Банк России борется с социальной инженерией при помощи отправления информации для блокировок телефонных номеров и фишинговых сайтов. Какие, на ваш взгляд, дополнительные технические и иные меры мог бы ЦБ взять на вооружение?

Артем Калашников, независимый эксперт (экс-начальник ФинЦЕРТ Банка России)

— Противодействие социальной инженерии требует сознательного участия всех сторон этого процесса: государство, финансовые организации, пользователи финансовых услуг. Но, по моему мнению, в этой цепочке появляется еще один участник — оператор связи.

Недавно мы с коллегой, тоже тесно связанным с финансовой сферой, обсуждали тему социальной инженерии. Родилась идея: учитывая, что в колл-центрах нечасто меняется состав операторов, которые звонят гражданам, то почему бы не попробовать инструмент записи голосов. Понятно, что это потребует определенных ресурсов, но оборудование по «закону Яровой» уже частично есть. Записывать голоса избирательно, по подтвержденным номерам мошенничества. Собрав базу, можно будет уже на стадии оператора связи (можно использовать ИИ и нейросети) помечать звонки. Такая инициатива помечать подозрительные звонки уже прорабатывалась и ЦБ, и озвучивалась в рамках мероприятий по линии операторов связи. Очень помогло бы в этом вопросе участие Минцифры. Исключить при таких мероприятиях мошеннические звонки совсем нельзя, но сократить еще на стадии оператора можно.

Алексей Лукацкий, бизнес-консультант по безопасности

— Я не верю в способность любого регулятора бороться с мошенничеством. Слишком много бюрократии, которая отсутствует у киберпреступников. Кроме того, все упомянутые попытки не входят в сферу компетенции Банка России, в отличие от Минцифры или Роскомнадзора, которые ближе к теме «цифры» и могут влиять на операторов связи и интернет-провайдеров быстрее и эффективнее. Но и они тоже являются бюрократическими машинами со всеми их недостатками. Гораздо эффективнее, хотя и дольше, проводить комплекс мероприятий, начинающийся с повышения осведомленности граждан, регулярно обновляя их знания о методах мошенников, а также включающий технические меры защиты от подмены номера (насколько это возможно).

Тимур Аитов, член Совета ТПП РФ по финансово-промышленной и инвестиционной политике

Социальная инженерия — это бич сегодняшнего дня. Контакту злоумышленников со своей жертвой можно препятствовать разными способами, но преступники изобретательны. Коль скоро мошеннику удается преодолеть технологические заслоны, жертва в непосредственном контакте всякий раз ему демонстрирует, что является самым слабым звеном. Уверен, основные усилия нужно по-прежнему направлять на профилактику и разъяснения. Потому что до сих пор, что бы мы ни говорили («Бросайте трубку», «Не отвечайте на звонки — никто из службы безопасности банков не звонит»), все равно есть определенный контингент клиентов банков, очень сильно подверженных влиянию злоумышленников, которые действуют, как гипнотизеры, по крайней мере как тонкие психологи, и, увы, просветительские меры оказываются бессильными. Но все равно: нужно разъяснять, показывать и не сбавлять темпа в этом направлении. Это основное в противодействии социальной инженерии сегодня.

Упомяну в этой связи и финансовый патронаж (попечительство) — когда клиент, находящийся в зоне риска, подает заявление о необходимости согласования всех транзакций с определенным попечителем, сегодня это действенное средство для многих. Что же касается «засвеченных» номеров, ЦБ делал попытки их собирать вместе с Роскомнадзором, но без особого успеха.

Андрей Курило, советник вице-президента ФБК по информационной безопасности

Мошенники располагают большой, весьма точной и регулярно пополняемой базой данных на клиентов банков. Следует исходить из того, что эта информация будет у мошенников всегда. Наиболее распространенный способ звонков мошенников жертве — подмена номера. При этом все равно —внутренний звонок или международный. Это мешает идентифицировать настоящий номер мошенника и соответственно заблокировать его еще на уровне оператора связи. Если удастся решить эту задачу, борьба с телефонным мошенничеством на порядок облегчится.

