Цифровые технологии — быстро изменяющаяся сфера, а значит, государство должно успевать активно реагировать на такие трансформации. Таков был один из смыслов Форума «АнтиФрод Россия 2023», прошедшего в декабре в Москве
С начала 2023 года, по данным ЦБ, количество попыток совершения операций без согласия клиентов достигло 20 млн. При этом сумма предотвращенного хищения составила 3,3 трлн рублей. «Это страшные цифры, но это не ошибка», — так охарактеризовал эти данные Вадим Уваров, директор департамента информационной безопасности (ДИБ) Банка России.
Основными способами обмана граждан и должностных лиц продолжают оставаться социальная инженерия вкупе с дипфейками, подпитываемая утечками персональных данных, а также фишинг. Никуда не уходит проблема захвата управления устройствами пользователей через легитимное ПО для удаленного доступа к ним.
Вадим Уваров (Банк России). Фото: «АнтиФрод Россия»
И наличные стали предметом охоты
В числе последних нашумевших примеров — новая мошенническая схема, связанная с обновленной 5000-рублевой банкнотой. Мошенники звонят людям и сообщают, что необходимо проверить подлинность наличных денег. Для проверки предлагается установить на телефоне специальное приложение — «Банкноты Банка России», которое реально существует и доступно на веб-сайте регулятора. Вот только мошенники дают фишинговую ссылку на фальшивую программу, визуально похожую на официальную. После установки приложения аферисты получают удаленный доступ к телефону жертвы и соответственно к банковским приложениям и счетам. Затем они похищают деньги со всех счетов человека.
В последнее время социальные инженеры не гнушаются и хищением наличных денег. В телеграм-канале ЦБ можно найти еще один вариант схемы, в которой эксплуатируется тема банкнот: «Аферисты под видом работников социальных служб ходят по квартирам и убеждают жильцов обменивать старые банкноты номиналом 5 тыс. рублей на “новые”. Доверчивым людям при этом подсовывают фальшивые купюры. Есть даже случаи квартирных краж, совершенных под предлогом “обмена денег”».
Что касается обмана путем социальной инженерии, то с трибуны Форума было сказано: «Обучение людей, конечно, дает положительные результаты, но нет ни одного человека в мире, которого бы мошенники не развели со временем. За “интересным клиентом” устанавливается наблюдение, собирается информация, ищутся моменты времени, когда атака может быть максимально эффективна. И вот, на “безопасные счета” перечисляют денежные средства и пенсионеры, и сотрудники министерств».
ИИ также стал использоваться для реалистичной подмены фото, аудио и видео при помощи нейросетей. Для входа в доверие к жертве стали применяться копии голоса руководителей компаний или известных личностей. Пострадавший от ставшего известного на всю Россию дипфейка так описал свой печальный опыт общения с «голливудской звездой из волгоградского управления ФСБ»: «Я долго вспоминал, на кого был похож этот “капитан Скворцов”. Все время, когда мы общались по видеосвязи, я думал, что какое-то знакомое лицо, где-то я его видел, поэтому он и расположил меня к себе. Потом понял, да это же вылитый Том Круз. Лицо примелькалось, поэтому на подсознании какого-то отторжения и не было».
Обмен против обмана
Модератор пленарной сессии Борис Мирошников, вице-президент по ИБ ГК «Гарда», обратился к Вадиму Уварову: «Мне кажется, существует “некоторое затруднение” в ситуации налаживания обмена информацией как действенного средства борьбы с мошенничеством».
Директор ДИБ регулятора не стал уходить от ответа: «Да, действительно, ситуация с обменом информацией так и находится на стадии дискуссии и обсуждения вариантов кросс-индустриального взаимодействия, например, с операторами связи и правоохранительными органами. Укрепление этого обмена помогло бы повысить реальное качество антифрод-процедур. Но для этого необходимо научиться предоставлять именно ту информацию, которая будет способствовать расследованию преступлений».
