Вадим Уваров: «Борьба с социальной инженерией — дело общее!»

О ключевых трендах в сфере безопасности банковского сектора и платежной индустрии, а также о том, есть ли у участников рынка шанс одержать победу над социальными инженерами из преступного мира, мы беседуем с Вадимом Уваровым, директором Департамента информационной безопасности Банка России.

ПЛАС: Как вы оцениваете последние тренды в противодействии мошенникам в банковском секторе и платежной индустрии? Удается ли найти возможности для хотя бы частичного нивелирования суперактивности преступников и в той или иной степени купировать ущерб, наносимый их деятельностью? Если да, то каким образом?

В. Уваров: Как известно, мошенники действуют как против финансовых организаций, так и против их клиентов — ​физических и юридических лиц. По нашим данным, финансовые организации, в частности банки, в целом смогли успешно выстроить системы защиты. В 2020 году непосредственно у банков похитили всего 32 млн руб­лей. Таким образом, пандемия показала — ​переход на удаленный режим работы и обслуживание клиентов не привел к всплеску потерь банков от мошенничества.

Несколько иная картина открывается, когда мы говорим о потерях от мошенничества со стороны банковских клиентов. В 2020 году общая сумма денег, похищенных мошенниками у клиентов банков — ​физических лиц, составила примерно 8,75 млрд руб­лей, что значительно превышает аналогичный показатель «допандемийного» 2019 года — ​5,7 млрд руб­лей.





С одной стороны, мы видим полуторный рост потерь. С другой — ​нельзя забывать, что люди в 2020 году, находясь в режиме самоизоляции, гораздо чаще совершали покупки, используя ДБО, соответственно, объем платежных транзакций, совершаемых дистанционно, тоже возрос практически на четверть. Иными словами, нельзя говорить о ­каком-либо существенном росте доли похищенных финансовых средств, поскольку объемы операций физлиц в прошлом году на фоне пандемии также резко и значительно возросли.

Однако если рассматривать такое явление, как социальная инженерия, нельзя обойти стороной следующий момент. Несмотря на резкое увеличение потерь населения от действий мошенников в абсолютных величинах, доля возмещенных физлицам денег за 2020 год составила всего 11,3% от хищений, что никак нельзя назвать высоким показателем.

В чем здесь проблема? В первую очередь в том, что основная доля операций без согласия клиента (как официально именуются мошеннические транзакции в наших отчетах), а именно 62%, была совершена именно с использованием методов социальной инженерии.





Следовательно, под их воздействием клиент самостоятельно либо выдал преступникам критичную информацию (одноразовый пароль, ПИН-код, CVC/CVV и т. п.), либо совершил перевод своих средств на сторонний счет (например, пытаясь их «спасти» по совету преступника, представившегося банковским работником). В результате клиент фактически нарушил соответствующие положения договора с банком (пусть и не отдавая себе в этом отчет) и лишился права на компенсацию потерянных средств согласно ФЗ‑161. В этом и состоит опасность социальной инженерии, направленной именно на кошельки клиентов, причем зачастую из малообеспеченных и социально незащищенных групп.

Следует отметить, что в 2019 году доля социальной инженерии в общем количестве операций без согласия клиента была несколько больше и составляла 68,6%. Банк России, в том числе мои коллеги из департамента по связям с общественностью, университет Банка России и другие подразделения регулятора проделали масштабную просветительскую работу с банками в плане подготовки кадров, контента и доведения информации до клиентов кредитных организаций.





В частности, совместно с коллегами из департамента по связям с общественностью мы подготовили видеоролики, которые размещались в общественном транспорте, включая Московский метрополитен. В доступной форме пассажирам разъяснялось, как не стать жертвой мошенников.

