«Клиенты «Сбера» надежно защищены» Зампред правления Сбербанка Станислав Кузнецов — о борьбе с мошенническими call-центрами и работе по импортозамещению
Звонки от мошенников из «банковских служб» и попытки обмана в интернете стали, увы, привычны для россиян. Борьбой с этим заняты правоохранительные органы, но и банковское сообщество оказывает неоценимую помощь полиции, прокуратуре и СК, а также принимает собственные меры. О том, как борется с негативом главный банк страны, «Известиям «рассказал заместитель председателя правления «Сбербанка» Станислав Кузнецов.
— Что происходит с мошеннической активностью в отношении клиентов банков после 24 февраля? Был ли спад, отмечается ли сейчас рост?
— Тренд на дальнейший рост телефонного мошенничества сохранял актуальность вплоть до начала специальной военной операции. В январе 2022 года клиенты «Сбера» 250 тыс. раз обращались в банк с обращениями по поводу мошенничества, в феврале мы зафиксировали 264 тыс. обращений. 24 февраля звонки прекратились. И такая «тишина» сохранялась до 20-х чисел марта. А затем мошенники опять активизировались, хотя и в несколько меньших масштабах. Сегодня мы фиксируем до 50 тыс. таких звонков в сутки (до спецоперации — до 100 тыс. в сутки).
В абсолютных цифрах это, конечно, по-прежнему огромная проблема: по данным Центробанка, общий объем фрода по России в первом квартале этого года составил 3,3 млрд рублей. Это на 13% больше, чем в четвертом квартале 2021 года. Отмечу, что сегодня 80–90% звонков — это уже не «служба безопасности Сбербанка»: сейчас мошенники чаще действуют от имени других крупных банков. И пока прогноз такой, что рекорд прошлого года по количеству звонков может быть побит уже в течение III квартала.
— Поменялась ли география мошеннических call-центров?
— Подавляющее большинство мошеннических call-центров сегодня расположено на территории Украины. В интернете в открытую размещаются объявления о найме на работу в преступные call-центры в таких городах, как Львов, Днепр, Запорожье, Одесса и так далее. Анализ переписки и призывов в чатах поиска работы крупных центров телефонного мошенничества (скажем, в Днепре или Одессе) показывает, что вербовщики напрямую призывают вступать в ряды преступников для атаки на граждан РФ.
Приведу конкретный пример, чтобы был понятен масштаб проблемы. Крупный мошеннический кол-центр в Бердянске специализировался на звонках гражданам России. В нем было «трудоустроено» около 300 человек. В день они совершали порядка 5 тыс. звонков по базе из телефонных номеров 20 млн россиян, собранной в результате различных утечек. За четыре месяца только по «Сберу» предотвращен ущерб на 108 млн рублей, а звонили преступники, понятное дело, далеко не только клиентам «Сбера».
Более того, наше расследование показало, что техподдержка этого call-центра и его администрирование осуществлялись из Франкфурта и Амстердама. Защищенный доступ к облачной CRM для учета звонков обеспечивался компанией Cloudflare в США. Сервис IP-телефонии Narayana, один из ключевых центров мошеннического VOIP-трафика, предоставлялся из Эстонии.
У сотрудников call-центра была четкая иерархия и распределение обязанностей. Поскольку клиенты «Сбера» надежно защищены, мошенники обзванивали преимущественно клиентов других банков: по данным МВД, 80% потерпевших — клиенты одного очень крупного банка.
— Есть ли новые схемы мошенничества?
— Мошенники постоянно ищут новые возможности извлечения средств из доверчивых граждан, их тактика становится всё более изощренной по мере того, как клиенты учатся распознавать простые схемы обмана.
Расскажу о двух практиках. Первая — «двойной удар», когда злоумышленники эксплуатируют сразу два страха: потерять деньги и быть обвиненным в помощи боевикам. Мошенник под видом сотрудника call-центра банка сообщает, что счет клиента заблокирован в связи с попыткой нелегального перевода в недружественную страну. Если легенда срабатывает, «сотрудник банка» выведывает персональную информацию, после чего деньги уходят на подконтрольный злоумышленникам счет.
Вторая — «обман на обмане». Чтобы «вернуть» пострадавшему будто бы похищенные у него деньги, мошенники создают специальные сайты, ссылки на которые направляют по электронной почте, в SMS или мессенджере. Злоумышленники просят гражданина заполнить форму с личными и финансовыми данными, чтобы «проверить полагающуюся сумму возврата и оформить его». Получив эти данные, они похищают у человека деньги.