Об остальных мерах Банк России уже сказал. Например, предлагается изменить порядок возврата похищенных денежных средств, ввести период «охлаждения» и механизм отключения ДБО дропам, наладить обмен с МВД, ввести механизм самоограничения онлайн-операций.

На мой взгляд, нужно работать над образованием населения, причем учить его не компьютерной грамотности, как это сейчас планируется (это бессмысленно), а трем вещам:

• быстрому распознаванию мошенника в субъекте, звонящем из «технического отдела Сбербанка», «полиции», «МВД» или «прокуратуры»;
• последующему категорическому отказу от общения;
• контрольному звонку в банк или проверке работы личного приложения «Онлайн банк».

Анастасия Харыбина, председатель Ассоциации АБИСС

Если говорить о мерах, которые может сейчас предпринять Банк России для борьбы с социальной инженерией, необходимо упомянуть о предложенных в качестве законодательной инициативы Комитетом по финансовому рынку Государственной думы изменениях в 161-ФЗ «О национальной платежной системе». В документе, в частности, предлагается возвращать денежные средства клиенту — физическому лицу в полном объеме, если банк, осуществляющий перевод, получил от Банка России информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиентов. В этом случае перевод будет считаться исполненным в нарушение требований по противодействию переводам денежных средств без согласия клиента и должен быть возвращен.

Кроме того, поправки в 161-ФЗ предусматривают ответственность не только банка-отправителя, но и банка-получателя, который должен осуществлять проверку операций на признаки мошенничества, сверяясь с упомянутой выше базой данных переводов без согласия клиентов, которую ведет Банк России.

Также в качестве меры противодействия социальной инженерии предлагается разрешить банкам не принимать к исполнению распоряжения по мошенническим (на основании данных из базы) операциям в течение двух дней, несмотря на согласие клиента. Обычно в течение этого времени клиент осознает, что был обманут, и отзывает платеж.

К сожалению, применение технических мер по борьбе с социнженерией дает незначительный эффект. На государственном уровне необходимо осуществлять образовательные программы для подрастающего поколения, вести информационную работу в области кибербезопасности с людьми среднего и старшего возраста, используя понятный язык и простые каналы информирования. Защиту персональных данных нужно поднимать на уровень значимой ценности для общества. Это длительная и планомерная работа.

Владимир Ульянов, руководитель аналитического центра компании Zecurion

Помимо блокировки телефонных номеров и фишинговых сайтов я бы рекомендовал большее внимание уделить контролю утечки конфиденциальных данных как из кредитных, так и из сторонних организаций. Именно эта информация о потенциальных жертвах позволяет мошенникам успешно обманывать людей. Сведения, которыми располагают злоумышленники, вызывают высокий уровень доверия к их сообщениям, и поэтому жертвы выдают нужную информацию или совершают опрометчивые действия. Необходимо активно бороться с первоисточником проблем — утечками через сотрудников организаций.

Сергей Парфенов, технический директор «Фаззи Лоджик Лабс»

Сегодня популярны решения, направленные на идентификацию пользователя, его устройств и выявление «аномальных» действий при совершении финансовых операций. Например, современные системы антифрода позволяют определять такие параметры устройства, как «наличие активного звонка» (выполнение операции «под давлением») или «наличие сессии удаленного управления» в момент выполнения операции.

Если при этом система антифрода является кросс-канальной, то можно отследить цепочку мошеннических действий в разных каналах обслуживания: и в мобильном банке, и в ДБО, и в платежных терминалах.

Федор Музалевский, директор технического департамента RTM Group

По нашему мнению, для эффективного снижения числа успешных атак по телефону необходимо не блокировать отдельные номера (поскольку злоумышленники постоянно меняют их), а ввести так называемые белые списки номеров и провайдеров (когда звонки смогут осуществлять только авторизованные организации и абоненты). Конечно, это серьезный шаг и ограничительная мера, поэтому ЦБ не сможет самостоятельно решить вопрос. Здесь нужна всесторонняя поддержка властей. И не факт, что пользователи не будут против. Тем не менее в условиях, когда граждане и сотрудники организаций не реагируют на информационные оповещения и обучающий контент по противодействию телефонным мошенникам, этот вариант представляется единственно эффективным.

