Зампред правления Сбербанка Станислав Кузнецов: клиенты банка надежно защищены

Зампред правления Сбербанка Станислав Кузнецов рассказал о борьбе с мошенническими call-центрами и работе по импортозамещению, сообщает пресс-служба банка.

Звонки от мошенников из «банковских служб» и попытки обмана в интернете стали, увы, привычны для россиян. Борьбой с этим заняты правоохранительные органы, но и банковское сообщество оказывает неоценимую помощь полиции, прокуратуре и СК, а также принимает собственные меры. О том, как борется с негативом главный банк страны, «Известиям» рассказал заместитель председателя правления Сбербанка Станислав Кузнецов.

– Что происходит с мошеннической активностью в отношении клиентов банков после 24 февраля? Был ли спад, отмечается ли сейчас рост?

– Тренд на дальнейший рост телефонного мошенничества сохранял актуальность вплоть до начала специальной военной операции. В январе 2022 года клиенты Сбера 250 тысяч раз обращались в банк с обращениями по поводу мошенничества, в феврале мы зафиксировали 264 тысячи обращений. А 24 февраля звонки прекратились. И такая «тишина» сохранялась до 20-х чисел марта. А затем мошенники опять активизировались, хотя и в несколько меньших масштабах. Сегодня мы фиксируем до 50 тысяч таких звонков в сутки (до спецоперации их было до 100 тысяч в сутки).

В абсолютных цифрах это, конечно, по-прежнему огромная проблема: по данным Центробанка, общий объем фрода по России в первом квартале этого года составил 3,3 миллиарда рублей. Это на 13% больше, чем в четвертом квартале 2021 года. Отмечу, что сегодня 80–90% звонков – это уже не «служба безопасности Сбербанка»: сейчас мошенники чаще действуют от имени других крупных банков. И пока прогноз такой, что рекорд прошлого года по количеству звонков может быть побит уже в течение третьего квартала.

– Поменялась ли география мошеннических call-центров?

– Подавляющее большинство мошеннических call-центров сегодня расположено на территории Украины. В интернете в открытую размещаются объявления о найме на работу в преступные call-центры в таких городах, как Львов, Днепр, Запорожье, Одесса и так далее. Анализ переписки и призывов в чатах поиска работы крупных центров телефонного мошенничества (скажем, в Днепре или Одессе) показывает, что вербовщики напрямую призывают вступать в ряды преступников для атаки на граждан РФ.

Приведу конкретный пример, чтобы был понятен масштаб проблемы. Крупный мошеннический call-центр в Бердянске специализировался на звонках гражданам России. В нем было «трудоустроено» около 300 человек. В день они совершали порядка пяти тысяч звонков по базе из 20 миллионов телефонных номеров россиян, собранной в результате различных утечек. За четыре месяца только по Сберу предотвращен ущерб на 108 миллионов рублей, а звонили преступники, понятное дело, далеко не только клиентам Сбера.

Более того, наше расследование показало, что техподдержка этого call-центра и его администрирование осуществлялись из Франкфурта и Амстердама. Защищенный доступ к облачной CRM для учета звонков обеспечивался компанией Cloudflare в США. Сервис IP-телефонии Narayana, один из ключевых центров мошеннического VOIP-трафика, предоставлялся из Эстонии. У сотрудников call-центра была четкая иерархия и распределение обязанностей. Поскольку клиенты Сбера надежно защищены, мошенники обзванивали преимущественно клиентов других банков: по данным МВД, 80% потерпевших – клиенты одного очень крупного банка.

– Есть ли новые схемы мошенничества?

– Мошенники постоянно ищут новые возможности извлечения средств из доверчивых граждан, их тактика становится всё более изощренной по мере того, как клиенты учатся распознавать простые схемы обмана.

Расскажу о двух практиках. Первая – «двойной удар», когда злоумышленники эксплуатируют сразу два страха: потерять деньги и быть обвиненным в помощи боевикам. Мошенник под видом сотрудника call-центра банка сообщает, что счет клиента заблокирован в связи с попыткой нелегального перевода в недружественную страну. Если легенда срабатывает, «сотрудник банка» выведывает персональную информацию, после чего деньги уходят на подконтрольный злоумышленникам счет.

Вторая – «обман на обмане». Чтобы «вернуть» пострадавшему будто бы похищенные у него деньги, мошенники создают специальные сайты, ссылки на которые направляют по электронной почте, в SMS или мессенджере. Злоумышленники просят гражданина заполнить форму с личными и финансовыми данными, чтобы «проверить полагающуюся сумму возврата и оформить его». Получив эти данные, они похищают у человека деньги. И еще один тренд – мошенники все чаще звонят через мессенджеры, обычно это Viber.

