Чем опасна система быстрых платежей
Что надо знать о новых схемах мошенничества с системой быстрых платежей по номеру телефона
Мир не стоит на месте, и каждый день потребителю становятся доступны новый продукт, сервис или услуга. Одной из новинок стала Система быстрых платежей (СБП), запущенная Банком России в начале 2019 года.
О создании системы быстрых платежей
Еще 26 апреля 2018 года Центробанк сообщил о проходящем тестировании прототипа новой системы и о запланированном на 2019 год запуске готовой коммерческой версии проекта.
В разработке и внедрении СБП принимали участие:
В конце 2018 года были определены тарифы, и зарегистрированы правила работы СБП. А 28 января 2019 состоялся полноценный запуск системы.
Назначение и принципы работы
Система быстрых платежей – это сервис, обеспечивающий возможность круглосуточно переводить деньги по номеру телефона, и при этом неважно, в каком банке открыт счет отправителя и получателя, важно лишь, чтобы они (банки) были участниками СПБ. Перевод денег происходит без задержек, и они сразу поступают на счет адресата.
На данный момент к системе подключены следующие банки:
Чтобы совершить перевод, необходимо:
Риски
Новый сервис, как любой другой на начальном этапе, проходит период отладки. Неизбежно возникают непредвиденные ошибки и лазейки для мошенников.
Так, например, в первые месяцы работы сервиса было зафиксировано, что 90% всех операций в СБП – это попытки перевести деньги на счет банка, в котором у получателя нет открытого счета. Данная цифра может являться как результатом ошибок пользователей, еще не знакомых с системой, так и попыткой мошенников выяснить, в каком банке открыт счет у владельца номера.
Статистика говорит о том, что большинство мошеннических схем использует так называемую социальную инженерию, то есть у людей тем или иным способом выманивают информацию, необходимую для кражи денег. А зная номер телефона и название банка, в котором открыт счет у жертвы, мошенникам легче выдать себя за сотрудника банка.
Есть еще два фактора, представляющих угрозу безопасности:
Таким образом, в случае, если мошенники как-либо получат доступ к приложению банка, то мгновенно смогут украсть деньги и их невозможно будет вернуть. Воспрепятствовать краже сможет разве что лимит на перевод, который устанавливают банки участники. Максимальная сумма для всех едина и равняется 600 тыс. руб.
Стоит отметить, что разработчики СБП утверждают, что в систему встроены механизмы защиты, согласно ФЗ N115 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
С ФЗ N115 связан также еще один риск, который косвенно относится к обсуждаемому сервису. Дело в том, что получатель множества небольших переводов по номеру телефона может попасть под временную блокировку счета, пока не докажет, что не причастен к мошенническим схемам и отмыванию денег. Впрочем, аналогичный риск есть и при переводе по номеру карты.
И, наконец, последний и весьма неожиданный риск с началом работы сервиса возник у государственных служащих. Ведь если им на счет по номеру телефона переведут некую сумму денег, то у государства могут возникнуть вопросы об источнике этих денег и даже подозрения в получении взятки должностным лицом.
Мошеннические схемы с использованием СБП и способы обезопасить себя от них
Как уже было сказано ранее, мошенники чаще всего пользуются социальной инженерией. Методом перебора они узнают, в каком банке у жертвы открыт счет. Затем делают запрос на перевод средств, жертве приходит смс-сообщение с кодом подтверждения операции.
Зная номер телефона, имя и отчество жертвы, а также название банка, в котором у нее открыт счет, злоумышленник совершает звонок жертве. Представляется он, как сотрудник банка, называет данные, которые узнал ранее для того, чтобы ввести жертву в заблуждение, а потом выманивает код из смс-сообщения, необходимый ему для подтверждения операции.
Даже если вам кажется, что на том конце провода действительно сотрудник банка, и он озвучивает реальную проблему, то следует лично обратиться в ближайшее отделение банка за подтверждением.
Методы защиты, используемые Центробанком
Для защиты клиентов СБП Центральный банк использует двухступенчатую систему безопасности. Первым рубежом защиты являются банки-участники системы, на плечи которых возложена обязанность вычислять и предотвращать переборы номеров. Второй рубеж – это НСПК – операционный платежный клиринговый центр системы. Он отслеживает номера, с которых осуществляется деятельность, похожая на перебор, и блокирует их внутри СБП. Блокировка происходит на срок, не превышающий сутки. Информация о массовых переборах направляется в банки.