И еще один тренд — мошенники все чаще звонят через мессенджеры, обычно это Viber.
— Банки точечно отслеживают и блокируют «тюремные call-центры». Почему эту проблему пока не получается полностью искоренить? Планируется ли что-то делать на федеральном уровне?
— Благодаря конструктивному взаимодействию «Сбера» с прокуратурой и ФСИН ситуация в этой сфере заметно улучшилась: объем мошенничества из мест лишения свободы на территории РФ за последние два года уменьшился в 10 раз. Крупные call-центры прекратили свое существование — остались в основном мошенники-одиночки и ряд этнических преступных группировок. Поэтому могу с уверенностью сказать, что с тюремными call-центрами мы в целом справились.
Сегодня в фокусе нашего внимания находится борьба с дроперами — людьми, которые незаконно обналичивают деньги для преступников через банковские карты. Центробанк обязывает банки выявлять таких злоумышленников, противодействовать переводам на их реквизиты и блокировать электронные средства платежа. «Сбер» же не ограничивается выполнением рекомендаций регулятора. Мы дополнительно анализируем профили клиентов и их финансовую активность, и при выявлении признака дропера устанавливаем запрет на снятие и пополнение денежных средств во всех каналах обслуживания «Сбера».
Мы уже выявили 25 тыс. клиентов с признаком дропера и осуществляем за ними дополнительный контроль. С начала этого года в «Сбере» заблокировано более 50 тыс. попыток выпуска карт-дропов, притом что за весь прошлый год — всего 17 тыс. По нашим оценкам, реальное число дроперов в России может достигать 500 тыс. человек.
К сожалению, в России практически отсутствует следственная и судебная практика привлечения дроперов к уголовной ответственности. Нет единого подхода к правоприменению у органов прокуратуры и суда в регионах. Действия лиц, оформивших в банке карты, которые затем были переданы третьим лицам и использовались при совершении противоправных действий, не образуют самостоятельного состава преступления, предусмотренного особенной частью Уголовного кодекса РФ. Поэтому сейчас дроперы привлекаются к уголовной ответственности по существующим статьям УК РФ (ст. 158 — «Кража», ст. 159 — «Мошенничество»), но это лишь те, кто непосредственно обналичивает похищенные денежные средства.
Как показывает текущая судебно-следственная практика, дроперы в основном проходят по уголовным делам в статусе свидетелей, поскольку доказать их осведомленность о совершенном преступлении сложно. Следовательно, привлечь их к ответственности практически невозможно. Поэтому, на мой взгляд, необходимо ввести административную и уголовную ответственность за передачу своих банковских карт третьим лицам в целях незаконного обналичивания.
Пока что единственная мера воздействия в таких ситуациях — блокировка карты или невыдача новой карты, законом это никак не регулируется. Для исправления этой ситуации мы вместе с Банком России инициировали изменение 161-ФЗ, чтобы разрешить банкам не зачислять переводы и отключать все дистанционные услуги по таким картам.
— Что сейчас происходит с DDoS-атаками на банки?
— По данным ЦБ РФ, в период с 24 февраля по 12 апреля произошло 265 крупных DDoS-атак на российские банки. Это в 22 раза больше, чем в начале года. Только «Сбер» в I квартале 2022 года успешно отразил 349 DDoS-атак. И это в 10 раз больше, чем в IV квартале 2021 года, когда у нас было всего 32 атаки (за весь прошлый год — 154). Такие цифры говорят сами за себя: комментарии излишни, всё очень наглядно.
Причем растет не только количество DDoS-атак, но и их мощность. 6 мая мы зафиксировали самую мощную атаку за всю историю «Сбера». Она была направлена на наш сайт www.sberbank.ru, ее пиковая мощность превысила 450 ГБ/c. Вредоносный трафик был сгенерирован ботнетом, в состав которого входило более 27 тыс. устройств. Наиболее массивно атака осуществлялась из Тайваня, США, Японии и Англии.
Анализируя параметры и характер атак, с которыми в этом году сталкиваются различные российские компании, мы видим, что они во многом напоминают атаки, которые имели место осенью 2021 года. Поэтому мы предполагаем, что осенние атаки были элементом подготовки и разведки целей. Думаю, что в будущем количество DDoS-атак снизится, однако их мощность вырастет, они станут более сфокусированными. И, скорее всего, атакующие переключатся с DDoS-атак на целенаправленные взломы организаций.