– Банки точечно отслеживают и блокируют «тюремные call-центры». Почему эту проблему пока не получается полностью искоренить? Планируется ли что-то делать на федеральном уровне?

– Благодаря конструктивному взаимодействию Сбера с прокуратурой и ФСИН ситуация в этой сфере заметно улучшилась: объем мошенничества из мест лишения свободы на территории РФ за последние два года уменьшился в 10 раз. Крупные call-центры прекратили свое существование – остались в основном мошенники-одиночки и ряд этнических преступных группировок. Поэтому могу с уверенностью сказать, что с тюремными call-центрами мы в целом справились.

Сегодня в фокусе нашего внимания находится борьба с дроперами – людьми, которые незаконно обналичивают деньги для преступников через банковские карты. Центробанк обязывает банки выявлять таких злоумышленников, противодействовать переводам на их реквизиты и блокировать электронные средства платежа. Сбер же не ограничивается выполнением рекомендаций регулятора. Мы дополнительно анализируем профили клиентов и их финансовую активность, и при выявлении признака дропера устанавливаем запрет на снятие и пополнение денежных средств во всех каналах обслуживания Сбера. Мы уже выявили 25 тысяч клиентов с признаком дропера и осуществляем за ними дополнительный контроль. С начала этого года в Сбере заблокировано более 50 тысяч попыток выпуска карт-дропов, притом что за весь прошлый год их было всего 17 тысяч. По нашим оценкам, реальное число дроперов в России может достигать 500 тысяч человек.

К сожалению, в России практически отсутствует следственная и судебная практика привлечения дроперов к уголовной ответственности. Нет единого подхода к правоприменению у органов прокуратуры и суда в регионах. Действия лиц, оформивших в банке карты, которые затем были переданы третьим лицам и использовались при совершении противоправных действий, не образуют самостоятельного состава преступления, предусмотренного особенной частью Уголовного кодекса РФ. Поэтому сейчас дроперы привлекаются к уголовной ответственности по существующим статьям УК РФ (статья 158 – «Кража», статья 159 – «Мошенничество»), но это лишь те, кто непосредственно обналичивает похищенные денежные средства.

Как показывает судебно-следственная практика, дроперы в основном проходят по уголовным делам в статусе свидетелей, поскольку доказать их осведомленность о совершенном преступлении сложно. Следовательно, привлечь их к ответственности практически невозможно. Поэтому, на мой взгляд, необходимо ввести административную и уголовную ответственность за передачу своих банковских карт третьим лицам в целях незаконного обналичивания. Пока что единственная мера воздействия в таких ситуациях – блокировка карты или невыдача новой карты, законом это никак не регулируется. Для исправления этой ситуации мы вместе с Банком России инициировали изменение 161-ФЗ, чтобы разрешить банкам не зачислять переводы и отключать все дистанционные услуги по таким картам.

– Что сейчас происходит с DDoS-атаками на банки?

– По данным ЦБ РФ, в период с 24 февраля по 12 апреля произошло 265 крупных DDoS-атак на российские банки. Это в 22 раза больше, чем в начале года. Только Сбер в первом квартале 2022 года успешно отразил 349 DDoS-атак. И это в 10 раз больше, чем в четвертом квартале 2021 года, когда у нас было всего 32 атаки (за весь прошлый год – 154). Такие цифры говорят сами за себя: комментарии излишни, всё очень наглядно.

Причем растет не только количество DDoS-атак, но и их мощность. Самую мощную атаку за всю историю Сбера мы зафиксировали 6 мая. Она была направлена на наш сайт www.sberbank.ru, ее пиковая мощность превысила 450 гигабайт в секунду. Вредоносный трафик был сгенерирован ботнетом, в состав которого входило более 27 тысяч устройств. Наиболее массивно атака осуществлялась из Тайваня, США, Японии и Англии.

Анализируя параметры и характер атак, с которыми в этом году сталкиваются различные российские компании, мы видим, что они во многом напоминают атаки, которые имели место осенью 2021 года. Поэтому мы предполагаем, что осенние атаки были элементом подготовки и разведки целей. Думаю, что в будущем количество DDoS-атак снизится, однако их мощность вырастет, они станут более сфокусированными. И, скорее всего, атакующие переключатся с DDoS-атак на целенаправленные взломы организаций.