Следует отметить, что по нашим данным (из обращений пострадавших в RTM Group) на долю телефонного мошенничества приходится более 75% хищений в банковском секторе за последние несколько месяцев. Поэтому данное направление должно быть приоритетным в борьбе со злоумышленниками. Первый шаг был сделан несколько лет назад, когда СИМ-карты начали продавать только по паспортам. Хотя мера была направлена против терроризма, но по банковским мошенникам ударила более чем серьезно.

Банк России в своих инициативах по борьбе с мошенничеством упоминает об отключении каналов ДБО дропперам. Как это возможно с технической и юридической точек зрения? Какие существуют мнения, о недопущении снятия дропперами денег из банкоматов и т.д.?

Артем Калашников, независимый эксперт (экс-начальник ФинЦЕРТ Банка России)

Если рассмотреть другую сторону этого процесса — атакующих и дропперов, то тут нет 100%-ной гарантии эффективности. Отключить обслуживание дропперу технически и юридически несложно — это такой же клиент финансовой организации. Часть дропперов легко распознать, и за долгое время совместной работы регулятора и финансовых организаций этому научились. Но среди мошенников тоже есть неглупые люди. Счета открыты давно, операционная деятельность по ним ведется, обороты есть. Так просто их не распознать. Но при возникновении подозрения организация имеет право, применить ряд мер (они сейчас и законодательно прописаны), которые если не исключат, то уже точно усложнят работу таким товарищам. Я лично в последнее время сталкиваюсь с очень толковыми «операторами», которые владеют и терминологией, и знанием технологий. Но в беседе все равно есть огрехи, и по ним можно распознать мошенников.

Алексей Лукацкий, бизнес-консультант по безопасности

Если речь идет о дропперах, которые используют зарегистрированные на них каналы ДБО, то отключить их несложно в рамках действующих нормативных актов Банка России. Например, можно заблокировать IP-адрес или просто заблокировать доступ определенной учетной записи. Вопрос только в том, как оперативно выявлять дропперов и сообщать о них всем кредитным организациям, которые должны будут оперативно внедрять полученные данные в свои системы борьбы с мошенничеством. Для этого нужно работать с отраслью, с банками, выстраивая доверительные отношения, чего сейчас не наблюдается — Банк России превратился больше в надзирательно-карательный орган.

Тимур Аитов, член Совета ТПП РФ по финансово-промышленной и инвестиционной политике

Отключить канал клиента технически легко, но с юридической точки зрения возникает масса вопросов: кто признал клиента дроппером, какие признаки учитывать при этом? Хотя банковские специалисты ИБ легко распознают «спящих» клиентов, внезапно начинающих скачивать огромные суммы денег со своих счетов, могут попасть под блокировки, понести ощутимый ущерб и честные клиенты — и здесь, конечно, возможны разные варианты развития событий, особенно если ущерб оказался значительным. Например, клиент при этом потерял какую-то важную сделку. В целом, процедура блокировки дропперов не кажется мне достаточно простой и очевидной, она требует обсуждения. Если дроппером было ошибочно признано невиновное лицо, кто и как будет ему возмещать ущерб? Таких вопросов много.

Андрей Курило, советник вице-президента ФБК по информационной безопасности

Этот вопрос носит прежде всего правовой характер. Чтобы применять к дропперу какие-либо меры правового характера, следует, как говорят специалисты в области уголовного права, «криминализировать» это деяние, то есть признать дропперство правонарушением, а то и преступлением.

Тогда становится возможным отключать ДБО таким лицам и блокировать карточные счета, которые зафиксированы как дропперские. Насколько известно, этот вопрос сейчас прорабатывается по инициативе МВД.