Система быстрых платежей: риски и подводные камни
Наверное, немногие знают, что еще с февраля 2019 года, благодаря настойчивости Центробанка РФ заработала Система Быстрых Платежей, которая позволяет делать бесплатные межбанковские переводы аж до 100 000 рублей! Это действительно так. Из тех же кто слышал об этом, многие до сих пор не умеют пользоваться СБП.
Система быстрых платежей
Система быстрых платежей (СБП) — важнейший инфраструктурный проект национального значения, направленный на содействие конкуренции, повышение качества платежных услуг, расширение финансовой доступности, снижение стоимости платежей для населения.
Система быстрых платежей (СБП) — сервис, который позволяет физическим лицам мгновенно (в режиме 24/7) переводить деньги по номеру мобильного телефона себе или другим лицам, вне зависимости от того, в каком банке открыты счета отправителя или получателя средств. Для этого необходимо, чтобы эти банки были подключены к Системе быстрых платежей.
Список банков, подключенных к Системе быстрых платежей, а также другую полезную информацию про СБП можно посмотреть здесь
Доступ к системе возможен через мобильные приложения банков, подключенных к СБП, как со смартфона или планшета, так и с компьютера. Чтобы сделать мгновенный перевод, нужно в мобильном приложении своего банка выбрать в меню перевод через СБП, счет, с которого надо сделать платеж, указать номер мобильного телефона получателя и сумму перевода. В течение нескольких секунд после подтверждения операции плательщиком деньги будут переведены и станут доступны получателю.
Минусы системы быстрых платежей
Недостатки СБП
Все системы переводов имеют ряд одинаковых недостатков, которые заключаются в следующем:
Однако разработчики СБП стараются урегулировать все проблемы и в будущем свести их к минимуму. Постоянно ведется работа над улучшением качества обслуживания. В будущем пользователи смогут рассчитывать на снижение суммы комиссии, а также мгновенное зачисление денежных средств на карту. Главной целью СБП является упростить процесс перевода денежных средств, а также удешевить.
Для разработки данной системы привлекались лучшие специалисты в области платежных технологий. При разработке учитывался опыт азиатских и европейских стран. Цифровые технологии продолжают захватывать мир, СБП является благодатной почвой для внедрения новых инновационных продуктов и сервисов.
Мошеннические схемы с использованием СБП и способы обезопасить себя от них
Как уже было сказано ранее, мошенники чаще всего пользуются социальной инженерией. Методом перебора они узнают, в каком банке у жертвы открыт счет. Затем делают запрос на перевод средств, жертве приходит смс-сообщение с кодом подтверждения операции.
Зная номер телефона, имя и отчество жертвы, а также название банка, в котором у нее открыт счет, злоумышленник совершает звонок жертве. Представляется он, как сотрудник банка, называет данные, которые узнал ранее для того, чтобы ввести жертву в заблуждение, а потом выманивает код из смс-сообщения, необходимый ему для подтверждения операции.
Защититься можно, помня простое правило «Нельзя сообщать какие-либо личные данные о себе по телефону». Сотрудники банка их никогда не попросят – они им либо не нужны, либо они их и так знают.
Даже если вам кажется, что на том конце провода действительно сотрудник банка, и он озвучивает реальную проблему, то следует лично обратиться в ближайшее отделение банка за подтверждением.
Новая схема мошенничества
Источником выступают документы, предоставленные ФинЦЕРТ (подразделением Центробанка). Мошенники обнаружили брешь в системе безопасности и получили информацию о данных клиента из системы одного из банков-участников СБП. После чего они запускают мобильное приложение в режиме отладки. После проходят процедуру идентификации и выбирают сервис перевода денег. При этом злоумышленники подменяют исходный счёт, на ЛС другой кредитной структуры.
Система при переводе не проводит дополнительной проверки на принадлежность счета конкретному банку. В итоге деньги списываются с подложного счета и переводятся на лицевой счёт мошенников. Вся работа производится вручную, то есть мошенники вбивают данные без применения бота.
Правила осуществления переводов и пользования сервисом
Чтобы перевод прошел успешно, необходимо:
Если все данные указаны верно, но после отправки деньги так и не поступили на нужный счет, необходимо обратиться в свой банк. Специалисты помогут с решением возникшей проблемы.