– Используют ли хакеры еще какие-то методы для атак на банки?

– Помимо DDoS-атак используется целевой фишинг и адресное общение. Преступники могут выходить на работников организаций по связям и данным, размещенным в соцсетях. Только за март количество фишинговых атак на сотрудников российских компаний выросло вдвое. В своих письмах злоумышленники убеждали запустить вложенный вредоносный файл или перейти по ссылке для его скачивания, чтобы тем самым проникнуть в периметр компании.

Отмечу еще одну тревожную цифру: число хакерских атак с программами-вымогателями с начала спецоперации увеличилось в три раза. Мы выявили порядка 30 образцов вирусного программного обеспечения, нацеленного на российские организации. Вот для наглядности статистика по Сберу: в первом квартале 2022 года злоумышленники пытались отправить нашим сотрудникам более 18 тысяч писем с вредоносными вложениями. Все эти письма были заблокированы, так что своих целей преступникам достичь не удалось.

– Фиксируете ли вы более частое внедрение вирусов в открытые коды ПО, так называемые «закладки»? Если да, какие угрозы несет эта схема?

– Действительно, в программном обеспечении, основанном на принципах Open Source, всё чаще выявляются разного рода «закладки»: от демонстрации антироссийских лозунгов до деструктивного воздействия на критическую информационную инфраструктуру. Поэтому мы проверяем абсолютно все обновления ПО на наличие таких закладок и разрешаем обновления только после того, как убедимся в их безопасности. Мы также создали репозиторий проверенного ПО и теперь используем в своей деятельности только его. В целом опыт Сбера показал, что противостоять новым угрозам можно. Однако для этого необходимо пересмотреть подход к использованию иностранного ПО и софта с открытым кодом.

– Готов ли Сбер к импортозамещению иностранного софта и железа? С замещением какого ПО и оборудования наблюдаются проблемы? Грозит ли это безопасности банка?

– Существует немало качественных средств защиты информации отечественного производства: антивирус, защита от DDoS и баз данных, защита от утечек информации и каналов взаимодействия и так далее. При этом некоторые классы средств защиты (например, межсетевые экраны прикладного уровня) подходят только для малого и среднего бизнеса и не выдерживают большую нагрузку. Для распределенных и высоконагруженных систем ряд средств защиты пока отсутствует совсем – в частности, нет систем контроля доступа к сети (NAC). Минпромторгу и Минцифры нужно плотно работать с производителями средств защиты для разработки отечественных аналогов по всему спектру средств защиты информации, в том числе для высоконагруженных распределенных систем.

Подчеркну, что процесс импортозамещения не предоставляет никаких угроз безопасности Сбера и его клиентов. Располагая современными многоуровневыми средствами защиты, мы полностью обеспечиваем безопасность своих систем. И, более того, Сбер готов обеспечить защиту данных других российских организаций, у нас есть для этого эффективные решения. Один из флагманских продуктов в этой сфере – уникальная платформа для безопасной трансформации сети Secure SD-WAN от компании BI.ZONE. Она позволяет за несколько минут построить сеть в организациях различного размера и обеспечить безопасность передачи данных между филиалами и головным офисом. Сейчас устройство проходит сертификацию в ФСБ по уровню доверия КС1-КС3 для использования в критической инфраструктуре и госорганах.

– По итогам 2021 года эксперты отмечали спад числа объявлений о продаже данных клиентов банков. Можно ли говорить, что сократилось и число самих утечек? Или после 24 февраля ситуация вновь поменялась?

– С начала проведения спецоперации злоумышленники опубликовали многочисленные базы данных, которые были использованы для атак на граждан РФ. Данные из этих выгрузок были получены преступниками в результате успешных фишинговых атак на клиентов различных организаций, не только банков. И, кстати, события последних месяцев подтверждают, что финансовые организации страны лучше защищены от утечек, чем представители других сфер.

– Многие участники рынка жалуются на недостаточную вовлеченность Центробанка в обеспечение защиты кредитных организаций в условиях повышенных рисков после 24 февраля. Как вы в этом плане оцениваете работу регулятора?

– На мой взгляд, реакция госорганов, включая ЦБ РФ, была своевременной и действенной. В частности, Банк России совместно с ФСТЭК подготовил более 250 рекомендаций по защите инфраструктуры. Вместе с тем очевидно, что эта работа не является разовой: она продолжается и корректируется по мере развития ситуации.

По инф. «Известия»