Это интересно

Электронная подпись подвела заемщиков. К кредитам подключились неожиданные услуги

Как выяснил “Ъ”, распространение практики заключения договоров потребительского кредита с использованием простой электронной подписи вылилось в проблемы для клиентов банков. Такой подход хоть и ускоряет оформление, но в новинку для граждан и позволяет почти незаметно продавать им сопутствующие услуги, согласие на оказание которых подтверждается при помощи кода из СМС. В ЦБ призывают граждан быть внимательными и готовы реагировать на жалобы.

Фото: Олег Харсеев / Коммерсантъ

На портале «Банки.ру» появились жалобы на практику использования простой электронной подписи (ПЭП) при оформлении потребительских кредитов Почта-банком. Суть жалоб — заключение одновременно с договором кредита договоров на допуслуги, о которых заемщики не подозревали. При этом стоимость услуг включалась в тело кредита, существенно увеличивая его. При оформлении кредита с помощью ПЭП в офисе банка клиентам приходили СМС-сообщения примерно следующего содержания: «Код подтверждения 1234. Платеж "С заботой о Вас!", 3000 руб., комиссия 0 руб.». Клиенты утверждают, что сотрудники не объясняли им характер подключаемых услуг, а просили только назвать коды из приходящих СМС. В итоге граждане получали такие услуги, как «Гарантированная ставка», «Юрист-24», «Врач-24», «Личный врач», «Привет, сосед» и другие. По словам некоторых клиентов, сотрудники банка якобы утверждали, что подключение услуг обязательно.

Судя по отзывам, гражданам не предоставляли бумажных договоров с подробными условиями этих услуг. «Как раз удобно, чтобы клиенты не видели и не читали, что подписывают»,— написал в одной из жалоб клиент банка о применении электронной подписи. Почта-банк на эти отзывы ответил, что клиенты якобы были проинформированы об условиях продуктов, не уточняя, как именно (банк не ведет аудио- или видеофиксацию разговоров).

Возможность использовать простую электронную подпись при оформлении потребительских кредитов есть в Сбербанке, Альфа-банке, Московском кредитном банке, Райффайзенбанке, Ситибанке, Росбанке и ряде других. Но за последние месяцы “Ъ” не удалось обнаружить на портале «Банки.ру» и иных профильных форумах жалобы на этих участников рынка о навязывании допуслуг с применением простой электронной подписи.


"Главное — предотвращать ситуации, когда люди без разбора берут кредиты. И здесь на первый план выходит информированность граждан", - Владимир Путин, президент РФ, 19 апреля 2017 года.


В пресс-службе Почта-банка заявили “Ъ”, что оформление простой электронной подписи не отменяет предоставление клиенту бумажного договора. Без согласия клиента банк никогда не добавляет дополнительные услуги. «Приобретение страховой или любой дополнительной услуги в Почта-банке — исключительно добровольное решение заемщика»,— пояснили в банке, добавив, что позволяют отказаться и вернуть средства не только по страховым, но и по другим продуктам. В банке также действует система депремирования сотрудников за некачественную продажу, что снижает риск навязывания сервисов и услуг. «С начала 2019 года порядка 50% заемщиков оформили кредит без приобретения каких-либо дополнительных услуг, 25% покупают один дополнительный продукт и еще 25% — по два-три продукта,— отметили там.— В банке действует ограничение на продажу не более трех дополнительных продуктов одному клиенту».

Управляющий партнер «ВМ-Право и Консалтинг» Владимир Чувашов поясняет, что само по себе использование электронной цифровой подписи при заключении кредитного договора с банком является законным средством подтверждения волеизъявления сторон. «А вот что касается дополнительных предложенных банком услуг, то здесь нужно изучать каждую ситуацию отдельно»,— указывает он. В частности, по его словам, права заемщика нарушены, если ему не объяснили, что он может отказаться от допуслуг. Руководитель коммерческой практики юридической компании BMS Law Firm Денис Фролов считает, что если сотрудники банка не разъяснили клиенту условия предоставления услуг, то он должен обращаться либо в контрольные органы, либо в суд.

В ЦБ на запрос “Ъ” ответили, что, несмотря на кажущуюся простоту использования аналогов собственноручной подписи, для заключения договора потребителю необходимо очень внимательно знакомиться как с текстом подписываемых таким образом документов, так и с порядком подтверждения своей личности при подписании электронных документов, в том числе с текстом электронных сообщений (например, СМС-сообщений), направляемых кредитором. При этом там отметили, что готовы рассматривать жалобы граждан и реагировать на них.