При ЦБ существует рабочая группа, которая изучает вопрос обогащения внешними данными внутренней информации. Еще в 2018 году регулятор внес на обсуждение в Госдуму законопроект № 514780-7 о создании Единой информационной системы проверки сведений об абонентах (ЕИС ПСА). ЦБ уже успел добавить в него поправки, согласно которым доступ к системе планируется предоставить не только банкам и платежным системам, но и силовикам, и коллекторам. Большие надежды возлагаются также на полноценный запуск системы «Антифрод» Главного радиочастотного центра для блокировки звонков с подменных номеров.
Вадим Уваров добавил: «Учитывая длительность рассмотрения вопроса по ЕИС ПСА, Банк России дополнительно изучает инициативу о возможности введения операторов связи в контур нашего информационного обмена через Автоматизированную систему обработки инцидентов (АСОИ ФинЦЕРТ) Банка России. Для того чтобы правильно выстроить процессы, мы хотим четко понимать, какая информация может быть полезна операторам, например анализ транзакционных данных для обогащения наших сведений и наоборот. Информационный обмен должен быть взаимовыгодным».
Назовем вещи своими именами
Первый вице-президент Газпромбанка Александр Егоркин отметил: «Пока суть да дело, видно, как системы антифрода уже начинают тормозить обслуживание физлиц, поэтому идти дальше по пути “закручивания гаек” сегодня проблемно — нужно искать альтернативные средства противодействия».
Фото: «АнтиФрод Россия»
Эльман Мехтиев, член экспертного совета Банка России, председатель совета СРО «МиР», предложил: «Если мы собираемся всерьез говорить о борьбе с мошенничеством, то давайте называть вещи своими именами. И для начала давайте согласимся с тем, что отрасль отказалась от тезиса: “Клиент сам виноват в том, что его надули”. Теперь, когда жертвами социальной инженерии стали даже представители Минфина, пришло понимание того, что все происходящее — “наша проблема“, в том числе и потому, что других клиентов у нас нет. А раз так, то должна появиться защита от фрода как на уровне процессов, так и на уровне регулирования. И там, и там у нас много дыр».
Что не так с регулированием? Профессионалам финансового дела спикер предложил вспомнить 2007 год и письмо Банка России № 60-Т, которое позволило противостоять дропперам. Предложил он вспомнить и о том, как банкиры бились против вступления в силу в 2014 году ст. 9 Закона № 161-ФЗ. Печальная история о ЕИС ПСА уже была освещена Вадимом Уваровым. С тех пор «в правильную» сторону поменялась даже позиция многих лоббистов, а Закон так и не принят. Далее хронология содержит запись от 2022 года о законопроекте № 197920-8 о блокировке переводов до двух дней, которому посчастливилось-таки стать Законом № 369-ФЗ от 24.07.2023. Законопроектам от 2023 года № 341256-8 о «самозапрете» в кредитной истории и № 476441-8 о «второй руке» пока повезло гораздо меньше. И со всеми этими документами «что-то не так».
«Даже по частоте принятия законопроектов понятно, что финансовая отрасль должна работать против того, чтобы социальная инженерия существовала именно на уровне процессов. Технологии — это супер. Но если есть дыра в законодательстве, то никакие технологии не решат проблему, потому что они будут либо “на грани”, либо вообще в серой зоне регулирования», — поставил в укор банкирам Эльман Мехтиев.
Почему именно банкирам? Будучи лоббистом сегмента МФО, спикер в качестве примера эффективной работы микрофинасистов назвал базовый Стандарт совершения МФО-операций на финансовом рынке, который вступил в силу 23 апреля 2023 года. По мнению докладчика, в этом документе Банк России впервые стимулирует отрасль к внедрению технологий. Кроме того, вендорам было предложено заявить себя как исполнителей хотя бы одной из десяти технологий, заявленных в этом Стандарте. Выстроилась очередь. А что делали в это время банкиры?..