ЦБ выявил схему мошенничества с использованием голосового меню в банке

Новости

Источник: РБК

ЦБ после утечки данных покупателей маркетплейса Joom выявил схему, когда мошенники использовали номера телефонов и последние цифры карт банковских клиентов для получения сведений об их счетах через голосовое меню одного из банков

ЦБ предупредил банки о схеме, которая позволила злоумышленникам получить дополнительные сведения о клиентах одной из кредитных организаций и впоследствии использовать их для мошенничества с применением методов социальной инженерии. Злоумышленники обращались с подмененных номеров клиентов в систему интерактивного голосового меню при звонке в банк, написал в письме в адрес кредитных организаций Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России. РБК ознакомился с письмом, его подлинность подтвердили два источника на банковском рынке.

Использованная схема позволила мошенникам узнать информацию об остатках на счетах своих потенциальных жертв. В дальнейшем эти данные применялись при мошеннических звонках клиентам в целях кражи денежных средств с банковских карт, следует из письма.

Как пояснил РБК представитель ЦБ, такое мошенничество стало возможным из-за того, что один из банков не соблюдал рекомендации по противодействию мобильному мошенничеству и защите клиентов от несанкционированного доступа к их конфиденциальной информации через IVR (систему интерактивного голосового меню), которые были даны в 2019 году.

Как мошенники использовали голосовое меню

ЦБ расследовал инцидент, после того как один из банков сообщил о резком росте числа звонков своим клиентам от мошенников, которым было известно об остатках денежных средств на счетах, следует из письма. В результате было установлено следующее:

• Мошенники совершали телефонные звонки в систему IVR (интерактивное голосовое меню), подменяя телефонные номера клиентов. При звонке с номера клиента они запрашивали у системы сведения по остаткам денежных средств на картах клиентов, вводя для этого последние четыре цифры номеров этих банковских карт.
• После этого мошенники, используя методы социальной инженерии (психологические методы, направленные на обман клиентов), звонили своим жертвам, представляясь сотрудниками банка. Как говорится в письме, «для преодоления барьера недоверия и успешного применения иных методов социальной инженерии» они использовали информацию об остатках денежных средств.
• Номера телефонов клиентов и номера принадлежащих им банковских карт были скомпрометированы и распространялись в интернете. Источник получения этих данных однозначно не установлен, однако, как считают в ЦБ, мошенники могли их получить из клиентской базы маркетплейса Joom, которая ранее оказалась в открытом доступе, следует из письма.

Что рекомендовал ЦБ

После обнаружения мошенничества ФинЦЕРТ ЦБ еще раз указал на необходимость следовать рекомендуемым мерам, пояснил представитель регулятора: «Банки при обслуживании клиентов в системе телефонного банкинга в автоматическом режиме должны использовать дополнительный параметр аутентификации, например секретный код, который устанавливается клиентом при заключении договора. Кроме того, последние четыре цифры номера карты не могут являться дополнительным параметром аутентификации. Соблюдение таких рекомендаций позволит банкам предотвратить подобные инциденты».

В самом письме отмечается, что безопасным идентификатором не может считаться и телефонный номер клиента из-за проблемы с подменной номеров и утечек клиентских данных. Банкам также следует обеспечить синхронизацию обращений в системы интерактивного голосового меню с системами антифрода (борьбы с мошенничеством) и выявлять аномальную активность клиентов после использования интерактивного голосового меню.

РБК направил запрос в крупнейшие банки. ВТБ, который использует функцию интерактивного голосового меню, настроил систему безопасности таким образом, чтобы максимально защищать клиентов при использовании данной услуги, сказал представитель банка. «Яндекс.Деньги» не фиксировали роста числа звонков мошенников клиентам, а для запроса баланса по карте необходимы логин и пароль, в отдельных случаях также может быть запрос СМС или одноразового пароля, отметил представитель компании.

Интерактивное голосовое меню дает возможность узнать баланс счета, сменить PIN-код и т.д., отмечает руководитель направления «Информационная безопасность» ИТ-компании КРОК Андрей Заикин. «Между тем для расширения функционала требуется интеграция со все большим количеством систем внутри банка, что влечет за собой дополнительные риски с точки зрения информационной безопасности (ИБ). Ведь один метод защиты, примененный в одном приложении, может полностью закрыть угрозу ИБ, а в другом приложении сработать не так эффективно», - предупреждает он.

Лучше давать голосовому помощнику дополнительный функционал только при использовании заранее заданного специального кода, а не только номера телефона и последних цифр карты, говорит Заикин, и многие банки уже это делают. Банки могут установить в голосовом меню для проверки клиента СМС или push-уведомления, отмечает ведущий эксперт «Лаборатории Касперского» Сергей Голованов.