При совершении банковских переводов всегда необходимо помнить о риске кражи персональной информации мошенниками. По этой причине важно помнить о простых правилах пользования карточками:
При возникновении подозрений на мошеннические действия необходимо обратиться в отделение банка или позвонить по номеру телефона, который указан на официальном сайте финансового учреждения.
Центробанк раскрыл наши данные? Чем опасна новая система платежей
Немного о СБП
Система быстрых платежей, она же СБП — ответ Центробанка переводам «Сбербанк Онлайн». «Зеленый» банк лидирует на рынке переводов, писал «Коммерсантъ». В его приложении можно ввести номер телефона и перевести нужную сумму независимо от того, есть у получателя карта «Сбербанка» или нет.
ЦБ теснит монополиста ради «развития конкуренции и доступности финансовых услуг для россиян» и запустил масштабную систему переводов по номеру телефона. К ней подключились 23 банка, от ВТБ до «Рокетбанка». Велика вероятность, что в приложении вашего банка уже появилось эта опция.
СБП похожа на «Сбербанк Онлайн», за исключением выдачи денег наличкой — этой опции нет. Скачивать ничего не надо, все встроено в приложения банков как дополнительная опция. Ее можно найти рядом с переводами по номеру карты и номеру счета. При заходе в эту форму ваш номер появляется в системе, с него и на него можно переводить суммы до нескольких миллионов рублей (лимит зависит от банка).
На сайте системы указано, что списание и зачисление средств мгновенное, а комиссия за переводы СБП существенно меньше по сравнению с другими способами. При переводе из «Райффайзенбанка», к примеру, комиссии нет вообще, а из «Альфа Банка» она совсем невелика.
Уязвимость открывает данные пользователей
В QIWI объясняют, что СБП — инфраструктура для межбанковского взаимодействия, в рамках которой можно запросить данные клиента банка по номеру телефона.
«Банк-отправитель решает, какую информацию увидит запрашивающая сторона, — признается Андрей Протопопов, генеральный директор АО “КИВИ”. — В целях упрощения клиентского пути банки показывают весь перечень доступных банков с именем, отчеством и маскированной фамилией для данного номера телефона».
Данные открыты не у всех банков. Где-то предлагают выбрать банк адресата из 25 организаций, а где-то сразу указывают банк абонента. В «Тинькофф Банке» можно вбить номер и посмотреть, в каких банках обслуживается этот абонент. А в «Рокетбанке» — увидеть номер его счета, по которому вполне реально определить банк с помощью специальных программ.
«Такое решение — следствие компромисса между удобством и безопасностью и может привести к утечке информации», — поясняет Протопопов. В самой СБП не ответили на запрос Hi-Tech Mail.ru об этой уязвимости и о том, планируют ли ее закрывать.
Как происходит обман
На апрель этого года 90% операций в СБП были неудачными — клиенты пытались сделать перевод человеку в банк, где у того нет счета, сообщал «Коммерсантъ». Это может быть связано и с тем, что пользователи еще не привыкли к новой услуге. Но по мнению ЦПСБ «Инфосистемы Джет» Алексея Сизова показатель настораживает и может указывать на злоумышленников. C помощью системы мошенники, пользуясь открытыми данными, «пробивают» абонентов на предмет наличия счета абонента в банке.
Дальше все просто: злоумышленник звонит клиенту, представляется службой безопасности этого банка и выспрашивает коды и пароли, чтобы получить доступ к личному кабинету жертвы. Как это бывает, мы уже рассказывали здесь. Для достоверности мошенники могут даже подделать номер банка. Поэтому им и важно убедиться, что жертва имеет там счет.
Источник в одном из банков замечает, что злоумышленники получают данные (ФИО и номера кредиток) через разные каналы: базы налоговых, ГИБДД. СБП — новый способ найти данные, но не самый быстрый. В «Росбанке» напоминают, что к системе уже подключены более 20 банков, и метод «перебора» банков по номеру телефона потребует от мошенников значительных трудозатрат.
По словам источника, от этого перебора предусмотрена защита. Мы зашли в приложение «Тинькофф Банка» и проверили. На первых четырех попытках выбрать банк получателя появлялась информация, что он не клиент выбранного банка. А на следующих попытках данные были уже недоступны. Блокировка держится несколько часов, а то и весь день. При этом, переводы делать можно, но нужно точно знать банк получателя.