 

Вадим Арапов, Виталий Солдатских

Опубликовано 16 мая 2019 года в газете "Коммерсантъ" №82
Подробнее...
Источник: https://www.kommersant.ru/doc/3968833

 

 

 

 

 

Мошенники приняли кадровое решение. Под атаки с подменой номера попали менеджеры банков

Сотрудники банков стали новой целью атак мошенников с подменой номера, получивших широкое распространение в 2019 году. Используя звонки от имени коллег, мошенники целенаправленно атакуют банкиров. Эксперты отмечают, что новая схема может быть эффективнее ставших уже привычными атак против обычных клиентов, поскольку звонки с номера банка его же сотруднику, как выяснилось, вызывают у него меньше подозрений.

Рисунок: Виктор Чумачев / Коммерсантъ

О новом тренде атак с использованием социальной инженерии, нацеленных на сотрудников кредитных организаций, рассказали “Ъ” в двух крупных банках. Первые атаки были зафиксированы в конце апреля и оказались удачными, поскольку звонки мошенниками совершались с номера банка (с помощью подмены). По словам собеседников “Ъ”, такая атака на сотрудника банка идет в два этапа. Сначала на мобильный телефон потенциальной жертвы поступает заведомо мошеннический звонок. «Руководителю департамента нашего банка звонили с левого номера 495, представились службой безопасности Сбербанка,— рассказывает собеседник “Ъ” в крупном банке.— Причина звонка — вход в личный кабинет в онлайн-банке с попыткой хищения 4 тыс. руб.». При этом мошенники сообщали, что ведут расследование по поручению Ассоциации банков России, что еще сильнее подчеркивало нереальность звонка. Через несколько минут потенциальная жертва получала еще один звонок, на этот раз — с телефонного номера собственного банка. «Звонивший представлялся сотрудником службы безопасности, отмечал, что звонит в связи с мошенническим звонком, подробно спрашивал, какую информацию и по каким счетам пытались выяснить злоумышленники,— рассказывает собеседник “Ъ”.— В случае с нашим коллегой повезло: он был на рабочем месте и решил проверить должность звонившего по телефонному справочнику банка». При аналогичном звонке, но заставшем потенциальную жертву в дороге и далеко от компьютера, мошенникам удалось убедить предоставить данные карт, в результате похищено было порядка 800 тыс. руб.

Специалисты по информационной безопасности уверены, что мошеннические действия против сотрудников банка могут быть даже более эффективными, чем против обычных клиентов. «Схема с точки зрения жертвы весьма правдоподобная, звонок собственной службы безопасности ожидаем после мошеннического звонка,— отмечает начальник отдела по противодействию мошенничеству ЦПСБ "Инфосистемы Джет" Алексей Сизов.— Тот факт, что злоумышленники используют телефонный номер самого банка, еще больше усиливает доверие». По словам главы департамента информационной безопасности ОТП-банка Сергея Чернокозинского, звонок на мобильный номер от коллег в рабочее время должен насторожить потенциальную жертву (чаще для подобных коммуникаций используются внутренние телефоны), однако звонок на мобильный в нерабочее время или же когда человека нет на месте вполне объясним и может вызвать доверие. По словам начальника управления режима информационной безопасности департамента защиты информации Газпромбанка Алексея Плешкова, данная атака относится к классу «многозвенных», они сравнительно недавно пришли на смену типовым линейным схемам. Чаще всего такие «двухходовки» рассчитаны на то, что если жертва не поверит в первый звонок, то следующий звонок якобы с номера банка может быть эффективным.

В известных случаях мошенники были нацелены на сотрудников банков, занимавших руководящие позиции. Однако эксперты уверены, что больше шансов у злоумышленников с рядовыми работниками. «Вероятность того, что мошенникам удастся обмануть руководителя, значительно ниже. Скорее у них получится обмануть начинающего неопытного сотрудника»,— отмечают в «ФК Открытие». По словам директора департамента информационной безопасности МКБ Вячеслава Касимова, риск того, что сотрудник банка поверит «доверенному» звонку от коллег, есть, но насколько он велик, зависит от обучения сотрудников банка. По словам зампреда правления банка «Ренессанс Кредит» Сергея Королева, важна и квалификация самих мошенников, их способ психологического воздействия на потенциальную жертву. «Цыганам порой удается выманить деньги у разумных, мыслящих людей,— рассуждает он.— И потому я допускаю, что даже грамотный и опытный сотрудник банка под психологическим воздействием сообщит мошенникам информацию, которую, он точно знает, сообщать нельзя никому и никогда».

