чем опасна система быстрых платежей для клиентов сбербанка
ЦБ предупредил о риске использования Системы быстрых платежей мошенниками
ЦБ предупредил банки о возможности использования мошенниками сервиса Системы быстрых платежей (СБП) для получения информации о клиентах путем «перебора идентификаторов». Об этом сообщает газета «Ведомости» со ссылкой на разосланное по банкам письмо за подписью директора департамента информационной безопасности ЦБ Вадима Уварова.
В документе отмечается, что с помощью запроса через СБП номера мобильного телефона можно узнать имя, отчество и первую букву фамилии его владельца, а также названия банков, где у человека открыты счета. Этой информации недостаточно для хищения денег, однако мошенники могут использовать ее для того, чтобы совершить кражу с использованием методов «социальной инженерии». Например, позвонить от имени банка и, верно назвав имя и отчество человека, попытаться убедить того сообщить необходимый для списания средств с карты код из смс-сообщения.
В документе указано также, что дочерняя ЦБ Национальная система платежных карт (НСПК, операционно-клиринговый центр СБП) сама ведет мониторинг операций и блокирует номера телефонов, с которых осуществляется массовый перебор.
В июне 2019 года первый замдиректора департамента информационной безопасности Банка России Артем Сычев, отвечая на вопрос об угрозе того, что через СБП мошенники могут узнать, в каком банке у человека открыт счет, назвал «уровень фрода» (от английского fraud — мошенничество) нулевым.
«Действительно, изначально были опасения, что система позволяет перебором номера узнать какую-то информацию. Это не так. Для исключения такого риска мы реализовали специальный алгоритм. Он позволяет в случае обнаружения подобных попыток со стороны банка отправителя не доводить эти запросы до банка получателя. Мы видим, что в ряде банковских систем такие переборы делают, но на уровне СБП они блокируются», — заявил Сычев в интервью ТАСС.
Центробанк раскрыл наши данные? Чем опасна новая система платежей
Немного о СБП
Система быстрых платежей, она же СБП — ответ Центробанка переводам «Сбербанк Онлайн». «Зеленый» банк лидирует на рынке переводов, писал «Коммерсантъ». В его приложении можно ввести номер телефона и перевести нужную сумму независимо от того, есть у получателя карта «Сбербанка» или нет.
ЦБ теснит монополиста ради «развития конкуренции и доступности финансовых услуг для россиян» и запустил масштабную систему переводов по номеру телефона. К ней подключились 23 банка, от ВТБ до «Рокетбанка». Велика вероятность, что в приложении вашего банка уже появилось эта опция.
СБП похожа на «Сбербанк Онлайн», за исключением выдачи денег наличкой — этой опции нет. Скачивать ничего не надо, все встроено в приложения банков как дополнительная опция. Ее можно найти рядом с переводами по номеру карты и номеру счета. При заходе в эту форму ваш номер появляется в системе, с него и на него можно переводить суммы до нескольких миллионов рублей (лимит зависит от банка).
На сайте системы указано, что списание и зачисление средств мгновенное, а комиссия за переводы СБП существенно меньше по сравнению с другими способами. При переводе из «Райффайзенбанка», к примеру, комиссии нет вообще, а из «Альфа Банка» она совсем невелика.
Уязвимость открывает данные пользователей
В QIWI объясняют, что СБП — инфраструктура для межбанковского взаимодействия, в рамках которой можно запросить данные клиента банка по номеру телефона.
«Банк-отправитель решает, какую информацию увидит запрашивающая сторона, — признается Андрей Протопопов, генеральный директор АО “КИВИ”. — В целях упрощения клиентского пути банки показывают весь перечень доступных банков с именем, отчеством и маскированной фамилией для данного номера телефона».
Данные открыты не у всех банков. Где-то предлагают выбрать банк адресата из 25 организаций, а где-то сразу указывают банк абонента. В «Тинькофф Банке» можно вбить номер и посмотреть, в каких банках обслуживается этот абонент. А в «Рокетбанке» — увидеть номер его счета, по которому вполне реально определить банк с помощью специальных программ.
«Такое решение — следствие компромисса между удобством и безопасностью и может привести к утечке информации», — поясняет Протопопов. В самой СБП не ответили на запрос Hi-Tech Mail.ru об этой уязвимости и о том, планируют ли ее закрывать.
