Согласно информации издания «Ведомости», Центробанк предупредил банки о возможных атаках через Систему быстрых платежей, направленных на сбор данных о клиентах. Соответствующее письмо от регулятора было подписано директором департамента информационной безопасности Центробанка Вадимом Уваровым.

В России с 28 января 2019 года начал действовать новый сервис Банка России — Система быстрых платежей (СБП), позволяющий физическим лицам делать мгновенные переводы по номеру мобильного телефона в любой из банков, которые являются участниками этой системы. Оператором СБП является Центробанк, который также использует для работы этого сервиса Национальную систему платежных карт (НСПК, операционно-клиринговый центр СБП)

В настоящий момент к СБП подключены 25 банков (Сбербанка в ней нет): ВТБ, Альфа-Банк, Тинькофф Банк, Росбанк, «Ак Барс», Газпромбанк, Киви Банк, Промсвязьбанк, Совкомбанк, Райффайзенбанк, СКБ-Банк, РНКО «Платежный Центр», ЮниКредит Банк, Газэнергобанк, «Открытие», «Русский Стандарт», «Авангард», Московский Кредитный Банк, «Левобережный», Россельхозбанк, Веста Банк, Почта Банк, банк «Платина», СДМ-Банк, «Рокетбанк».

На первом этапе работы системы физические лица смогут делать переводы между своими счетами и в пользу других физических лиц. На следующем этапе развития СБП планируется предоставить возможность физическим лицам проводить платежи в пользу юридических лиц за товары и услуги как в розничных магазинах, так и в сети интернет.

В информационном письме от Центробанка (ЦБ) вектором атаки назван систематический автоматизированный или ручной процесс сбора информации о клиентах банков-участников СБП. Злоумышленник, используя имеющиеся данные идентификатора клиента (номер его мобильного телефона), теперь может получить дополнительную информацию о этом человеке, например, имя, отчество и первую букву фамилии, а также названия нескольких банков, где у него есть открытые счета.

Такие запросы могут делаться в массовом порядке, а в письме от ЦБ эти действия называют «перебором идентификаторов клиентов» и относят к инцидентам информационной безопасности. Ведь полученные таким образом сведения мошенники могут использовать для звонков жертвам якобы из банков или из государственных органов с целью передать им код из СМС-сообщений, с помощью которого можно получить доступ в личный кабинет клиента банка или для совершения других незаконных операций со счетом жертвы.

Предлагается следующий способ борьбы с переборами: Национальная система платежных карт, выступающая операционно-клиринговым центром СБП, проводит круглосуточный мониторинг операций и блокирует в системе номера подозрительных телефонов, с которых осуществляется массовый перебор (срок блокировки — не более суток), также ЦБ будет информировать банки об идентификаторах, с которых пытался осуществляться массовый перебор.

На данный момент уже выявлены несколько операций перебора данных клиентов без цели совершения по ним платежных действий и была организована блокировка злоумышленников

По словам представителя Центробанка, СБП надежно защищена с точки зрения кибербезопасности, там двухступенчатая система защиты: первая — на стороне банков, которые должны предотвращать переборы номеров, вторая — на уровне НСПК, где выявляются и блокируются запросы пользователей, которые не заканчиваются переводами.

В информационном письме от ЦБ разъясняется порядок действий при обнаружении перебора идентификаторов клиентов и обращается особое внимание банков именно на необходимость дополнительного мониторинга этих возможных действий злоумышленников.

Во многих банках уже установлены определенные лимиты для таких запросов, после превышения которых начинается блокировка номера, с которого выполняется перебор. Но эту систему можно обойти, так как мошенники могут не превышать этот лимит, если первый раз их заблокировали в системе и они знают его предел. Также злоумышленники могут делать запросы в СБП с разных номеров и не вызывать этим подозрений в системе. Тем более, что массовые переборы в СБП не запрещены законом, поэтому основания для блокировки нужно прорабатывать и согласовывать с регулятором, а также изменять эти параметры время от времени, чтобы не возникала застойная ситуация в этой проблеме и механизмы противодействия социальной инженерии продолжали дальше работать.

Ранее в июне 2019 года первый замдиректора департамента информационной безопасности Банка России Артем Сычев, отвечая на вопрос об угрозе того, что через СБП мошенники могут узнать, в каком банке у человека открыт счет, назвал уровень такой опасности нулевым. Но по мере того, как в СБП начали подключаться новые банки в течение этого года, возникла необходимость повышения уровня сервиса в системе и организация дополнительных мер для защиты данных клиентов, ведь к СБП уже подключены 10 из 11 крупнейших банков России. Последним остается Сбербанк, который должен был получить серьезный штраф за срыв срока по подключению к СБП. Однако, глава Сбербанка Герман Греф предупредил, что его банк не успеет подключиться к СБП вовремя, поскольку это требует большого количества доработок, а сроки этого подключения с ним не обсуждались.

Таким образом, на данный момент Сбербанк официально отказался подключаться к Системе быстрых платежей до конца 2019 года. «Это физически невозможно сделать, подключение к СБП требует существенной доработки 16 базовых систем Сбербанка», — заявил Герман Греф. Тестирование подключения к СБП в Сбербанке начнется в январе 2020 года.