— Используют ли хакеры какие-то еще методы для атак на банки?
— Помимо DDoS-атак используется целевой фишинг и адресное общение. Преступники могут выходить на работников организаций по связям и данным, размещенным в соцсетях. Только за март количество фишинговых атак на сотрудников российских компаний выросло вдвое. В своих письмах злоумышленники убеждали запустить вложенный вредоносный файл или перейти по ссылке для его скачивания, чтобы тем самым проникнуть в периметр компании.
Отмечу еще одну тревожную цифру: число хакерских атак с программами-вымогателями с начала спецоперации увеличилось в три раза. Мы выявили порядка 30 образцов вирусного программного обеспечения, нацеленного на российские организации.
Вот для наглядности статистика по «Сберу»: в I квартале 2022 года злоумышленники пытались отправить нашим сотрудникам более 18 тыс. писем с вредоносными вложениями. Все эти письма были заблокированы, так что своих целей преступникам достичь не удалось.
— Фиксируете ли вы более частое внедрение вирусов в открытые коды ПО, так называемые «закладки»? Если да, какие угрозы несет эта схема?
— Действительно, в программном обеспечении, основанном на принципах Open Source, всё чаще выявляются разного рода «закладки»: от демонстрации антироссийских лозунгов до деструктивного воздействия на критическую информационную инфраструктуру. Поэтому мы проверяем абсолютно все обновления ПО на наличие таких закладок и разрешаем обновления только после того, как убедимся в их безопасности. Мы также создали репозиторий проверенного ПО и теперь используем в своей деятельности только его.
В целом опыт «Сбера» показал, что противостоять новым угрозам можно. Однако для этого необходимо пересмотреть подход к использованию иностранного ПО и софта с открытым кодом.
— Готов ли «Сбер» к импортозамещению иностранного софта и железа? С замещением какого ПО и оборудования наблюдаются проблемы? Грозит ли это безопасности банка?
— Существует немало качественных средств защиты информации отечественного производства: антивирус, защита от DDoS и баз данных, защита от утечек информации и каналов взаимодействия и так далее. При этом некоторые классы средств защиты (например, межсетевые экраны прикладного уровня) подходят только для малого и среднего бизнеса и не выдерживают большую нагрузку. Для распределенных и высоконагруженных систем ряд средств защиты пока отсутствует совсем — в частности, нет систем контроля доступа к сети (NAC). Минпромторгу и Минцифры нужно плотно работать с производителями средств защиты для разработки отечественных аналогов по всему спектру средств защиты информации, в том числе для высоконагруженных распределенных систем.
Подчеркну, что процесс импортозамещения не предоставляет никаких угроз безопасности «Сбера» и его клиентов. Располагая современными многоуровневыми средствами защиты, мы полностью обеспечиваем безопасность своих систем. И, более того, «Сбер» готов обеспечить защиту данных других российских организаций, у нас есть для этого эффективные решения.
Один из флагманских продуктов в этой сфере — уникальная платформа для безопасной трансформации сети Secure SD-WAN от компании BI.ZONE. Она позволяет за несколько минут построить сеть в организациях различного размера и обеспечить безопасность передачи данных между филиалами и головным офисом. Сейчас устройство проходит сертификацию в ФСБ по уровню доверия КС1-КС3 для использования в критической инфраструктуре и госорганах.
— По итогам 2021 года эксперты отмечали спад числа объявлений о продаже данных клиентов банков. Можно ли говорить, что сократилось и число самих утечек? Или после 24 февраля ситуация вновь поменялась?
— С начала проведения спецоперации злоумышленники опубликовали многочисленные базы данных, которые были использованы для атак на граждан РФ. Данные из этих выгрузок были получены преступниками в результате успешных фишинговых атак на клиентов различных организаций, не только банков. И, кстати, события последних месяцев подтверждают, что финансовые организации страны лучше защищены от утечек, чем представители других сфер.
— Многие участники рынка жалуются на недостаточную вовлеченность Центробанка в обеспечение защиты кредитных организаций в условиях повышенных рисков после 24 февраля. Как вы в этом плане оцениваете работу регулятора?
— На мой взгляд, реакция госорганов, включая ЦБ РФ, была своевременной и действенной. В частности, Банк России совместно с ФСТЭК подготовил более 250 рекомендаций по защите инфраструктуры. Вместе с тем очевидно, что эта работа не является разовой: она продолжается и корректируется по мере развития ситуации.