Как происходит обман
На апрель этого года 90% операций в СБП были неудачными — клиенты пытались сделать перевод человеку в банк, где у того нет счета, сообщал «Коммерсантъ». Это может быть связано и с тем, что пользователи еще не привыкли к новой услуге. Но по мнению ЦПСБ «Инфосистемы Джет» Алексея Сизова показатель настораживает и может указывать на злоумышленников. C помощью системы мошенники, пользуясь открытыми данными, «пробивают» абонентов на предмет наличия счета абонента в банке.
Дальше все просто: злоумышленник звонит клиенту, представляется службой безопасности этого банка и выспрашивает коды и пароли, чтобы получить доступ к личному кабинету жертвы. Как это бывает, мы уже рассказывали здесь. Для достоверности мошенники могут даже подделать номер банка. Поэтому им и важно убедиться, что жертва имеет там счет.
Источник в одном из банков замечает, что злоумышленники получают данные (ФИО и номера кредиток) через разные каналы: базы налоговых, ГИБДД. СБП — новый способ найти данные, но не самый быстрый. В «Росбанке» напоминают, что к системе уже подключены более 20 банков, и метод «перебора» банков по номеру телефона потребует от мошенников значительных трудозатрат.
По словам источника, от этого перебора предусмотрена защита. Мы зашли в приложение «Тинькофф Банка» и проверили. На первых четырех попытках выбрать банк получателя появлялась информация, что он не клиент выбранного банка. А на следующих попытках данные были уже недоступны. Блокировка держится несколько часов, а то и весь день. При этом, переводы делать можно, но нужно точно знать банк получателя.
Как не надо пользоваться Системой Быстрых Платежей
Моя пенсионная карта Открытия не дружит с банкоматами. Когда я её только получила. попробовала тестово пополнить в банкомате на 100 рублей. Отказ. Сначала думала пинкод не привязался. С таким трудом установила его на своём кнопочном телефоне для Интеренет-банков. Нет, в поддержке сказали, пинкод есть. И правда такое ощущение, что проблема где-то дальше. Прикладываешь Pay Pass, вводишь пинкод, открывается меню, выбираешь опцию. Нажимаешь внести, вводишь сумму. Операция невозможна.
Тогда в первый раз я внесла через кассу. Кассир возмущалась, что 100 рублей. «Через меня люди вносят гораздо большие суммы! Идите в банкомат!» Но всё-таки сделала пополнение. На обратном пути карта сработала в киоске с мороженым. То есть просто на бесконтактную оплату терминал её считывает.
А оформляла я её, чтобы подключить Интернет-банк Открытия. Без карты они не подключают. Для этой цели она тоже сгодилась. И теперь я могу продавать там серебро с металлического счёта. Сейчас оно растёт в цене и вот я напродавала на 1400 рублей. Хотела снять – та же история, что и с пополнением. Решила, пора осваивать Систему Быстрых Платежей.
Открыла дома ИБ Открытия, нашла переводы себе в другой банк. В списке был Русский Стандарт. Выбрала его. Ничего больше выбирать было не надо. В смысле на какой счёт в РС. Что меня немного удивило. Ну да ладно. Там же всегда можно перевести в ИБ.
Пришло sms, ввела код, деньги ушли. Захожу в Интернет-банк Русского Стандарта. Ничего нет.
Вот что значит не знать, как пользоваться, и отправить не пойми куда.
Спрашиваю здесь на Банки.ру в ветке про СБП, кто виноват (зачёркнуто) что я сделала не так и что делать. Отвечают надо было сначала убедиться, что банк-получатель работает на приём. И полезный совет: всегда в таких случаях сначала делать тестовый перевод на 10 рублей или даже рубль. В следующий раз так сделаю.
Пишу представителю Русского Стандарта. Она отвечает: денег нет, но вы … попробуйте написать в Открытие. Если у вас только депозитная карта, по ней приём по СБП не предусмотрен. Открытие отвечает мы всё отправили как положено, пишите в Русский Стандарт.
На следующий день просыпаюсь и вспоминаю, что у меня в Русском Стандарте есть ещё незакрытые счета карт, кончившихся по сроку. Если на счетах есть деньги, снимается комиссия за обслуживание. Денег не было, я и не беспокоилась. А ведь сумма из Открытия могла упасть на один из этих карточных счетов. И её просто тихо списали в счёт комиссии. Она там конская, 3000 рублей в год. И её даже в выписке не бывает. Короче, мысленно я с деньгами распрощалась. Вспомнив, как теряла больше. И всё равно жива и здравствую.
