Биометрия против инженерии

Для решения проблемы мошеннических звонков клиентам банков с использованием социальной инженерии операторы связи просят дать им полномочия блокировать абонентов, которых они подозревают в мошенничестве. Однако, пока необходимый законопроект только прорабатывается, эксперты предлагают использовать биометрию для подтверждения сомнительных операций. Проблема в том, что граждане не спешат сдавать необходимые данные.

На прошлой неделе на Х Международном форуме Antifraud Russia специалистами банковской отрасли, операторами связи, сотрудниками правоохранительных органов и экспертами по информационной безопасности обсуждались меры, которые могут защитить клиентов банков от мошеннических звонков с использованием социальной инженерии. Ситуация, как следует из выступлений экспертов, удручающая. Сбербанк отметил рост жалоб клиентов на звонки мошенников с начала года в 15 раз, до 2,5 млн обращений. Однако, по словам первого заместителя начальника БСТМ МВД России Олега Козлова, в 2019 году было возбуждено 240 тыс. уголовных дел по всей банковской системе, что всего на 10% больше, чем год назад.

Как отметил директор дирекции мониторинга электронного бизнеса Альфа-банка Алексей Голенищев, мошенники активно используют уязвимости, которые операторы связи «подарили» рынку в бесконтрольной продаже и замене сим-карт, и «банковское сообщество ждет решений по защите от мошеннических звонков именно от операторов связи». В свою очередь, директор по предотвращению мошенничества и потерь доходов компании «МегаФон» Сергей Хренов указал, что на сегодняшний день сокращены до минимума звонки с подменой номера банка и эта проблема решена именно операторами связи. По его словам, мошенники подменяют московские номера (с кодами 495 и 499), и «МегаФон» блокирует 300–500 тыс. таких звонков ежедневно. Вместе с тем, как отмечает руководитель направления департамента гарантирования доходов «Ростелекома» Федор Куц, операторы могут выявлять мошеннические звонки, однако не могут их блокировать самостоятельно. «В отличие от банков, которые имеют право останавливать мошеннические операции, операторы связи не имеют права блокировать звонки на основании собственных подозрений,— указал он.— Оператор связи обязан представлять услуги 24/7, и поэтому если блокировка произойдет, то в суде в споре с клиентом он проиграет». То же касается случаев, когда мошеннические звонки идут с арендованной номерной емкости у оператора связи, который может заблокировать абонента лишь после получения документов от правоохранительных органов.

Наделение операторов связи подобными полномочиями могло бы стать решением проблемы. В Минкомсвязи “Ъ” сообщили, что поправки к законодательству министерство разрабатывает совместно с другими федеральными органами. Банк России, в свою очередь, намерен защищать клиентов банков с помощью просвещения населения о правилах кибербезопасности.

Однако пока нет законодательных поправок, банкам необходимо самим искать решение, которое должно быть простым и не требовать лишних действий от клиента. Эксперты видят решение проблемы в использовании биометрии.

«Поведенческая биометрия (позволяет идентифицировать клиента по свойственному лишь ему "поведению" при наборе логина и пароля при входе в мобильный банк и т. д.) позволяет не просто вычислить, кто именно вошел, но и определить, действует ли человек по своей воле или под диктовку мошенников»,— указывает директор по продуктам компании ID R&D Олег Ковпак. Однако этот способ подтверждения трансакций может быть использован лишь для активных пользователей при большом наборе статистических данных. Еще один из используемых в банках способов — фотобиометрия, которая применяется в случае нестандартных операций, например неожиданного закрытия вклада или же неожиданного перевода средств в другой банк. По словам руководителя дирекции биометрических технологий Почта-банка Андрея Шурыгина, «если операция вызывает сомнения, система предлагает клиенту сфотографироваться, фото сравнивается с имеющимся в базе, и операция либо подтверждается, либо отклоняется». Однако и у этого способа есть минусы, поскольку фотографию не так сложно подделать. По словам начальника отдела по противодействию мошенничеству «Инфосистем Джет» Алексея Сизова, голосовая биометрия может использоваться для подтверждения личности клиента, но уже при общении с колл-центром.

Нередко для всех этих целей используется биометрия, которая собирается банком для собственных нужд, а не та, что сдают банки в Единую биометрическую систему (ЕБС). Однако образцов в ЕБС немного — по данным ЦБ, в сентябре их было около 30 тыс. штук (см. “Ъ” от 20 сентября). «Да и участники рынка не очень ей доверяют из-за закрытости данных о ней, поэтому банки предпочитают использовать свою собственную»,— указал бизнес-консультант по безопасности Cisco Алексей Лукацкий. А качество собственной биометрии ничем не регламентируется и может разниться в зависимости от банка, указывают эксперты.