Мошенничество с перехватом СМС-сообщений от банка появилось практически сразу после того, как этот способ подтверждения денежных переводов стал одним из основных. Популярно ли в России такое мошенничество, кто подвергается таким атакам и какие меры безопасности принимают банки, РИА Новости рассказали эксперты в области информационной безопасности.
Чтобы перехватить СМС-сообщения от банка для подтверждения операций, злоумышленники перевыпускают SIM-карту. На языке кибербезопасности этот вид атак называется SIM-свопинг, рассказывает начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд.
По его словам, SIM-свопинг в России — не массовый вид мошенничества, так как злоумышленнику приходится совершить довольно много действий, например, обратиться с заявлением на замену SIM с поддельной доверенностью или искать сообщников внутри телеком-оператора или салона связи.
«Все это трудоемко, затратно и рискованно. Поэтому такие атаки чаще всего целевые, с большим ущербом для жертвы, когда мошенник уверен, что трудозатраты будут оправданы», — пояснил Дрозд.
При этом в «СёрчИнформ» не видят прямой связи пандемии коронавируса с таким видом мошенничества. «Можно говорить о косвенном влиянии кризиса, так как инсайдеры, находясь в стесненных финансовых условиях, охотнее преступают моральные ограничения. По нашим данным, преступлений, связанных с корпоративным мошенничеством, стало на 10% больше», — прокомментировал эксперт.
Как банки пытаются защитить клиентов
По словам начальника отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексея Сизова, банки давно начали бороться с такими действиями злоумышленников.
Как отмечают в Новикомбанке, механизмов защиты на рынке сейчас достаточно много. При этом некоторые банки, чтобы избежать перехвата СМС-кодов, отказываются от них и используют методы проверки операций на самом устройстве: проверка imsi, создание локальной электронной подписи на смартфоне, аутентификация по биометрии.
По словам руководителя направления департамента розничного бизнеса Новикомбанка Евгения Гладилина, банк работает над реализацией различных функций для повышения безопасности в дополнение к существующему механизму подтверждения операций при помощи СМС/Push уведомлений.
В банке «Дом.РФ» также отметили, что внимательно изучают различные возможности подтверждения операций, но при этом поддерживают использование СМС или Push в соответствии с требованиями и рекомендациями платежных систем.
Тем временем в Промсвязьбанке в ближайшее время реализуют решение для малого и среднего бизнеса, которое позволит подписывать документы в мобильном банке с помощью face ID и touch ID. «Эта технология обеспечивает более высокий уровень безопасности — мошенники не смогут провести транзакцию, перехватив или выманив у клиента СМС-код. Кроме того, это удобно — у клиентов нет необходимости вбивать вручную СМС-коды», — рассказали в пресс-службе банка.
Что думают эксперты
Эксперты оценили технологию проверки операций на самом устройстве без СМС-кодов.
По словам руководителя группы исследований безопасности банковских систем Positive Technologies Ярослава Бабина, такой способ подтверждения транзакций может быть безопаснее, если банк предусмотрел защитные меры. Во-первых, это надежная система антифрода, которая выявляет большую часть мошеннических операций; во-вторых, отсутствие уязвимостей в процессе заверения банковских операций электронной подписью.
При этом многие банковские приложения содержат уязвимости, которыми могут воспользоваться мошенники, предупреждает Дрозд. По статистике Positive Technologies за 2019 год, в серверной части мобильных банков было обнаружено в среднем 23 уязвимости.
Руководитель аналитического центра Zecurion Владимир Ульянов приветствует инициативу отказаться от СМС-кодов, однако указывает, что хранить электронную подпись на самом устройстве, с которого выполняется операция, небезопасно.
«Да, часть проблем, связанных с перехватом СМС или перевыпуском SIM-карт с помощью поддельных документов или сообщников в сотовых салонах, удастся решить. Но еще острее станет проблема кражи и несанкционированного использования чужого смартфона», — предупреждает эксперт.
Отмена СМС-кодов — не панацея
Все опрошенные эксперты и представители банков отмечают, что технология подтверждения транзакций без СМС не исключает мошенничества с помощью социальной инженерии. Такой способ по-прежнему остается основным при краже денег со счетов клиентов банков — это «проще и эффективнее», указывают эксперты.
При подтверждении транзакций без СМС-кодов у мошенников изменится только «скрипт»: они будут убеждать жертву не ввести код, а поставить подпись, говорит Дрозд. Поэтому очень важно, как банки подойдут к вопросу информирования, насколько убедительным будут уведомления о том, что клиент проводит перевод.
«Если происходит так называемое «зомбирование или очарование», и клиент сам совершает переводы денег на заведомо странные реквизиты, подтверждая их и через СМС, и со своего устройства, и со своей биометрией, и подписывая всеми возможными электронными цифровыми подписями, то потери не миновать», — согласен Гладилин из Новикомбанка.
По его словам, «социальным инженерам» могут противостоять только системы антифрода, которые останавливают подозрительные или нестандартные операции.
В банке «Дом.РФ» заявили, что внедряют решения, которые анализируют типичность и логичность клиентских транзакций, чтобы минимизировать риск мошенничества со счетами клиентов. «Такие системы в случае необходимости ограничивают или не позволяют совершить „странную“ операцию, оставаясь при этом „невидимыми“ для клиентов и не доставляя им неудобств», — рассказал директор розничных продуктов банка Евгений Шитиков.