По словам Алексея Сизова, не исключено, что при подобных атаках злоумышленники будут действовать прицельно против сотрудников конкретного банка, возможно, с упоминанием имен реальных «безопасников» или с подменой внутренних номеров телефонов. В «ФК Открытие» добавляют, что не исключен факт использования инсайдерской информации из банка о сотрудниках: ФИО, телефоны, остатки на счетах. «В подобной ситуации сотрудники службы безопасности банка должны довести до своих сотрудников порядок взаимодействия с ними в случае несанкционированных операций по их счетам, кто кому и по каким телефонам может позвонить»,— отмечает Алексей Сизов.

 

Вероника Горячева

Опубликовано 7 мая 2019 года в газете "Коммерсантъ" №78
Подробнее...
Источник: https://www.kommersant.ru/doc/3962504

 

 

Троянская конница. Хакерские рассылки разлетаются из банков по клиентам

В 2019 году хакеры будут активно использовать реализованную в конце 2018 году схему, когда взлом одного банка позволяет успешно атаковать его контрагентов, отмечают в Solar JSOC. При этом хакеры унифицируют свои инструменты — уже сейчас банки и их контрагенты атакуются при помощи единых фишинговых рассылок с одинаковыми вирусами. В банках разделяют данные опасения, отмечая, что теперь им придется тщательно защищать всю сеть своих коммуникаций.

Фото: Евгений Павленко / Коммерсантъ

Прогноз экспертов по информационной безопасности на 2019 год неутешительный. Директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков отмечает, что рост количества атак на компании в этом году сохранится. «Высока вероятность возникновения атак, подобных тем, что производились в отношении некоторых платежных систем в 2018 году»,— отметил господин Дрюков. В конце прошлого года был громкий инцидент, когда злоумышленникам удалось взломать банк «Юнистрим», получить контроль над его почтовым сервером, и в итоге вредоносные рассылки от его имени пошли по контрагентам банка. Для отдельных игроков подобные «дружественные» письма обернулись хищением денежных средств (см. “Ъ” от 21 декабря 2018 года). Те же опасения высказал и директор экспертного центра безопасности Positive Technologies Алексей Новиков. «Мы прогнозируем, что в этом году злоумышленники продолжат атаковать слабо защищенные компании для проведения атаки на конечную цель, в зоне риска находятся компании из тех областей, где уровень защищенности пока не очень высок: сфера услуг, образование, медицина или розничная торговля»,— отметил он.


В 2018 году на 19% возросло количество критичных инцидентов, в том числе и тех, что позволяют похитить более 1 млн руб. Это самый высокий показатель начиная с 2015 года, отмечается в аналитическом отчете Solar JSOC.


По словам Алексея Новикова, рост критичных инцидентов коррелирует с общим ростом атак. По итогам прошлого года их число увеличилось почти на треть, при этом доля целенаправленных атак в общем объеме превысила половину, что очень отличается от реалий последних лет.

При этом в 2018 году, как отмечается в отчете Solar JSOC, хакеры при атаках на корпоративных клиентов использовали те же средства, что и при атаках на кредитные организации.


"Хакеры не менее опасны, чем вооруженные преступники", - Герман Греф, глава Сбербанка, на Международном конгрессе по кибербезопасности 6 июля 2018 года.


Одинаковые фишинговые письма с вредоносом выявляли в банках, энергетических и промышленных предприятиях. Всего же при сложных целевых атаках на компании фишинг использовался в 70% случаев, тогда как в 2017 году — лишь в 54% случаях. «Банки традиционно более защищены — их чаще атакуют, и потому у них выше готовность к попыткам взлома, плюс есть достаточно жесткие требования регулятора,— отмечает руководитель лаборатории практического анализа защищенности "Инфосистемы Джет" Лука Сафонов.— Другие компании в среднем защищены слабее, и потому эффективность тех же фишинговых рассылок может быть выше в небанковской сфере».

