Новости

Система быстрых платежей оказалась уязвимой для мошенников

В ЦБ признали наличие проблемы перебора номеров в Системе быстрых платежей (СБП). Система устроена так, что дает возможность получить имя и отчество клиента, привязавшего номер к карте или счетам, а также названия банков, в которых они находятся. Это первичная информация для мошенников, специализирующихся на социальной инженерии. Всего в рамках борьбы с подбором данных ЦБ заблокировал более 23 тыс. номеров. Но такая блокировка — временная мера, в системе другого банка заблокированный номер телефона воспринимается как «чистый» и подбор можно начинать снова.

Куратор ФинЦЕРТ (подразделение ЦБ) Артем Сычев сообщил 20 февраля в ходе Уральского форума по информбезопасности, что СБП позволила заблокировать 23,3 тыс. операций по подозрению в попытках перебора номеров.

Как пояснили в ЦБ, были блокированы 23 тыс. телефонных номеров для использования в СБП. Из них 169 блокировок —подтвержденные банками попытки перевода денег без согласия клиента. «Важно подчеркнуть, что в СБП не хранятся клиентские данные,— отметили в ЦБ.— При этом система антифрода обеспечивает блокировку номеров, с которых осуществляются переборы или попытки направления запросов в банки—участники СБП в целях выяснить, возможно ли сделать перевод в пользу того или иного клиента этих банков». «СБП может быть использована как механизм для получения информации»,— отмечает и гендиректор «КартСтандарта» Майя Глотова.

Система быстрых платежей Банка России работает с конца января 2019 года. По данным ЦБ, за год в ней было проведено около 9 млн операций на 80 млрд руб. В настоящее время к ней подключены 42 банка, еще около 160 кредитных организаций подали заявки на подключение. Система позволяет гражданам переводить деньги по номеру мобильного телефона клиенту подключенного к СБП банка. Таким образом злоумышленники и подбирают данные, выясняя, где у конкретного человека есть счета, а потом методами социальной инженерии добиваются перевода средств со счета клиента на свои счета или счета подставных лиц.

В неофициальных беседах банкиры подчеркивают, что использованная в СБП система блокировки номера – не слишком эффективная мера. Смысл ее в том, что после пяти неудачных попыток определения банка, в котором потенциальные жертвы держат счет, номер телефона, с которого осуществляется подбор, блокируется на сутки.

Банки предпочитают подстраховываться сами. По словам члена правления Альфа-банка Ивана Пяткова, банк ведет мониторинг операций через СБП с помощью внутренних антифрод-систем. В банке «Русский стандарт» сообщили, что сейчас на всех уровнях СБП уже работает защита от «перебора» банков—получателей платежа без цели совершить операцию, которая позволяет своевременно блокировать подобные действия. В банке ВТБ заявили, что приняты организационно-технические меры, не позволяющие преступникам подставлять банковские номера при звонках клиентам.

Ксения Дементьева


Полный текст материала на http://www.kommersant.ru/

Материалы сюжета "Банк России запускает систему быстрых платежей (СБП)":
Все материалы сюжета (79)