Есть ли риски в системе быстрых платежей?
Центробанк 28 февраля запустил систему быстрых платежей (СБП). Пока к ней примкнули четыре банка из 12 обещанных— Тинькофф банк, Промсвязьбанк, Росбанк и СКБ-банк. Чтобы сделать перевод, отправитель должен в приложении своего банка выбрать номер получателя из списка контактов, а из перечня банков — участников системы быстрых переводов тот, в который перевести деньги.
Таким образом, можно проверить, в каких банках есть счета у получателя. Это информация упрощает мошенничество, пишут «Ведомости». Однако эксперты, опрошенные Business FM, никаких новых опасностей пока не видят.Система только запущена, говорить о каких-то проколах очень сложно, но функция, когда высвечиваются держатели счетов в различных банках, и до системы быстрых платежей уже существовала — так прокомментировал ситуацию эксперт по информационной безопасности компании Cisco Systems Алексей Лукацкий:
Алексей Лукацкий
эксперт по информационной безопасности компании Cisco Systems
«Если у вас есть приложения разных банков на телефоне, вы можете достаточно легко определить, есть ли у, грубо говоря, жертвы или у интересующего вас человека счет в этом банке или нет. Поэтому СБП в этом плане новых рисков не приносит. Для меня пока большой знак вопроса — это скорость передачи. Если какой-либо клиент заявляет о мошенническом переводе денег, очень непросто будет эти деньги вернуть обратно, потому что эта процедура пока до конца не отработана. Чтобы защититься от клонирования SIM-карты, от подмены телефонов и так далее, сейчас готовится ряд законопроектов, которые облегчат обмен информацией между банками и операторами связи, чтобы в случае смены либо потери телефона или SIM-карты можно было оперативно блокировать те или иные номера и защитить клиентов от несанкционированного списания средств. Но надо дождаться хотя бы полугодового опыта применения этой системы, чтобы понять, какие методы злоумышленники заново придумают под СБП или они останутся в своем привычном для них поле совершения мошеннических операций».
В прошлом году мошенники украли с карт около 1,5 млрд рублей, это на 44% больше, чем в 2017-м, следует из данных ЦБ. Основной механизм краж — в 97% случаев — это социальная инженерия. То есть обычный звонок по телефону, когда люди сами дают доступ к конфиденциальной информации, паролям, банковским и другим, опытному мошеннику, говорит генеральный директор компании Zecurion Алексей Раевский:
Алексей Раевский
генеральный директор компании Zecurion
«С одной стороны, понятно, что система перевода не будет работать, если не знать, куда конкретно, кому именно переводить. С другой стороны, получается, что разглашение этой информации может повредить. Всегда приходится выбирать между удобством и безопасностью. В принципе, мне кажется, надо банкам делать так, чтобы не было вот как сейчас, когда звонят мошенники своим потенциальным жертвам, представляются сотрудниками банка, и у них вся информация: адрес, паспортные данные, остаток на счете. В Европе, в США это был бы вообще скандал. Первые лица этих банков сейчас бы с бледным видом оправдывались под прицелом телекамер и объясняли, почему у них происходит такая вакханалия. Надо принимать какие-то срочные меры, потому что проблема в том, что в банках совершенно спокойно действуют инсайдеры, которые имеют доступ к информации о своих клиентах и которые этой информацией торгуют на черном рынке. Это является серьезнейшим нарушением банковской тайны, а вовсе не то, что я буду знать, что у кого-то, например, счет в Сбербанке или где-то еще. Если все процедуры и все процессы информационной безопасности построены как надо, то и мошенникам это ничего не даст».
Самая большая опасность для получателя, по мнению экспертов, в том, что если ему будут переводить большую сумму мелкими платежами, его карту или счет заблокируют. Кроме того, есть риски и для госслужащих, которым по номеру телефона могут перевести деньги, а им потом придется объяснять, что это не взятка. Однако документ, который обяжет банки спрашивать согласие клиентов на перевод денег по телефону, Центробанк уже подготовил.