ЦБ после утечки данных покупателей маркетплейса Joom выявил схему, когда мошенники использовали номера телефонов и последние цифры карт банковских клиентов для получения сведений об их счетах через голосовое меню одного из банков
ЦБ предупредил банки о схеме, которая позволила злоумышленникам получить дополнительные сведения о клиентах одной из кредитных организаций и впоследствии использовать их для мошенничества с применением методов социальной инженерии. Злоумышленники обращались с подмененных номеров клиентов в систему интерактивного голосового меню при звонке в банк, написал в письме в адрес кредитных организаций Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России. РБК ознакомился с письмом, его подлинность подтвердили два источника на банковском рынке.
Использованная схема позволила мошенникам узнать информацию об остатках на счетах своих потенциальных жертв. В дальнейшем эти данные применялись при мошеннических звонках клиентам в целях кражи денежных средств с банковских карт, следует из письма.
Как пояснил РБК представитель ЦБ, такое мошенничество стало возможным из-за того, что один из банков не соблюдал рекомендации по противодействию мобильному мошенничеству и защите клиентов от несанкционированного доступа к их конфиденциальной информации через IVR (систему интерактивного голосового меню), которые были даны в 2019 году.
Как мошенники использовали голосовое меню
ЦБ расследовал инцидент, после того как один из банков сообщил о резком росте числа звонков своим клиентам от мошенников, которым было известно об остатках денежных средств на счетах, следует из письма. В результате было установлено следующее:
Мошенники совершали телефонные звонки в систему IVR (интерактивное голосовое меню), подменяя телефонные номера клиентов. При звонке с номера клиента они запрашивали у системы сведения по остаткам денежных средств на картах клиентов, вводя для этого последние четыре цифры номеров этих банковских карт.
После этого мошенники, используя методы социальной инженерии (психологические методы, направленные на обман клиентов), звонили своим жертвам, представляясь сотрудниками банка. Как говорится в письме, «для преодоления барьера недоверия и успешного применения иных методов социальной инженерии» они использовали информацию об остатках денежных средств.
Номера телефонов клиентов и номера принадлежащих им банковских карт были скомпрометированы и распространялись в интернете. Источник получения этих данных однозначно не установлен, однако, как считают в ЦБ, мошенники могли их получить в том числе из клиентской базы маркетплейса Joom, которая ранее оказалась в открытом доступе, следует из письма.
Как утекли данные клиентов Joom
В конце августа ЦБ и платежная система Visa предупредили банки о том, что в Сети распространяется база 55 тыс. клиентов маркетплейса Joom, которая в том числе содержит данные о банковских картах, номерах телефона и Ф.И.О. покупателей. Среди данных оказались сведения о клиентах Сбербанка, Россельхозбанка, «Открытия», Райффайзенбанка, МКБ, Тинькофф Банка, Росбанка, Почта Банка, Киви Банка, Абсолют Банка, «Ак Барса», Промсвязьбанка, Ситибанка, ЮниКредит банка, банков «Санкт-Петербург», «Уралсиб», «Зенит», «Ренессанс Кредит», РНКБ, МТС-банка, УБРиРа и других российских, а также зарубежных банков. Часть банков решили перевыпустить карты пострадавшим клиентам или усилить контроль за операциями по ним. Вскоре в интернет из скомпрометированной базы Joom попали данные 31 тыс. клиентов ВТБ.
На то, что мошенникам была известна информация об остатке на счете, жаловались клиенты Райффайзенбанка, писали «Известия». При этом в Сети появилась база данных 27 тыс. его клиентов, которая также была частью базы Joom. Райффайзенбанк подтверждает компрометацию только 2 тыс. карт, сказал РБК его представитель. 4 сентября Райффайзенбанк предупредил об участившихся звонках клиентам от мошенников, но исключал утечку данных из самого банка.
Что рекомендовал ЦБ
После обнаружения мошенничества ФинЦЕРТ ЦБ еще раз указал на необходимость следовать рекомендуемым мерам, пояснил представитель регулятора: «Банки при обслуживании клиентов в системе телефонного банкинга в автоматическом режиме должны использовать дополнительный параметр аутентификации, например секретный код, который устанавливается клиентом при заключении договора. Кроме того, последние четыре цифры номера карты не могут являться дополнительным параметром аутентификации. Соблюдение таких рекомендаций позволит банкам предотвратить подобные инциденты».
В самом письме отмечается, что безопасным идентификатором не может считаться и телефонный номер клиента из-за проблемы с подменой номеров и утечек клиентских данных. Банкам также следует обеспечить синхронизацию обращений в системы интерактивного голосового меню с системами антифрода (борьбы с мошенничеством) и выявлять аномальную активность клиентов после использования интерактивного голосового меню.
РБК направил запрос в крупнейшие банки. Представитель Райффайзенбанка рассказал, что получение данных о балансе через систему IVR — достаточно распространенный на банковском рынке функционал. «К сожалению, мы видим, что мошенники стали все чаще использовать подложные номера телефонов клиентов для получения доступа к некоторым данным», — пояснил он, добавив, что сейчас данные по остатку счета направляются на контактный номер клиента через СМС или пуш-сообщение. Такой способ, по словам представителя банка, полностью закрывает сценарий раскрытия информации посредством подмены номера мошенниками при звонке через IVR.
ВТБ, который использует функцию интерактивного голосового меню, настроил систему безопасности таким образом, чтобы максимально защищать клиентов при использовании данной услуги, сказал представитель банка. «Яндекс.Деньги» не фиксировали роста числа звонков мошенников клиентам, а для запроса баланса по карте необходимы логин и пароль, в отдельных случаях также может быть запрос СМС или одноразового пароля, отметил представитель компании. МКБ не отметил жалоб клиентов на подобные звонки.
Банк «Открытие» для своих клиентов, которые были в базе Joom, установили запрет на получения финансовой информации через голосовой помощник с самого начала.
РНКБ для предоставления баланса с помощью IVR использует доверенный номер телефона и последние четыре цифры номера карты, но при этом не фиксирует резкого роста мошеннических звонков своим клиентам. Также банк рассматривает возможность применения для этих целей биометрии.
Интерактивное голосовое меню дает возможность узнать баланс счета, сменить PIN-код и т.д., отмечает руководитель направления «Информационная безопасность» ИТ-компании КРОК Андрей Заикин. «Между тем для расширения функционала требуется интеграция со все большим количеством систем внутри банка, что влечет за собой дополнительные риски с точки зрения информационной безопасности (ИБ). Ведь один метод защиты, примененный в одном приложении, может полностью закрыть угрозу ИБ, а в другом приложении сработать не так эффективно», — предупреждает он.
Лучше давать голосовому помощнику дополнительный функционал только при использовании заранее заданного специального кода, а не только номера телефона и последних цифр карты, говорит Заикин, и многие банки уже это делают. Банки могут установить в голосовом меню для проверки клиента СМС или push-уведомления, отмечает ведущий эксперт «Лаборатории Касперского» Сергей Голованов.