Сергей Парфенов, технический директор «Фаззи Лоджик Лабс»

Любое действие вызывает противодействие с точки зрения известных законов физики. В данном случае можно будет ожидать появления новых мошеннических схем в альтернативных каналах банковского обслуживания.

Федор Музалевский, директор технического департамента RTM Group

Отключение каналов ДБО дроперам на практике предполагает, что будут блокироваться операции (через интернет-банк или банкоматы), которые выглядят подозрительными (из-за особенности самих действий — например, поступление одинаковых сумм с одного счета или крупных сумм с разных счетов, или если сведения о лицах, которые их производят, содержатся в базе данных о переводах денежных средств без согласия клиентов). Для подтверждения таких операций клиенты должны будут являться в отделение банка. Эта мера выглядит вполне логичной, поскольку важным фактором при хищениях является время. Если дроппер не сможет быстро снять деньги, то их, скорее всего, не получится снять в принципе. Нередко бывает, что карты оформлены на одних лиц, а снимают другие, и, даже если снимают владельцы, то явка в банк при массовом хищении (когда используется много карт и счетов) займет минимум несколько дней. Плюс ко всему для жуликов физическая явка в банк — это большой риск, так как они не смогут потом в ходе возможного расследования утверждать, что карта была потеряна, например. И тогда им грозит совсем другая ответственность.

Ничего особо нового в этом решении нет, поскольку банки и так блокируют операции ДБО при любых подозрениях, не только в хищении. Однако требование лично явиться в банк для разблокировки может ударить по россиянам, временно или постоянно проживающим за рубежом. Ведь нередко под подозрительные операции попадает отправка подряд одинаковых сумм, которую вполне может совершить обычный клиент. Как действовать в случае, если счет заблокируют и потребуют явиться в отделение банка невинным людям, находящимся вне страны, пока непонятно.

В рамках инициативы ЦБ по самоограничению онлайн-операций клиентами предполагается идентификация всех устройств, используемых для онлайн-операций. Что, по вашему мнению, скрывается за этим заявлением? Где и как будет храниться информация и как будет защищена?

Артем Калашников, независимый эксперт (экс-начальник ФинЦЕРТ Банка России)

— Электронный слепок устройства — недешевое удовольствие, и не все организации могут себе это позволить. Но инструмент тоже эффектный. Вообще, если все грамотно собрать в комплексе (а в ЦБ эти наработки есть) и привлечь несколько продвинутых в этом вопросе компаний и ФОИВ, все получится очень эффективно.

Нас вовлекают в непростой процесс выстраивания технологии противодействия. Ибо мошенники действуют методами, основанными на психологии человеческих страстей, а мы вынуждены противостоять целой системой технических и технологических эффективных мер. Это постоянный вызов для нас всех.

Алексей Лукацкий, бизнес-консультант по безопасности

Любое устройство может быть профилировано, то есть могут быть определены его параметры, которые затем могут быть добавлены в карточку клиента, и любые отклонения от них могут рассматриваться как аномалии с последующей реакцией банка. Можно сделать это прозрачно для клиента, и сейчас уже такие требования есть в нормативных актах Банка России. Каких-либо подводных камней тут не предвидится, если сделать все правильно. Клиенты финансовых организаций этого просто не заметят, но при смене устройства, с которого осуществляется доступ к личному кабинету в ДБО, может быть запущена дополнительная процедура проверки подлинности, чтобы убедиться, что речь идет не о мошенничестве.

