Этот номер не пройдет

Ответственность за киберпреступления в России должна быть ужесточена, заявила глава ЦБ РФ Эльвира Набиуллина на форуме FINOPOLIS.

Перед этим глава Сбербанка Герман Греф, комментируя недавнюю утечку данных по кредитным картам, посетовал, что в России мошенничество в этой сфере наказывается мягче, чем в других странах. За фишинг - самое, по его словам, распространенное преступление (когда злоумышленники пытаются завладеть логинами, паролями и проверочными кодами), в России ответственность - ноль, тогда как в США - до пяти лет тюрьмы.

Как сообщил "РГ" глава Комитета Госдумы по финансовому рынку Анатолий Аксаков, Дума предложит обязать операторов связи фильтровать подменные номера - такая техническая возможность есть, а также рассмотрит введение отдельного состава преступления для сотрудников и организаторов мошеннических кол-центров.

Первая инициатива должна стать ответом на появившуюся в этом году в арсенале злоумышленников технологию подмены телефонного номера на номера кол-центров банков. С ее помощью они выдают себя за сотрудников служб безопасности и выманивают данные для хищения денег с карт под видом блокировки подозрительных транзакций. Если вам звонят из банка и просят сообщить какие-то данные, следует прекратить разговор и перезвонить по номеру, указанному на банковской карте, посоветовала Набиуллина.

ЦБ и сейчас может инициировать блокировку телефонов мошенников: с сентября 2018 года по август 2019 года его Центр мониторинга и реагирования на компьютерные атаки (ФинЦЕРТ) отправил на блокировку более чем 4,9 тысячи номеров. Но, для сравнения, Сбербанк в 2018 году зафиксировал атаки на своих клиентов со 135 тысяч телефонных номеров, сообщил Греф. Без сотрудничества с телеком-операторами проблему не решить, уверен он.

К тому, чтобы обязать финансовые организации выплачивать компенсации людям, чьи данные утекли на черный рынок, Набиуллина относится более осторожно - по ее словам, вопрос требует обсуждения. В этом случае по аналогии с "автоюристами" могут появиться "киберюристы", которые будут организовывать утечки ради компенсаций, опасается Аксаков.

Основные источники утечек, которые используются мошенниками для хищения с банковских счетов, - это не банки, а интернет-магазины и государственные базы данных, следует из отчета ФинЦЕРТа. Его специалисты отмечают, что 97% хищений со счетов физлиц - результат обмана или злоупотребления доверием (социальная инженерия). Обладая персональными данными, мошенники имитируют диалог с сотрудником банка, причем им достаточно знать ФИО и номер телефона жертвы, остальное (контрольные слова, коды подтверждений и т.д.) выведывается в ходе разговора.

В первой половине 2019 года ЦБ обнаружил без малого 13 тысяч объявлений о покупке/продаже различных баз данных, из них только 12% относились к базам банков и других финансовых организаций. Продажа персональных и учетных данных в даркнете - динамично развивающийся бизнес. Учетные данные для доступа к личным кабинетам в онлайн-банках продаются поштучно и при средней цене доступа в 22 доллара имеют баланс счета от нескольких десятков долларов до десятков тысяч, поясняет руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин. Стоимость данных одной карты с балансом от нескольких сотен до нескольких тысяч долларов - в среднем около 9 долларов, а отсканированную копию паспорта в даркнете можно приобрести за 2 доллара. По словам Гнедина, частные лица наиболее часто рискуют учетными записями и данными банковских карт - они составляют 44 и 34 процента соответственно от всего объема информации, украденной у частных лиц.