Тренд единых атак на банки и их клиентов активно начал проявляться во втором полугодии 2018 года. Именно в этот период, отмечается в отчете, сменился «лидер» среди вредоносов для фишинговых рассылок — «корпоративный» троян Dimnie уступил место банковскому трояну RTM. Единый подход, судя по цифрам, уже принес свои плоды. Так, в 2018 году компании были атакованы на 89% чаще, чем в 2017 году, причем во втором полугодии отмечался резкий рост атак с целью хищения денежных средств (на 37% по сравнению с первым полугодием). По данным ФинЦЕРТ ЦБ, из 6,15 тыс. несанкционированных трансакций, зафиксированных в целом за 2018 год, 5,7 тыс. операций пришлось на второе полугодие, причем 4,8 тыс. из них — на четвертый квартал. При этом, по данным Solar JSOC, во втором полугодии хакеры атаковали компании не только для вывода у них средств — на 20% также возросли атаки, направленные на получение контроля над инфраструктурой жертвы.


Эксперты не исключают, что при атаках на компании конечной целью может быть именно банк.


«Вероятен взлом контрагента банка с целью далее атаковать кредитную организацию»,— отмечает Лука Сафонов. И кредитные организации весьма опасаются таких перспектив. «Банки неплохо защищены против традиционных атак, потому злоумышленникам приходится использовать доверенные источники доставки вредоноса: подрядчиков, деловых партнеров,— отмечает глава департамента информационной безопасности ОТП-банка Сергей Чернокозинский. — Вектор атак, скорее всего, действительно пойдет через доверенных контрагентов, и потому банкам придется защищать всю сеть своих коммуникаций».

 

Вероника Горячева

Опубликовано 25 апреля 2019 года в газете "Коммерсантъ" №74
Подробнее...
Источник: https://www.kommersant.ru/doc/3954826

 

 

Корпоративные клиенты оказались под угрозой. Хакеры стали активнее атаковать клиентов банков

Рост атак на корпоративных клиентов банков в 2018 году составил 89%, отмечается в аналитическом отчете Solar JSOC. При этом в исследовании указывается, что особенно активизировались злоумышленники во втором полугодии — число направленных на хищение средств атак выросло по сравнению с первой половиной года на 38%.

Фото: Mauritz Antin / EPA / Vostock Photo

Количество атак на корпоративных клиентов банков, целью которых был взлом инфраструктуры банка и хищение средств клиентов через банк-клиент выросло во втором полугодии 2018 года по сравнению с первым полугодием на 38%, отмечают в своем аналитическом отчете специалисты Solar JSOC.


Всего же экспертами было зафиксировано свыше 765 тыс. компьютерных атак в прошлом году, что на 89% больше, чем годом ранее.


При этом доля критических инцидентов (то есть тех, благодаря которым компания могла потерять от 1 млн руб.), которые могли привести (или приводили) к выводу средств, выросла до 19%. То есть достигла самого высокого значения с 2015 года.

При атаках на клиентов банков, как и на сами кредитные организации, часто использовался фишинг. По данным Solar JSOC, около 70% сложных целенаправленных атак начинается с фишинга. В среднем каждый седьмой пользователь, не прошедший курсы повышения осведомленности, поддавался на социальную инженерию.

Во второй половине 2018 года количество атак, направленных на получение контроля над инфраструктурой, выросло на 20%.

 

Вероника Горячева

Опубликовано 24 апреля 2019 года на сайте "Коммерсантъ"
Подробнее...
Источник: https://www.kommersant.ru/doc/3954493

Мошенники оборвали банкам телефон. Звонки клиентам с подмененных номеров стали массовыми

Резкий рост мошеннических звонков клиентам якобы от банков с использованием технологии подмены номера зафиксировал ряд крупных кредитных организаций. У отдельных банков активность мошенников возросла в десятки раз. В банках указывают, что операторы связи недостаточно эффективно выявляют и блокируют подобные схемы. На данный момент решение проблемы вышло на уровень ЦБ, который намерен бороться с подменными номерами всеобщими усилиями.

Рисунок: Виктор Чумачев / Коммерсантъ

О том, что на прошлой неделе резко активизировались мошенники, звонящие с телефонов кредитных организаций (звонки с подменой номера) клиентам, рассказали “Ъ” несколько источников в крупных банках. Для клиента это выглядит как звонок банка: входящий номер принадлежит кредитной организации, представитель которой сообщает о попытке несанкционированной операции, далее выманиваются данные карты, происходит хищение. В январе подобным атакам, причем с использованием сложнейшей социальной инженерии, подверглись клиенты Сбербанка (см. “Ъ” от 30 января). «Если ранее у нас было одно-два сообщения в колл-центр о мошеннических звонках, то буквально с 18 февраля их количество возросло в десятки раз»,— отметил собеседник “Ъ”. «Мы видим явную активизацию злоумышленников начиная с середины недели»,— отметили в другом крупном банке. При этом, по словам другого собеседника “Ъ”, мошеннические звонки поступают не только клиентам, но и в колл-центры банков с подменой номеров клиентов. «Если система пропускает такой звонок, то злоумышленник может узнать баланс по карте, последние операции и т. д., чтобы использовать эти данные для более убедительной социальной инженерии, делая ее более эффективной»,— добавляет он.