Несколько лет назад пополнила вклад в банке СМП, который уже не предусматривал пополнения. То есть пополнить было можно, но проценты не шли. Потеряла на этом несколько тысяч. По сравнению с тем, как если бы пополнила другой вклад, где бы шли проценты.
Ещё больше я потеряла после отзыва лицензии у Мастер-банка. Не знаю даже сколько. И хорошо, что не знаю. Зря не расстраиваюсь. У меня там были вклады в валюте, а отдали рублями по курсу ещё до девальвации 2014 года. Конечно, это потеря не такая явная. Но вряд ли евро и доллар вернутся к тем значениям. В районе 40 и 30. Хотя что-то с тех пор было компенсировано более высокими процентами по рублёвым вкладам.
Русский Стандарт хитрый. Раз действующей карты нет, ВЫ деньгами пользоваться не можете. А Я, банк, могу. Так что пополняйте ещё, пополняйте!
Нет уж. Пойду в отделение. Благо по пути. Может, там получится снять.
Там сказали: отдадим с комиссией 50 рублей.
Поскольку я уже мысленно рассталась с 1400 как с платой за урок, 50 показалось вполне себе милосердно. За собственные косяки надо платить. Ковырялись долго. Повезло, что рядом с молодым операционистом, который не знал, как надо, сидела замначальника отделения и всё ему показала. Он спрашивает: а вы не хотите перевыпустить Банк в кармане? Нет, говорю, наоборот, я хочу закрыть его счёт и счета всех остальных просроченных карт.
Всего их оказалось шесть. Вся вот эта красота из коллекции.
Первые серые карты мне выдали в 2005 и 2006 году, когда у Русского Стандарта ещё была своя платёжная система.
Закрыв шесть счетов и забрав шесть копий заявлений о расторжении договора, с облегчением ушла с дополнительными 1350 рублями 50 копейками в кошельке. 50 рублей комиссии сняли, но вместо 40 копеек дали 50.
Начала изучать ветку форума Банки.ру о Системе Быстрых Платежей. Там сейчас 73 страницы, осилила пока 20. В начале там идёт история. Дочитала до апреля 2019 года. Тогда всё только начиналось. Но уже есть один случай, как у меня. Отправили, правда, в сто раз больше денег.
Жду, когда серебро ещё вырастет, чтобы протестировать другие банки. Или не заморачиваться и просто оплачивать мобильную связь? А если денег будет слишком много, тупо открыть «Мою копилку», а потом вклад? Ладно, посмотрю, как пойдёт с серебром. Инвестиция долгосрочная. Может быть, моя следующая пенсионная карта Открытия в 2025 году будет без косяков и смогу даже снять в банкомате?
Какой риск в Системе быстрых платежей
С 28 февраля первые банки запустили для своих клиентов переводы денег по номеру телефона через Систему быстрых платежей (СБП) Центробанка. Чтобы сделать перевод, отправитель должен в приложении своего банка выбрать номер получателя из списка контактов, а из перечня банков – участников СБП – тот, в который перевести деньги.
Узнай его банки
Таким образом можно проверить, в каких банках есть счета у получателя, убедились «Ведомости». Если у него есть счет в каком-то банке, система показывала имя, отчество и первую букву фамилии получателя и предлагала отправить ему деньги. В противном случае появлялось сообщение, что у получателя в этом банке счета нет (такой ответ возможен также, если клиент не оставлял свой номер телефона в банке при открытии счета или давал другой номер).
Так корреспондент «Ведомостей» нашел банк, в котором есть счет у Владимира Комлева, гендиректора Национальной системы платежных карт (НСПК, «дочка» ЦБ, операционный клиринговый центр СБП).
Как запускается Система быстрых платежей Центробанка
Сам он это проблемой не считает. «Для того чтобы найти мой банк, вы должны знать мои имя и фамилию, мой номер мобильного и еще дополнительные детали, например место работы и предполагаемый зарплатный банк, – сказал Комлев «Ведомостям». – Вряд ли сведения о моем банке будут кому-то полезны. Мы знаем, что у более половины россиян есть счет в Сбербанке, например, – и что? Если же мошенники захотят что-то обо мне узнать, то использование СБП будет для них очень трудозатратно: во-первых, им нужны будут какие-то сведения изначально, либо им придется вручную перебирать все множество банков, во-вторых, у нас есть защита от ботов, которые могли бы автоматически методом перебора искать банки, в которых у владельца телефона есть счет».