Тимур Аитов, член Совета ТПП РФ по финансово-промышленной и инвестиционной политике

С одной стороны, детальную идентификацию устройств клиента следует приветствовать, потому что она затруднит жизнь злоумышленников, позволит четче определять подозрительные транзакции. Но в число подозрительных могут попасть и обычные транзакции честных клиентов, например, когда кто-то использует мобильный телефон коллеги, чтобы оплатить проход в метро. Тут же его счет может быть заблокирован, а клиенту, утрирую, придется пояснять, на каком основании и с кем он находился в этот момент. Так что надо просмотреть все то, что связано с «вмешательством в личную жизнь». Наверное, правильно, если идентификация устройств будет производиться по просьбе клиента как опция. И если уже не заниматься «заплатками», а говорить об идентификации системно, я бы подумал о создании единой национальной инфраструктуры (платформы) защищенных коммуникаций уже с самой надежной идентификацией всех ее участников. Вопрос будет полностью закрыт. Как именно это сделать — отдельный вопрос.

P.S. Возможно, создать национальную социальную сеть (НСС) со строгой регистрацией корпоративных и иных участников и всех их представителей.

Андрей Курило, советник вице-президента ФБК по информационной безопасности

Полагаю, что это правильная мера. Процедура самоограничения операций подводит клиента к необходимости заблаговременно осмыслить свои действия, в том числе и с учетом возможных мошеннических атак с использованием механизмов социальной инженерии. Это может его защитить при непосредственной атаке, когда человек находится под психологическим давлением искушенного и циничного жулика.

Что касается идентификации всех устройств, с которых совершаются онлайн-операции, то это, на мой взгляд, эффективная мера, направленная на борьбу с технологией подмены сим-карт мошенниками. Самый удобный вариант — регистрация устройства по MAC-адресу, который остается неизменяемым и широко используется в настоящее время. Этот учет несколько усложнит жизнь хозяина гаджета при смене телефона и замене сим-карты, но безопасность денежных средств стоит того. Думаю, что рядовые пользователи эту понятную меру быстро поймут и оценят.

О хранении этих данных беспокоиться не стоит. Аналогичные технологии безопасного хранения паролей и пинов давно отработаны. Никто не хранит их в открытом виде, хранят их хеши, например. Но некоторая доработка самих онлайн-приложений, видимо, потребуется. 

Анастасия Харыбина, председатель Ассоциации АБИСС

Как раз на этой неделе заканчивается голосование в Техническом комитете № 122 — «Безопасность финансовых (банковских) операций» (ПК1) по проекту Стандарта Банка России по обеспечению безопасности финансовых сервисов при помощи технологии цифровых отпечатков устройств. Новый стандарт призван снизить риски ИБ, возникающие при дистанционном предоставлении финансовых услуг пользователям. Стандарт описывает методы формирования и обработки цифровых отпечатков устройств, рекомендации по их хранению и применению. У экспертов финансового рынка и сферы ИБ еще есть немного времени, чтобы внести свои предложения по улучшению документа.

Эксперты Ассоциации АБИСС со своей стороны подготовили ряд улучшений в проект Стандарта о цифровых отпечатках. В частности, нам видится, что было бы полезно включить в документ описание процессов модификации и удаления цифровых отпечатков на случай, если, к примеру, клиент меняет комплектующие устройства или отпечаток по какой-то причине становится нелегитимным. Кроме того, мы рекомендуем включить в стандарт требования к параметрам программных продуктов, которые будут использовать участники финансового рынка в процессе сбора и хранения цифровых отпечатков, и разъяснить, понадобится ли поставщикам такого ПО вновь проходить аудит по ОУД4 (Оценочный уровень доверия).

Владимир Ульянов, руководитель аналитического центра компании Zecurion

Речь идет о том, чтобы «узнавать» устройства пользователей, например личный смартфон или домашний компьютер. Инициативу можно расценить двояко. В некоторых случаях это может быть полезно, ведь многие люди действительно часто используют одни и те же устройства для совершения операций ДБО. С другой стороны, клиенты могут целенаправленно использовать инструменты безопасности, которые затрудняют идентификацию устройств. Главное, чтобы инициатива была опциональной, а клиенты банка могли сами выбрать подходящий им профиль безопасности, в идеале — настраивать его. Идентификация устройства может быть дополнительным, но не основным фактором безопасности. Пользователь должен иметь возможность выбирать те факторы, которые ему подходят. Пароли, идентификаторы, одноразовые коды, ограничения — это должен быть осознанный выбор человека, а не жесткий единый для всех регламент, который и злоумышленникам легче будет обойти.