Важно понимать, что проблема социальной инженерии — ​это не проблема технической безопасности того или иного цифрового сервиса. Здесь все упирается в психологию и, конечно же, в осведомленность клиента. Поэтому, разрабатывая информационный контент, большое внимание мы уделили адаптации содержания и каналам его донесения до различных групп населения. Как известно, люди старшего поколения больше нацелены на телевидение и читают газеты. Среднее поколение живет в мире цифровых гаджетов, молодежь черпает информацию из социальных сетей, мессенджеров и т. п. Мы внимательно изучаем те социальные группы, которые часто попадаются на уловки мошенников, и пытаемся для каждой из них разработать свой контент, наиболее простой и понятный для восприятия.

Очень важно, чтобы такого рода информация была доступна клиенту «здесь и сейчас». Именно поэтому, например, мы обращаем внимание банков на необходимость размещения соответствующих материалов с инструкциями противодействия мошенникам на банкоматах. Именно банкомат за последний год все чаще выступает инструментом хищения денег у жертв социальной инженерии. Находясь под психологическим воздействием, клиент снимает свои средства со счета наличными и переводит их на сторонний якобы «совершенно безопасный» счет, используя банкомат другого банка и реквизиты, которые указал ему преступник. В этом случае разрывается цепочка срабатывания антифрод-­систем кредитных организаций, и наличные деньги без проблем зачисляются на счет преступников через другой банкомат, откуда моментально снимаются дропперами. В результате обманутый клиент, составляя заявление о преступлении в полицию, зачастую не может вспомнить даже реквизиты счета, которые он вводил при переводе. Это ноу-хау мошенников, которое в настоящее время они активно используют.





Также для противодействия так называемому телефонному мошенничеству Банк России вместе с операторами мобильной связи, Роскомнадзором и другими ведомствами ведет работу в сфере нормативного регулирования. Это и борьба с подменными номерами, и создание системы обмена информацией между банками и операторами мобильной связи. Также Банк России инициирует блокировку мошеннических телефонных номеров.

ПЛАС: Как выглядит на конец 2020 года — ​середину 2021‑го ситуация с использованием преступниками социальной инженерии? Когда ожидаются реальные успехи на этом фронте, которые могли бы свидетельствовать о реальном переломе ситуации в противодействии криминалу?

В. Уваров: Статистику за 2021 год мы дадим в следующем году. В скором времени опубликуем данные за первый квартал 2021 года. Для реального успеха нужна максимально плотная координация усилий многих организаций и государственных структур, в том числе правоохранительных органов. Также важна просветительская работа, которую, как я уже отметил, активно ведет Банк России. Сейчас, пожалуй, нет ни одного человека, который бы не знал о телефонных мошенниках, однако мало кто задумывается над тем, что именно он может стать очередной жертвой. По этой причине многие даже неплохо информированные об этой угрозе люди, сталкиваясь с мошенниками, теряются и совершают критичные ошибки.

Чтобы не стать жертвой мошенника, необходимо помнить, что никогда и ни в коем случае нельзя сообщать незнакомым людям, кем бы они ни представлялись, либо вводить на сомнительных ресурсах данные банковской карты, коды из SMS, секретные слова т. п. Также нельзя переводить деньги куда бы то ни было по указанию лично не знакомых вам людей, даже если они представляются сотрудниками банка, правоохранительных органов или компаний с известными брендами. В целом же любой звонок «из банка», целью которого является побуждение клиента к ­каким-либо действиям, следует немедленно прервать, сразу же перезвонив в банк по ранее известному вам номеру.





Сразу оговорюсь — ​мы прекрасно понимаем, что снижение доли социальной инженерии в общем количестве транзакций без согласия клиента на 7% за год — ​это далеко не самый лучший показатель, равно как и упомянутое 11%-процентное возмещение денежных средств жертвам мошенников. Растущая активность телефонных мошенников, которые используют текущую ситуацию в кредитно-­финансовой сфере, дала нам повод детально задуматься над этим вопросом. И сегодня Банк России принимает ряд конкретных мер по минимизации этой проблемы, которые позволят нам радикально изменить состояние дел по борьбе с социальной инженерией.





ПЛАС: Стоит ли, на ваш взгляд, ожидать расцвета социальной инженерии в странах ближнего зарубежья?

Если у вас есть подписка, нажмите
Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных