Атаки, которые нас выбирают

Зачем делать сложным то, что проще простого? Девиз из шлягера 90-х переняли в этом году злоумышленники, охотящиеся за деньгами банковских клиентов. На смену технологичным атакам на банки прошлых лет пришли мошеннические звонки гражданам от «службы безопасности банка». Затраты минимальные, а эффект — максимальный. И главное, с этим явлением никто и не думает бороться.

«Здравствуйте, вас беспокоит служба безопасности банка». С этой фразы, а не со сложного взлома систем безопасности кредитной организации, начиналось большинство мошеннических атак в российской финансовой системе в 2019 году. Злоумышленники сменили стратегию инвестиций, вкладываясь не в продвинутые технологии, а в навыки психологического давления. Единственная технология, необходимая для мошенничества, основанного на социальной инженерии, это телефонный звонок. Современные возможности IP-телефонии позволяют сделать это так, чтобы у абонента на мобильном телефоне высветился номер банка. Это несложно и недорого.

Новая стратегия оказалась более чем успешной. Официальных цифр по рынку в целом пока нет, однако только в Сбербанк за 11 месяцев 2019 года поступило 2,5 млн жалоб клиентов-физлиц на подобные мошеннические звонки. Их количество выросло в 15 раз по сравнению с 2017 годом. Чтобы вызвать доверие у жертвы, злоумышленники использовали информацию из различных утекших баз данных. В 2019 году их число выросло лавинообразно, речь идет уже о десятках миллионов клиентов банков.

Ситуация сложилась патовая, граждане доверчиво сообщали мошенникам нужную информацию или даже отправлялись к банкомату и добровольно под их диктовку совершали трансакции.

Глава службы информбезопасности Тинькофф-банка Дмитрий Гадарь рассказывал о случае, когда под диктовку мошенников человек совершил за один раз 146 переводов через банкомат. Кроме стандартной легенды про «это вы переводите 5 тыс. руб. в Тагил?» есть и более продвинутые, например, про сбор голосовой биометрии якобы для будущей защиты от атак.

Жертвами становились не только наивные пенсионеры, но и сами банкиры, даже сотрудники служб безопасности. Глава НR-отдела Рокетбанка Диана Доманская рассказала в соцсетях, как под диктовку «службы безопасности» того же банка перевела со сторонней кредитки 120 тыс. руб. на указанный злоумышленниками счет. Топ-менеджер специализирующейся на информбезопасности компании «Серч Информ», автор книги «Как разбираться в людях и прогнозировать их поведение» Алексей Филатов сам дошел до офиса банка, чтоб перевести мошенникам 500 тыс. руб.

Не то чтобы на проблемы граждан никто не реагировал, шумели много.

Банкиры обвиняли операторов связи, что те не пресекают звонки с подменой номера. Операторы связи просили дополнительных полномочий. ЦБ призывал правительство обратить внимание на утечки из госорганов. Минкомсвязи готовило спасительный законопроект. И вот в декабре на форуме Antifraud Russia торжественно объявили, что больше номера не подменяют, банкиры могут спать спокойно. Но не граждане — ведь мошенники продолжали звонить и добиваться успеха.

Реально бороться с атаками никто не спешит. Количество возбужденных уголовных дел, в отличие от числа примеров мошенничества, не растет. По словам жертв, часто в полиции просто не берут заявления. Защита клиентов банками заключается преимущественно в выпуске рекомендаций, как себя вести.

В кулуарных беседах безопасники говорят, что нет смысла устанавливать дополнительную защиту и тратить деньги, если все риски на гражданах. В официальных — что дополнительные меры защиты ухудшают клиентский опыт, клиенту важна скорость проведения операций без усложнений. Потерянные деньги клиентам не возвращают — они же сами все рассказали мошенникам. А банк ведь предупреждал. «Вместо поиска решения банку гораздо проще списать все будущие хищения на самих клиентов, что сегодня и делается»,— считает заместитель главы ГК «Программный продукт» Тимур Аитов. «При этом использующиеся сейчас технологии для атак на клиентов банков не новы, еще в 2009 году были случаи звонков от "службы безопасности банка"»,— вспоминает гендиректор SafeTech Денис Калемберг.

Единого мнения о том, как можно улучшить ситуацию, ни среди участников рынка, ни среди чиновников нет.

Один из безопасников говорит, что «если банки действительно захотят найти решение по защите, они найдут, проблема лишь в мотивации». По мнению Тимура Аитова, такой мотивацией может стать нормативный акт ЦБ или поправки, вынуждающие банкиров компенсировать потери. Однако пока подобных инициатив ни от ЦБ, ни от депутатов, ни тем более от банкиров не поступало. Так что спасение средств граждан остается проблемой самих граждан.