Через СБП можно получить связь номера телефона, имени, отчества, счета в конкретном банке, чем могут воспользоваться злоумышленники, говорит ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. Злоумышленникам нужны эти данные для обзвона жертв (т. н. социальной инженерии), чтобы получить коды для списания денег. Уже сейчас злоумышленники обращаются к жертве по имени и отчеству, чтобы не вызывать подозрения, рассказывает он, теперь эти же злоумышленники смогут называть жертвам конкретные банки, в которых у них есть счета, и представляться службой безопасности одного из них. Шансы на успешное списание денег возрастут, указывает Голованов: чем больше злоумышленники знают, тем лучше они входят в доверие и тем больше людей им верят и выполняют их распоряжения.
В прошлом году мошенники украли с карт 1,4 млрд руб., рост за год – 44%, следует из данных ЦБ. Основная причина краж (в 97% случаев) – это социальная инженерия, говорится в отчете регулятора.
Клиенты могут в СБП привязать к номеру телефона счет по умолчанию – тогда система не будет предлагать тем, кто отправляет им деньги, список банков на выбор, подчеркивают представители ЦБ (оператор СБП) и НСПК. Однако многие банки планируют автоматически подключать переводы через СБП своим клиентам, вне зависимости от того, выбрали они счет по умолчанию или нет.
«Тезис, что через СБП возможно узнать много дополнительной информации о клиенте, не соответствует действительности», – говорит представитель ЦБ, а описанный сценарий «перебора» не нов для рынка. Точно такую же информацию можно получить и в рамках внутрибанковских сервисов переводов по номеру телефона, указывает он. И подчеркивает, что в СБП предусмотрена защита для предотвращения мошенничества.
«Ведомости» направили запросы в Сбербанк и «Тинькофф банк», у которых есть собственные системы переводов по номеру телефона, видят ли они риски в их собственных системах. «Положение Банка России 383-п предусматривает возможность осуществления переводов по идентификатору получателя. Таким идентификатором может быть номер телефона. Банк действует в соответствии с законодательством», – сказал представитель Сбербанка, но на вопрос о возникающих при этом рисках не ответил. В «Тинькофф банке» есть система противодействия мошенничеству, которая ограничивает перебор счетов наших клиентов и обеспечивает защиту от бот-сетей, говорит его представитель. При подозрениях включается блокировка, в результате которой клиент не сможет запрашивать информацию на определенное время, указывает он.
К СБП будут подключены много банков, и если злоумышленники смогут узнать какой-то «редкий» банк, в котором у жертвы есть счет, то вызовут больше доверия, ведь счетом в Сбербанке уже никого не удивишь, говорит эксперт по информационной безопасности банков Николай Пятиизбянцев. Система мониторинга, защищающая от поиска счетов методом перебора, прежде чем сработать, должна сначала пропустить несколько запросов, а это дает мошенникам несколько попыток, объясняет он. По его мнению, логичнее, когда человек сам привязывает счет, на который он хочет получать деньги по номеру мобильного, и уже только после этого давать возможность получать переводы.
Есть риски и для госслужащих, указывает Пятиизбянцев: кто-то, зная их номер телефона, что не великая тайна, может перевести им деньги, а им потом придется объяснять, что это не взятка.
Нужно ли согласие
Правила НСПК обязывают банки получать согласие клиентов на передачу сведений о нем НСПК, участникам СБП и плательщику. А в положении Центробанка говорится о том, что банк, если это не указано в договоре, должен получить согласие клиента на зачисление денег по идентификатору, например номеру телефона.
Договоры QIWI и «Тинькофф» с клиентами уже предусматривают возможность получать деньги через СБП, говорят их представители. СКБ-банк и «АК барс» также не будут запрашивать отдельно согласие получателя. Клиент дает согласие в электронной форме на присоединение к СБП, говорит представитель Совкомбанка. Клиенты Райффайзенбанка смогут получать деньги через СБП только при наличии такого волеизъявления, говорит его представитель: чтобы начать пользоваться сервисом, нужно в настройках мобильного приложения выбрать Райффайзенбанк основным для получения переводов по номеру телефона, а также указать счет, на который будут зачисляться переводы. Представитель «Золотой короны» заявил, что из-за закона о персональных данных и банковской тайне сначала будет запрашиваться согласие на получение денег.
Клиент банка может в любой момент отказаться от получения средств через СБП, подчеркнула пресс-служба НСПК.