Официальные предостережения об участившихся случаях мошенничества с запросами от имени банка для своих клиентов сделали Юникредит-банк и Райффайзенбанк. «Мы фиксируем определенный рост активности мошенников,— отметил руководитель отдела информационной безопасности Райффайзенбанка Денис Камзеев.— Мы даем клиентам рекомендации по безопасному использованию наших сервисов… и регулярно делаем рассылки, если появляется необходимость, информируем клиентов дополнительно».

В Банке России сообщили “Ъ”, что в курсе активизации мошенничеств с использованием технологии подмены номера. Решение проблемы требует как технической, так и юридической проработки, сейчас регулятор ведет консультации с банками, а также планирует привлечь к обсуждению операторов связи и Минкомсвязь, уточнили там.


"Проблема понятна, она на самом деле гораздо глубже, чем такой поверхностный взгляд, что надо взять и запретить... Это очень сложная работа с операторами связи и профильными министерствами". - Артем Сычев, замдиректора департамента информационной безопасности ЦБ, 19 февраля.


Проблема мошеннических атак на клиентов банков с подменных номеров обсуждалась и на Уральском форуме. В ходе круглого стола представители Сбербанка, ВТБ и банка «Санкт-Петербург» отметили, что их банки столкнулись с данной проблемой. Глава департамента информбезопасности банка «Санкт-Петербург» Анатолий Скородумов отметил, что операторам связи необходимо блокировать подобные звонки с подменой номера. В ходе дискуссии отмечалось, что подобные проблемы есть у «Билайна» и МТС, имеющей также наземную и мобильную связь, участниками было отмечено отсутствие подобных кейсов по «МегаФону».

Директор дирекции по информационной безопасности ПАО «Вымпелком» (бренд «Билайн») Александр Голубев сообщил, что проблема вызова, инициированного в их сети с подстановкой номера, существует. В настоящее время решение этой задачи происходит в ручном режиме, им занимаются коллеги специализированного подразделения компании.

Глава ФинЦЕРТ (подразделение ЦБ, отвечает за кибербезопасность) Артем Калашников отметил, что данную проблему необходимо решать общими усилиями. По его словам, технические ресурсы есть у операторов связи, у правоохранительных органов, у ЦБ.

«Недостаточно бороться с проблемой подмены номеров в ручном режиме — надо технически объединить усилия,— считает господин Калашников.— Тут главное — скорость реакции: банк видит проблему, сообщает в АСОИ (автоматизированная система обмена информацией), дальше оператору, но если сейчас оператор после "принято в работу" может тянуть неделю, то тут и операторы связи должны действовать оперативно».

Впрочем, вне закрытых встреч с участниками рынка и представителями ЦБ операторы связи предпочитают отрицать наличие проблемы. Например, в ответе на запрос “Ъ” в МТС сообщили, что в сети компании создание подменных номеров невозможно, в случае же внешних угроз попытки оперативно блокируются в круглосуточном режиме. «Теле2» и «МегаФон» на запрос “Ъ” не ответили. В «Вымпелкоме» отметили, что в среднем блокируют несколько тысяч звонков с подменными номерами в день, роста звонков в последнюю неделю не наблюдают.

Пока же решение проблемы подменных номеров не найдено, клиенты банков должны сохранять бдительность: украденные подобным образом средства не вернуть. Банк при несанкционированном списании средств физлиц обязан возместить клиенту потерю, но лишь в случае, когда тот не нарушил правил пользования картой. Однако вся суть подобного мошенничества — выманить у клиента те самые сведения, которые никому нельзя сообщать, то есть вынудить нарушить правила.

 

Вероника Горячева, Владислав Новый

Опубликовано 25 февраля 2019 года в газете "Коммерсантъ" №33
Подробнее...
Источник: https://www.kommersant.ru/doc/3894264

 

Страницы