SMS вместо фомки
07.12.2016
Опасения, что хакеры могут обчистить любой счет, весьма распространены. Причем во многом они формируются журналистами, охочими до сенсаций. Так, буквально на днях страну потрясла утка о хищении 2 миллиардов центробанковских рублей, запущенная CNN. Не менее сильны среди россиян и слухи об уязвимости персональных платежных карт.
Разъяснить ситуацию мы попросили заместителя начальника Главного управления безопасности и защиты информации Банка России Артема СЫЧЕВА.
Сычев: Сегодня электронными финансовыми сервисами пользуется подавляющее большинство соотечественников. Жертвами так называемой социальной инженерии, попросту мошенничеств, могут оказаться и пенсионеры, и инвалиды, и молодежь, чуть ли не живущая в интернете, и продвинутые специалисты. Парадоксально, но последние бывают не менее доверчивы, чем старшее поколение.
Получать зарплату или пенсию на банковскую карту, переводить деньги и платить с мобильного телефона очень удобно. Люди привыкли обращаться к глобальной сети. Информационным технологиям доверяют. Этим стараются воспользоваться проходимцы, сменившие фомку на высокотехнологичные инструменты, изобретающие все новые формы обмана граждан.
культура: Вряд ли кто-то на улице по просьбе незнакомца покажет содержимое кошелька. Как же люди сами перечисляют деньги мошенникам?
Сычев: Один из свежих распространенных приемов «социальных инженеров»: на мобильный телефон приходит сообщение: «Ваша банковская карта заблокирована. Перезвоните в службу безопасности банка по следующему телефону…» Кто-то верит, перезванивает и попадает к жуликам, которые убеждают якобы для разблокировки карты проделать определенные действия. В результате граждане лишаются денег — сами же и переводят их злоумышленникам, следуя указаниям.
В таких случаях нужно проверить, с какого телефона пришло SMS «от банка», а потом перезвонить в настоящий контактный центр (его номер указан на карточке) и рассказать о попытке взлома.
Еще один популярный вид мошенничества рассчитан на продвинутых пользователей, часто совершающих покупки в интернет-магазинах. Им поступает SMS-сообщение, что такая-то сумма заблокирована за покупку. Человек отвечает по указанным контактам, перезванивает или переходит по ссылке на сайт прохиндеев и попадается на удочку. По счастью, жуликов часто выдают элементарные грамматические ошибки в тексте.
культура: А какие из небезопасных технических новинок наиболее популярны?
Сычев: Возьмем мобильные банковские приложения, благодаря которым с планшета или смартфона можно совершить платеж, открыть или закрыть вклад и многое другое. Злоумышленники начали придумывать для мобильных операционных систем вирусы. Зловредные программы внедряются через социальные сети, мессенджеры, иными путями, считывают конфиденциальную информацию и передают платежное приложение под «внешнее управление». Вы думаете, что отправляете деньги родственнику, а на деле — на счет обманщика.
Банк России обязал кредитные организации обезопасить от жуликов мобильные приложения, начиная с этапа разработки. Кроме того, клиентов необходимо информировать, чего нельзя делать при помощи мобильных устройств. Крайне рискованно в погоне за бесплатностью или дополнительными функциями устанавливать приложения из непроверенных источников. Недопустимо открывать электронные письма или сообщения от неизвестного пользователя, которому вы не доверяете. А если уже открыли, не следует запускать вложения или переходить по предлагаемым ссылкам. Правило хорошего тона — установка антивирусов на мобильные устройства.
культура: Такие инциденты могут сильно испортить впечатление от электронных банковских услуг, препятствовать их расширению.
Сычев: Именно поэтому проблема преступлений в сфере электронных финансов серьезно волнует Банк России. Мы принимаем меры для эффективной защиты клиентов. Новые сервисы должны стать максимально безопасными. Достичь этого можно путем повышения осведомленности людей о платежах, кредитах, вкладах, а также ростом грамотности в области информационных технологий.
Банк России не обслуживает граждан, а регулирует и контролирует деятельность отраслевых организаций, включая банки и платежные системы. Мы обязали их обеспечивать необходимый уровень защищенности электронных клиентских сервисов. Плюс отвечать за то, чтобы люди знали необходимые правила и привыкли их выполнять.
Образно говоря, холеру победили, когда привыкли мыть руки перед едой. Так и сейчас: физлица должны автоматически выполнять правила кибергигиены. Помочь им в этом обязаны в том числе сами банки. Банк России проверяет, как последние решают эти задачи, и принимает меры в отношении тех, кто плохо справляется.
культура: Неужели банки не могут обойтись без понуканий?
Сычев: Безопасность электронных сервисов требует постоянного внимания и затрат ресурсов, в том числе финансовых. Неудивительно, что у некоторых учреждений может возникать соблазн сэкономить в надежде на авось. Банк России не позволяет им поддаться искушению. Однако дело не только в угрозе санкций за невыполнение требований. Ряд наших рекомендаций носит методологический характер, помогая внедрять новшества.
культура: Насколько охотно банки прислушиваются к сигналам сверху?
Сычев: Банк России аккумулирует самые свежие и лучшие практики защиты от злоумышленников. Ничего придумывать не нужно: мы находимся в постоянном контакте с наиболее грамотными и активными специалистами банков, отвечающими за информационную безопасность. Обобщаем их данные, синтезируем, соотносим с действующей нормативно-правовой базой и доводим до финансовых организаций.
Лучше всего, когда выполняют наши требования, следуют рекомендациям не из опасения каких-то санкций, а сознавая их разумность и справедливость. Яркий пример — то, что банки включают в свои мобильные приложения антивирусные функции уже на стадии разработки.
культура: Не возмущаются, что государство нагружает их непрофильной образовательной функцией, вместо того чтобы сражаться с ворьем и проводить ликбез при помощи социальной рекламы?
Сычев: Помимо регулирования отрасли, надзора и контроля госорганы ведут прямую борьбу с киберпреступностью. Усиливается сообразно современным реалиям ответственность за правонарушения в данной сфере. В Госдуме находится на рассмотрении законопроект, разработанный с участием Банка России, ФСБ и МВД, а также крупнейших банков и операторов мобильной связи. Финансовые кибераферы будут переквалифицированы с легкой статьи на тяжелую, условно говоря, с мошенничества на кражу. Наказание ужесточится, что должно отпугнуть любителей быстрой поживы.
Кроме того, государство выстраивает схему борьбы с киберпреступностью. Это ГосСОПКА — система обнаружения и противодействия кибератакам, аналогичные ведомственные структуры. В Банке России функционирует FinCERT — центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, деятельность которого сейчас переводится в режим промышленной автоматизированной системы.
Банки все это знают и понимают. Поэтому наши требования и рекомендации воспринимают как должное. В конечном счете их выполнение помогает повысить безопасность клиентских сервисов, расширить банковский бизнес.