ЦБ предупредил о риске использования Системы быстрых платежей мошенниками
ЦБ предупредил банки о возможности использования мошенниками сервиса Системы быстрых платежей (СБП) для получения информации о клиентах путем «перебора идентификаторов». Об этом сообщает газета «Ведомости» со ссылкой на разосланное по банкам письмо за подписью директора департамента информационной безопасности ЦБ Вадима Уварова.
В документе отмечается, что с помощью запроса через СБП номера мобильного телефона можно узнать имя, отчество и первую букву фамилии его владельца, а также названия банков, где у человека открыты счета. Этой информации недостаточно для хищения денег, однако мошенники могут использовать ее для того, чтобы совершить кражу с использованием методов «социальной инженерии». Например, позвонить от имени банка и, верно назвав имя и отчество человека, попытаться убедить того сообщить необходимый для списания средств с карты код из смс-сообщения.
В документе указано также, что дочерняя ЦБ Национальная система платежных карт (НСПК, операционно-клиринговый центр СБП) сама ведет мониторинг операций и блокирует номера телефонов, с которых осуществляется массовый перебор.
В июне 2019 года первый замдиректора департамента информационной безопасности Банка России Артем Сычев, отвечая на вопрос об угрозе того, что через СБП мошенники могут узнать, в каком банке у человека открыт счет, назвал «уровень фрода» (от английского fraud — мошенничество) нулевым.
«Действительно, изначально были опасения, что система позволяет перебором номера узнать какую-то информацию. Это не так. Для исключения такого риска мы реализовали специальный алгоритм. Он позволяет в случае обнаружения подобных попыток со стороны банка отправителя не доводить эти запросы до банка получателя. Мы видим, что в ряде банковских систем такие переборы делают, но на уровне СБП они блокируются», — заявил Сычев в интервью ТАСС.
Система быстрых платежей стала опасна. Выявлен новый способ кражи денег!
Финансовое мошенничество с каждым годом становиться все более изощрённым. Несмотря на заверения Артема Сычева (замдиректора департамента инфо. безопасности ЦБР), что в Системе быстрых переводов исключены лазейки для получения персональных данных третьими лицами, способ все-таки нашелся. И в одной из организаций СБР (наименование не разглашается) были выведены средства со счетов клиентов. Какая именно была организация и сколько было похищено злоумышленниками не сообщается. Но известно, что схему достаточно быстро раскрыли.
Новая схема мошенничества
Источником выступают документы, предоставленные ФинЦЕРТ (подразделением Центробанка). Мошенники смогли обнаружить брешь в системе безопасности и получили информацию о данных клиента из системы одного из банков-участников СБП. После чего им удалось запустить мобильное приложение в режиме отладки. После прошли процедуру идентификации и выбрали сервис перевода денег. При этом злоумышленники подменили исходный счёт, на ЛС другой кредитной структуры.
Система при переводе не проводит дополнительной проверки на принадлежность счета конкретному банку. В итоге деньги были списаны с подложного счета и переведены на лицевой счёт мошенников. Вся работа велась вручную, то есть мошенники вбивали данные без применения бота. Это дало им солидную фору и позволило обчистить сразу несколько счетов своих жертв.
Причины и последствия
Ещё осенью, сразу после выступления Артема Сычева, Банк России предупредил все финансовые организации, работающие в Системе быстрых переводов, о возможности взлома перебора идентификаторов. То есть хакеры все же при должной подготовке могут взломать систему и узнать не только имя и отчество клиентов, но также первую букву фамилии и даже подборку счетов, которые имеются в других банков у жертвы.
По заверению Центробанка в организации-участнике быстро удалось обнаружить и заблокировать действия злоумышленников. К тому же банк утверждает, что подобным образом мог действовать лишь тот, кто принимал непосредственное участие в запуске приложения. Это мог быть сотрудник, программист, разрабатывающий алгоритм, либо тестировщик. Но дальнейших ход следствие не распространяет.
Устранение одной бреши не может полностью предотвратить риск повторения инцидента. Возможно многие похожие ситуации просто не подают огласки. Также нет сведений, какие именно действия предпринял Центральный банк для предотвращения подобного.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.