В ближайшее время в Госдуме планируется рассмотрение законопроекта, который жестче пропишет правила идентификации абонентов для операторов мобильной связи. В случае нарушения новых требований сотовиками предполагается ввести дополнительную ответственность. Владельцев сетей могут обязать тщательнее следить за данными абонентов – чтобы помочь правоохранителям вовремя выявлять и пресекать атаки кибермошенников, для которых смартфон стал подобием отмычки.
Проблема явно принимает угрожающие масштабы. К примеру, несколько дней назад Роструд сообщил о волне телефонного мошенничества, зафиксированного в Москве и 23 регионах. География «работы» преступников обширна: Центральная Россия, Поволжье, Северный Кавказ, Сибирь. Людям звонили якобы сотрудники инспекции труда и предлагали за некую сумму «подготовить предприятие к внеплановой проверке». Роструд обратился в МВД с просьбой принять меры для пресечения действий злоумышленников.
Самый популярный в России вид кибермошенничества, так называемый вишинг, также не обходится без использования мобильной связи. Злоумышленник звонит жертве и представляется сотрудником банка или какого-либо ведомства, пояснил газете ВЗГЛЯД руководитель лаборатории компьютерной криминалистики компании Group-IB Валерий Баулин. Мошенники обманом пытаются получить у жертв данные их банковских карт (CVV, кодовое слово или код-пароль в sms) или заставить перевести деньги на нужный счет или номер телефона за какую-то несуществующую услугу, налог или выигрыш. Именно таким образом, по оценке экспертов Group-IB, происходит более 80% хищений денег у граждан и фирм – без каких-либо хакерских программ, просто «на доверии».
«Бывает, что злоумышленники используют автоответчик, который приветствует абонента, сообщает о проблеме, а уже после происходит подключение к диалогу «живого оператора». Такая схема также почти не вызывает подозрений со стороны жертвы, что делает ее не менее опасной, чем «живые» звонки», – уточнил Баулин. Более сложная и более свежая схема подразумевает установку на смартфон программы удаленного доступа – но жертва мошенников устанавливает ее, как правило, после звонка лжесотрудника банка. По данным МВД, в прошлом году было зарегистрировано почти 43 тыс. случаев вишинга. Эксперты Group-IB за несколько лет собрали более 400 тыс. подозрительных номеров.
Если говорить об официальных структурах, то Центробанк только за три летних месяца отправил операторам связи информацию о более чем 2,5 тыс. подозрительных номеров. Как пояснили газете ВЗГЛЯД в Центробанке, после принятия в прошлом году поправок в законы о противодействии хищению, заработала автоматизированная система обработки инцидентов ФинЦЕРТ (Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере департамента информационной безопасности Банка России). Как отмечается в отчете ЦБ о работе ФинЦЕРТ за сентябрь 2018-го – август 2019 года,
«в 2019 году в арсенале злоумышленников появился новый способ обмана жертв».
«Технология подмены исходящего телефонного номера на номера, идентичные номерам кол-центров кредитных организаций, позволила им успешно выдавать себя за сотрудников служб безопасности банков», – отмечают сотрудники ФинЦЕРТ. «Чаще всего мошенники звонят с городских номеров (в том числе подмененных) и под видом блокировки подозрительных транзакций совершают хищения средств жертв, – указывают авторы отчета. – Количество поступающих в ФинЦЕРТ сообщений о номерах телефонов злоумышленников существенно увеличилось. В результате ФинЦЕРТ отправил на блокировку в сигнальной сети информацию о 4936 номерах мобильных операторов и номерах в коде 8-800, задействованных в мошеннических sms-рассылках».
Однако мошенничество в исполнении так называемых социальных инженеров (психологов, которые уговаривают по телефону клиента банка совершить платеж, продиктовав код из sms) приобретает буквально массовый характер, констатировал в комментарии газете ВЗГЛЯД зампредседателя комиссии по цифровым финансовым технологиям Торгово-промышленной палаты России (ТПП) Тимур Аитов. Отметим, что собеседник, в частности, неоднократно общался с представителями ЦБ по вопросам кибербезопасности. Аитов констатировал:
«Утечки происходят из среды специалистов по информационной безопасности, бывших банковских сотрудников, среди которых сейчас зафиксирован очень высокий уровень безработицы.
Продаются даже записи разговоров клиента с банком, которые тоже помогают максимально изучить потенциальную жертву».
Общий ущерб от киберпреступников за 2018 год составил 2 млрд рублей, причем почти полтора миллиарда из них были похищены с использованием интернет-банкинга. Средняя потеря каждого обманутого россиянина составляла от 100 тысяч до полумиллиона рублей. Такие данные в конце октября привел глава комиссии Общественной палаты по развитию информационного сообщества, СМИ и массовых коммуникаций Александр Малькевич. Он подчеркнул: всегда эти мошенничества происходят через подменные телефонные номера. «Не все люди это понимают, – заметил Малькевич. – Одно дело, когда звонок идет, условно говоря, с «левого» мобильного номера, но в основном все эти номера определяются, как городские. Они идут через «левые» сим-карты».
Результаты борьбы с телефонными махинаторами пока не очень впечатляют. Как было сказано выше, ЦБ передал операторам порядка 2,5 тыс. «левых» номеров. Однако операторы заблокировали лишь 218 из них, для 59 – ввели ограничение на использование финансовых сервисов, а в 198 случаях выявили подмену номера банка. При этом в еще более чем двух тысячах случаях операторы не стали принимать мер, так как не нашли для этого оснований.
