой биометрии необходимо учитывать и нивелировать»,— рассказывает собеседник “Ъ”, знакомый с ситуацией. Впрочем, в ФАС не комментируют эту информацию. Кроме того, на встречах представителей ЦБ с руководителями служб информационной безопасности банков часто обозначали кейс, когда мошенник приходит с поддельным паспортом и сдает биометрию вместо реального владельца, а затем уже верифицируется. При этом оборудования для выявления высококачественных подделок в банках нет. Первый заместитель главы департамента информационной безопасности ЦБ Артем Сычев ранее отмечал, что это весьма маловероятный, но не закрываемый риск. Не меньшие проблемы несет в себе и верификация клиентов, ранее сдавших биометрию. Например, мошенник может представиться сотрудником ПФР и, пообещав пенсионеру прибавку к пенсии, предложить верифицироваться по скайпу. Представители BiZone в одном из выступлений рассказывали о различных программах, которые без труда позволяют подделать лицо и голос.

Впрочем, специалисты по информбезопасности банков ждут от регулятора не только рекомендаций по юридическим вопросам взаимодействия с клиентом, но и другой конкретики. «Рынок бы хотел получить методические рекомендации, в которых ЦБ пропишет — как выявлять случаи использования поддельной биометрии, как подтверждать, что верифицирующийся человек именно тот, за кого он себя выдает, и т. д.»,— отмечает глава управления информационной безопасности ОТП-банка Сергей Чернокозинский. Что в итоговом виде войдет в методичку, пока не ясно. Как заявили в ЦБ, «вопрос находится в стадии проработки, комментарии преждевременны».

 

Вероника Горячева

Опубликовано 15 января 2019 года в газете "Коммерсантъ" №5
Подробнее...
Источник: https://www.kommersant.ru/doc/3854141

 

 

Биометрия на каникулах. Крупнейшие банки не успели обеспечить сбор данных

К 31 декабря 2018 года, по требованию Банка России, все кредитные организации должны были обеспечить сбор биометрических данных в 20% своих отделений. Однако, по оценке “Ъ”, к этому времени даже среди банков из первой двадцатки это удалось далеко не всем. Таким образом, у ЦБ есть основание выписывать предписания. Однако эксперты уверены, что санкции окажутся «точечными», причем к банкам, имеющим и другие претензии от регулятора.

Фото: Александр Миридонов / Коммерсантъ

По информации «Ростелекома» и Банка России, по состоянию на 31 декабря 2018 года не все банки обеспечили сбор биометрических данных клиентов в 20% отделений. В частности, данные, размещенные на сайте ЦБ, свидетельствуют, что лишь четыре кредитные организации (Сбербанк, Газпромбанк, Совкомбанк и Росбанк) из топ-20 по активам выполнили требование. Сбербанк, согласно информации на сайте самого банка, собирает биометрию в 2,7 тыс. из более 13 тыс. отделений. Остальные либо собирают биометрию в меньшем количестве отделений, либо не приступили к этому.


Сбор биометрических данных стартовал в банках в июле 2018 года. Исходно это происходило в 400 отделениях в 140 городах, к концу года банки должны были обеспечить сбор биометрических данных в 20% своих отделений, по оценкам первого зампреда ЦБ Ольги Скоробогатовой, по состоянию на 1 января по планам ЦБ биометрию должны были собирать в 4 тыс. отделений банков.


Впрочем, как сообщил “Ъ” собеседник в «Ростелекоме», знакомый с ситуацией, многие банки массово подключались к сбору биометрии лишь в последние дни 2018 года, поэтому информацию по ним физически не успели обновить. Например, Альфа-банк о запуске сбора биометрии в 99 отделениях сообщил лишь 28 декабря. Райффайзенбанк, по которому на сайте ЦБ указано одно отделение, сообщил в ответ на запрос “Ъ” о сборе информации в 49 отделениях. В банке «Уралсиб» заверили, что сбор биометрии стартует 9 января в 58 отделениях.

Остальные игроки из топ-20 собираются достигнуть требуемых показателей значительно позже. В частности, в Промсвязьбанке заявили, что сбор биометрии в 70 офисах (что обеспечит требуемые 20%) начнут к концу января. В ВТБ сбор пока идет лишь в двух отделениях, «20% отделений будут оборудованы данной технологией в ближайшее время». О запуске в нужном количестве отделений в «ближайшее время» или в январе также сообщили “Ъ” в МКБ, «ФК Открытие», Юникредит-банке. В остальных крупных банках не уточнили срок выполнения требований об обеспечении сбора биометрии в 20% отделений или не ответили на запрос “Ъ”.

"Понятно, что банки свою инфраструктуру будут готовить какое-то время, и мы предусмотрели эту возможность". - Ольга Скоробогатова, первый зампред Банка России, 29 июня 2018 года.
Банкиры неоднократно предупреждали регулятора о сложностях внедрения биометрии. Проблемой была чрезвычайная дороговизна оборудования (от 4 млн руб. за подключение к системе одного отделения плюс минимум 130 тыс. руб. за каждое дополнительное отделение). Кроме того, еще в конце осени не были до конца определены требования обеспечения информационной безопасности при сборе биометрии (см. “Ъ” от 29 ноября 2018 года). Банки не успевали и по срокам с госзакупками (см. “Ъ” от 10 октября 2018 года). Участники рынка, в том числе и банковские ассоциации, в официальных обращениях к регулятору предлагали различные решения, в том числе сделать сбор биометрических данных добровольным. Банк России отслеживал готовность рынка к выполнению требований по сбору биометрии (см. “Ъ” от 12 ноября), однако решения об отсрочке не принял. На запрос “Ъ” о возможных санкциях для нарушителей в ЦБ не ответили.
Вместе с тем массовых санкций на рынке не ждут. «Сам по себе процесс подключения отделений банков к Единой биометрической системе достаточно длительный, и те, кто достаточно поздно подключился к проекту, могут не успевать по объективным причинам,— отмечает руководитель дирекции биометрических технологий Почта-банка Андрей Шурыгин.— Не думаю, что им стоит опасаться серьезных санкций со стороны регулятора, особенно если речь идет о крупнейших игроках».
В то же время эксперты не исключают, что при выборе мер воздействия к игрокам, которые не обеспечили сбор биометрии, ЦБ будет исходить из ситуации в каждом конкретном банке, тем более что сбор биометрии описан в законе о противодействии легализации преступных доходов и финансировании терроризма. «Если ЦБ будет рассматривать отсутствие сбора биометрии как нарушение антиотмывочного законодательства, то для отдельных игроков, к которым у регулятора есть и другие претензии, данное нарушение может стоить лицензии»,— отмечает глава АБ «Корчаго и партнеры» Евгений Корчаго.

 

Вероника Горячева

Опубликовано 9 января 2019 года в газете "Коммерсантъ" №1
Подробнее...
Источник: www.kommersant.ru/doc/3849612

Страницы