Вячеслав Железняков, директор по развитию бизнеса SolidLab

Некоторым людям, не являющимся специалистами в этом вопросе, поначалу может показаться, что это какая-то атака на приватность их данных, но на самом деле дополнительных рисков для клиентов банков подобная инициатива не несет — наоборот, она может помочь защитить их операции с технической и юридической точек зрения.

Банки и так обязаны идентифицировать клиента при совершении банковских операций, что требует хранения его персональных данных, а идентификация пользовательского устройства — это всего лишь еще один технический способ подтверждения, что операция выполняется именно клиентом, а не злоумышленником от имени клиента.

Более того, этот механизм де-факто уже давно используется на многих интернет-ресурсах и в мобильных приложениях, в том числе в системах ДБО, для защиты данных пользователей, предотвращения онлайн-мошенничества, блокирования вредоносных ботов и расследования инцидентов. И так называемая привязка устройства является одним из общепринятых подходов для защиты онлайн-сервисов во всем мире. Устройство часто «привязывают» путем отправки СМС или push-уведомлений, а также получая «отпечаток» (fingerprint) устройства, который формируется на основе технических данных о нем (включая криптографические возможности устройства).

Пользователи постоянно сталкиваются с работой систем защиты на основе идентификации устройств при выполнении аутентификации в личных кабинетах, социальных сетях, системах электронной почты, на портале госуслуг и т.п.

Законодательное закрепление этой полезной практики, с одной стороны, обеспечит ее выполнение всеми кредитно-финансовыми организациями без исключения, а с другой — переведет понятия пользовательского устройства и операций, совершаемых с использованием устройства, в юридическую плоскость. Это, например, позволит клиентам разрешать определенные действия в ДБО только с определенных устройств, для чего в соответствии с идеей самоограничения онлайн-операций может потребоваться заявление и визит в офис банка. В то же время безопасное хранение и использование данных о пользовательских устройствах, как и любых других персональных данных, регулируется законодательством и должно обеспечиваться соответствующими техническими и организационными мерами, а сам механизм идентификации клиентских устройств должен быть корректно реализован в банковском приложении — не должен иметь уязвимостей, которые может использовать злоумышленник для обхода мер защиты.

Сергей Парфенов, технический директор «Фаззи Лоджик Лабс»

На наш взгляд, здесь информацию об устройствах нужно рассматривать в контексте конкретной области их применения. То есть необходимо четко ограничивать состав данных, цель обработки и сроки. Это позволит говорить

о том, как эта информация должна защищаться. «Пострадавшая» сторона — граждане, которые могут оказаться своеобразными «заложниками» в случае утечки таких данных у организаций, которые эти данные хранят и используют.

Федор Музалевский, директор технического департамента RTM Group

Самоограничение онлайн-операций напрямую не связано с идентификацией устройств клиента. Это разные нормативы. Причем идентификация уже обязательна (изменения к 683-П опубликованы в июне). Трудности при идентификации коснутся в первую очередь устройств Apple — айфоны не позволяют приложению получить идентификатор устройства для соблюдения конфиденциальности владельца (и потенциального злоумышленника тоже). Хранить же данные по идентификаторам предполагается на серверах банков, передавая при этом в ЦБ сведения об устройствах, с которых были совершены хищения или их попытки.

Самоограничение, вероятнее всего, не будет популярно среди граждан, поскольку похожие механизмы уже реализованы отдельными банками и не применяются клиентами. Вопрос психологического порога — ограничивать себя готовы те, кто достаточно мнителен, но эта категория пользователей и так наименее подвержена атакам. Те же, кто легкомысленно относится к безопасности переводов, устанавливать ограничения не станут, поскольку всегда думают что-то вроде: «А вдруг мне надо будет перевести больше», или «Да кому нужен мой счет, у меня мало денег», или «Не охота заморачиваться».