Итак, с одной стороны, очевидно, что главным каналом для выхода в Сеть и для законопослушных граждан, и для мошенников стали мобильные сети, а мобильные телефоны оказываются главным «крючком», при помощи которого преступники ловят своих жертв. С другой стороны, операторы связи зачастую затрудняются отличить номер, которым пользуется обычный человек или организация, от «левого» номера.
Помочь может то, что проблема уязвимости данных граждан, которые становятся жертвами вишинга и фишинга (кражи паролей) при помощи мобильной связи – это общемировая проблема, и в ряде стран уже выработаны варианты противодействия ей. К примеру, в Сингапуре может быть зарегистрировано не более трех номеров на одного абонента (вне зависимости от оператора связи), в Индии – до девяти номеров.
Способы достоверной идентификации абонентов (robust identification) могут быть самыми разными. Например, это обязанность оператора удостоверять личность абонента. Либо сам оператор запрашивает такие сведения у компетентных органов (условно говоря, через паспортный стол), либо абонент обязан самостоятельно пройти проверку в любом государственном учете. Это может быть проверка абонентов по биометрическим данным. В любом случае, если оператор манкирует обязанностью достоверно идентифицировать своих абонентов, то ему может грозить штраф или ограничение лицензии. Стимулом для операторов может стать переход на постоплатную систему расчетов: сначала услуги – потом деньги. Таким образом, сам поставщик мобильной связи оказывается заинтересован иметь при себе сведения о клиенте.
Впрочем, вопрос в том, насколько сами операторы готовы к ужесточению требований к себе. В том, что касается борьбы с банковским мошенничеством при помощи смартфонов, уже все необходимые меры приняты, полагают в Tele 2. «Система сверки данных абонентов уже и так успешно действует между банками и операторами и является важным аспектом противодействия мошенникам, – сказала газете ВЗГЛЯД пресс-секретарь этой компании-оператора Дарья Колесникова. – Операторы ответственны за качество сервисов верификации и постоянно технологически совершенствуют платформу. По мнению участников рынка, предлагаемый сейчас законопроект никак не улучшает действующую практику. Мы не поддерживаем создание посредника между банками и операторами и введение регулирования цен на предоставление сведений об абонентах».
Пока что инициатива усиления контроля за достоверностью данных исходит не от телеком-операторов, а от банков, констатируют эксперты. «Банки не сами, а с подачи компетентных регуляторов, которые занимаются данной темой, выступили с инициативой – создать единую информационную систему, которая будет представлять сведения о том, кто фактически является владельцем конкретного телефонного номера.
Я думаю, дальше последует предложение: «А теперь давайте обяжем всех банковских клиентов использовать только тот номер телефона, владельцем которого является именно этот клиент. По паспорту».
Я уверен, что такое предложение обязательно поступит», – полагает зампред комиссии по цифровым финансовым технологиям Торгово-промышленной палаты Тимур Аитов.
Но многие телеком-операторы относятся к идее такого рода единой информационной системы достаточно сдержанно, добавил собеседник. «Во многом потому, что телекомы уже оказывают подобную услугу заинтересованным лицам, чаще всего банкам, но – на коммерческой основе. Разумеется, операторы не хотели бы потерять этот сервис в качестве источника небольшого, но постоянного дохода», – констатировал представитель ТПП. С другой стороны, отметил Аитов, он уже несколько раз выступал с предложениями о мерах, которые могут помочь в борьбе с телефонным мошенничеством – однако банки, не всегда заинтересованы в серьезном противодействии, им проще списать потери.
«Причина – закон «О национальной платежной системе», статья 9, которая обязывает банк вернуть, отменить противоправную транзакцию, если клиент вовремя о ней сообщил. Вовремя – имеется в виду в течение одного банковского дня. Практически же по этой девятой статье банки ничего не возвращают. В течение месяца они расследуют и находят причину не возвращать. А уж если клиент говорит, что его атаковал социальный инженер, мошенник, то это становится поводом для отказа с формулировкой: «Вы все сделали добровольно».
Чтобы реально противодействовать социальным инженерам, необходимо в методы идентификации платежей добавлять еще и биометрию, полагает Аитов. «То есть, помимо кодов подтверждения операции, может быть добавлен голос, фотография – на усмотрение банка, – сказал представитель ТПП. – Например, если злоумышленник заморочил голову человеку, обещая заблокировать транзакцию и пресечь воровство денег с его счета взамен на несколько тысяч рублей, которые «должны быть переведены в банк немедленно», то подтверждение операций по счету с помощью голоса или при помощи фотографий превращается в дополнительный рубеж обороны».
Схожее предложение высказал в комментарии газете ВЗГЛЯД специалист по IT-технологиям, руководитель «Центра компетенций по импортозамещению в сфере ИКТ» Илья Массух. Во-первых, решить наконец вопрос с продажей нелегальных сим-карт, а также ввести биометрическую идентификацию абонентов как в телефонах, так и в мессенджерах, заявил собеседник.
При этом он напомнил, что некоторые банки требуют при использовании своего мобильного приложения устанавливать на устройство антивирус для отслеживания шпионских и мошеннических программ. Поскольку все банки для работы с клиентами используют мобильные приложения, можно было бы ввести наличие антивируса на устройстве, как обязательное требование при пользовании мобильными банковскими услугами, предложил эксперт. «Но это при условии, что сами банки заинтересованы в борьбе с мобильным мошенничеством. А то они только говорят, что заинтересованы, при этом никаких действий в этом направлении не предпринимают», – полагает Илья Массух.