После того, как в сеть утекла конфиденциальная информация о покупателях онлайн-магазина Joom, ЦБ приступил к расследованию случившегося. Было установлено, что в целях раскрытия данных о состоянии счета предполагаемых жертв, при помощи IVR банка, мошенники воспользовались четырьмя заключительными цифрами банковских карт и личными номерами телефонов пострадавших.

Расследование утечки Joom

С целью обеспечения безопасности пользователей банков и предупреждения риска распространение воровства средств с банковского счета, ЦБ обратился с предупреждениями и рассказал алгоритм мошеннической операции банкам. Согласно расследованию, проведением которого занялся ЦБ, злоумышленники узнавали телефонные номера владельцев карт и используя IVR получали данные по достоверному состоянию счета клиентов — своих будущих жертв.

Далее на телефон владельца карты поступал звонок от злоумышленника в роли банковского сотрудника, и в процессе разговора обман подкреплялся фактами реального состояния баланса.

Эта информация представлена в письме ФинЦЕРТ Банка России кредитным организациям. Согласно сведениям РБК, достоверность письма подтверждена.

Возможность осуществления подобного рода мошеннических операций возникла по банальной причине, отмечает ЦБ: некое кредитно-финансовое учреждение недобросовестно выполняло инструкции по предупреждению мобильного мошенничества и защиты клиентов от несанкционированного доступа к конфиденциальной информации через систему IVR, предоставленные еще в 2019 г.

Как ЦБ обнаружил проблему

В Центральный Банк поступила информация об инциденте: произошел внезапный скачок количества телефонных вызовов от мошенников со сведениями о точных остатках на балансе счета.

ЦБ заинтересовался заявлением и выяснил, что после получения нужной информации о предполагаемой жертве с помощью системы интерактивного управления, злоумышленники пользовались методами социальной инженерии в контексте информационной безопасности, чтобы справиться с недоверием потенциальных жертв. Именно поэтому мошенники пользовались достоверной данными об остатках денег на балансе счета.

Также стало известно, что информация о номерах телефонов и карт жертв ранее были скомпрометированы и распространены в сети. Кто именно распространил сведения – неизвестно до сих пор, но ЦБ подозревает: данные могли быть получены из клиентской базы интернет-магазина Joom, которая уже оказывалась в открытом доступе.

Как была скомпрометирована информация по пользователям Joom

По информации, которую предоставили «Известия» 08.2020 г. в интернет утекла база данных 27 000 пользователей Райффайзенбанка. Выяснилось это после обращений в банк самих клиентов с информацией о частых звонках мошенников со сведениями о точном состоянии счета. Эта же база данных была у Joom.

Сразу после случившего ЦБ вместе с Visa (международной платежной системой) стали предупреждать банки об инциденте. Стало известно, что в свободном доступе оказались сведения 55000 пользователей различных банков (их персональные данные, данные карт и личные телефонные номера). Пострадавшими оказались пользователи более 20 банков, не учитывая зарубежные банки, жертвы которых тоже находятся в списке скомпрометированных. Только клиентов банка ВТБ было порядка 31 000.

По рекомендациям ЦБ

ФинЦЕРТ Банка России настоятельно советовал в момент предоставления услуг в области мобильного банкинга начать использование специальных вспомогательных парамептров аутентификации, например, конфиденциальных кодов, установленных банком в момент заключения договора с пользователем. Более того, заметил представитель ФинЦЕРТ, последние 4 цифры номера карты никак не осуществляют роль дополнительного условия опознавания и только соблюдение указанных рекомендаций сделает возможным снизить число мошенничеств.

Телефонный номер к безопасным идентификаторам эксперты не отнесли: поскольку зачастую эта информация часто подвергается подмене или утечке из всевозможных баз. Что касается рекомендаций банкам: для выявления активности пользователей в эксплуатации IVR необходимо сделать возможным синхронизацию обращений в систему интерактивного голосового меню с системой противоборства мошенничеству (антифрод) – отмечает представитель регулятора ФинЦЕРТ.

Андрей Заикин, глава Информационной безопасности ИТ-компании КРОК, объяснил, что интерактивное меню также предоставляет возможность, например, поменять PIN-код, что говорит о возможности получения не только информации о балансе счета при помощи голосового меню. Но для того, чтобы еще больше расширить функциональные возможности системы необходимо интегрировать множество систем внутри банка, что повлечет дополнительные риски со стороны информационной безопасности.

Предоставлять дополнительные функции голосовому помощнику можно лишь в том случае, если заранее будут существовать дополнительные секретные цифровые комбинации для идентификации пользователя, как это делают некоторые банки – отмечает Андрей Заикин.

Представитель Райффайзенбанка рассказал, что для безопасности пользователей информация о состоянии счета отправляется им на телефон, который изначально был привязан к карте банка, в виде смс или пуш-уведомления. Этот способ предоставления необходимой информации пользователю позволить избежать дальнейших мошеннических махинаций, касающихся информации о балансе клиентов.

Некоторые банки, например, «Открытие», и вовсе запретили своим клиентам, чьи данные были слиты в сеть, запрашивать какую-либо финансовую информацию через голосового помощника.

С уважением, НЭС - Чарджбэк Блог