Что надо знать о новых схемах мошенничества с системой быстрых платежей по номеру телефона
Мир не стоит на месте, и каждый день потребителю становятся доступны новый продукт, сервис или услуга. Одной из новинок стала Система быстрых платежей (СБП), запущенная Банком России в начале 2019 года.
О создании системы быстрых платежей
Еще 26 апреля 2018 года Центробанк сообщил о проходящем тестировании прототипа новой системы и о запланированном на 2019 год запуске готовой коммерческой версии проекта.
В разработке и внедрении СБП принимали участие:
В конце 2018 года были определены тарифы, и зарегистрированы правила работы СБП. А 28 января 2019 состоялся полноценный запуск системы.
Назначение и принципы работы
Система быстрых платежей – это сервис, обеспечивающий возможность круглосуточно переводить деньги по номеру телефона, и при этом неважно, в каком банке открыт счет отправителя и получателя, важно лишь, чтобы они (банки) были участниками СПБ. Перевод денег происходит без задержек, и они сразу поступают на счет адресата.
На данный момент к системе подключены следующие банки:
Чтобы совершить перевод, необходимо:
Риски
Новый сервис, как любой другой на начальном этапе, проходит период отладки. Неизбежно возникают непредвиденные ошибки и лазейки для мошенников.
Так, например, в первые месяцы работы сервиса было зафиксировано, что 90% всех операций в СБП – это попытки перевести деньги на счет банка, в котором у получателя нет открытого счета. Данная цифра может являться как результатом ошибок пользователей, еще не знакомых с системой, так и попыткой мошенников выяснить, в каком банке открыт счет у владельца номера.
Статистика говорит о том, что большинство мошеннических схем использует так называемую социальную инженерию, то есть у людей тем или иным способом выманивают информацию, необходимую для кражи денег. А зная номер телефона и название банка, в котором открыт счет у жертвы, мошенникам легче выдать себя за сотрудника банка.
Есть еще два фактора, представляющих угрозу безопасности:
Таким образом, в случае, если мошенники как-либо получат доступ к приложению банка, то мгновенно смогут украсть деньги и их невозможно будет вернуть. Воспрепятствовать краже сможет разве что лимит на перевод, который устанавливают банки участники. Максимальная сумма для всех едина и равняется 600 тыс. руб.
Стоит отметить, что разработчики СБП утверждают, что в систему встроены механизмы защиты, согласно ФЗ N115 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
С ФЗ N115 связан также еще один риск, который косвенно относится к обсуждаемому сервису. Дело в том, что получатель множества небольших переводов по номеру телефона может попасть под временную блокировку счета, пока не докажет, что не причастен к мошенническим схемам и отмыванию денег. Впрочем, аналогичный риск есть и при переводе по номеру карты.
И, наконец, последний и весьма неожиданный риск с началом работы сервиса возник у государственных служащих. Ведь если им на счет по номеру телефона переведут некую сумму денег, то у государства могут возникнуть вопросы об источнике этих денег и даже подозрения в получении взятки должностным лицом.
Мошеннические схемы с использованием СБП и способы обезопасить себя от них
Как уже было сказано ранее, мошенники чаще всего пользуются социальной инженерией. Методом перебора они узнают, в каком банке у жертвы открыт счет. Затем делают запрос на перевод средств, жертве приходит смс-сообщение с кодом подтверждения операции.
Зная номер телефона, имя и отчество жертвы, а также название банка, в котором у нее открыт счет, злоумышленник совершает звонок жертве. Представляется он, как сотрудник банка, называет данные, которые узнал ранее для того, чтобы ввести жертву в заблуждение, а потом выманивает код из смс-сообщения, необходимый ему для подтверждения операции.
Даже если вам кажется, что на том конце провода действительно сотрудник банка, и он озвучивает реальную проблему, то следует лично обратиться в ближайшее отделение банка за подтверждением.
Методы защиты, используемые Центробанком
Для защиты клиентов СБП Центральный банк использует двухступенчатую систему безопасности. Первым рубежом защиты являются банки-участники системы, на плечи которых возложена обязанность вычислять и предотвращать переборы номеров. Второй рубеж – это НСПК – операционный платежный клиринговый центр системы. Он отслеживает номера, с которых осуществляется деятельность, похожая на перебор, и блокирует их внутри СБП. Блокировка происходит на срок, не превышающий сутки. Информация о массовых переборах направляется в банки.