Система быстрых платежей в чем опасность
Перейти к содержимому

Система быстрых платежей в чем опасность

  • автор:

Центробанк раскрыл наши данные? Чем опасна новая система платежей

В этом году в России запустили систему быстрых платежей. C ее помощью клиенты разных банков могут переводить друг другу деньги по номеру телефона. Но у системы есть уязвимость, которая позволяет мошенникам узнать о пользователях больше и украсть деньги со счета. Рассказываем, как с этим бороться.

Система быстрых платежей
Уязвимость данных
Как происходит обман
Как защититься от мошенников
Система быстрых платежей
Уязвимость данных
Как происходит обман
Как защититься от мошенников

Немного о СБП

Система быстрых платежей, она же СБП — ответ Центробанка переводам «Сбербанк Онлайн». «Зеленый» банк лидирует на рынке переводов, писал «Коммерсантъ». В его приложении можно ввести номер телефона и перевести нужную сумму независимо от того, есть у получателя карта «Сбербанка» или нет.

ЦБ теснит монополиста ради «развития конкуренции и доступности финансовых услуг для россиян» и запустил масштабную систему переводов по номеру телефона. К ней подключились 23 банка, от ВТБ до «Рокетбанка». Велика вероятность, что в приложении вашего банка уже появилось эта опция.

Фото: Depositphotos

СБП похожа на «Сбербанк Онлайн», за исключением выдачи денег наличкой — этой опции нет. Скачивать ничего не надо, все встроено в приложения банков как дополнительная опция. Ее можно найти рядом с переводами по номеру карты и номеру счета. При заходе в эту форму ваш номер появляется в системе, с него и на него можно переводить суммы до нескольких миллионов рублей (лимит зависит от банка).

На сайте системы указано, что списание и зачисление средств мгновенное, а комиссия за переводы СБП существенно меньше по сравнению с другими способами. При переводе из «Райффайзенбанка», к примеру, комиссии нет вообще, а из «Альфа Банка» она совсем невелика.

Уязвимость открывает данные пользователей

В QIWI объясняют, что СБП — инфраструктура для межбанковского взаимодействия, в рамках которой можно запросить данные клиента банка по номеру телефона.

«Банк-отправитель решает, какую информацию увидит запрашивающая сторона, — признается Андрей Протопопов, генеральный директор АО “КИВИ”. — В целях упрощения клиентского пути банки показывают весь перечень доступных банков с именем, отчеством и маскированной фамилией для данного номера телефона».

Данные открыты не у всех банков. Где-то предлагают выбрать банк адресата из 25 организаций, а где-то сразу указывают банк абонента. В «Тинькофф Банке» можно вбить номер и посмотреть, в каких банках обслуживается этот абонент. А в «Рокетбанке» — увидеть номер его счета, по которому вполне реально определить банк с помощью специальных программ.

«Такое решение — следствие компромисса между удобством и безопасностью и может привести к утечке информации», — поясняет Протопопов. В самой СБП не ответили на запрос Hi-Tech Mail.ru об этой уязвимости и о том, планируют ли ее закрывать.

Как происходит обман

На апрель этого года 90% операций в СБП были неудачными — клиенты пытались сделать перевод человеку в банк, где у того нет счета, сообщал «Коммерсантъ». Это может быть связано и с тем, что пользователи еще не привыкли к новой услуге. Но по мнению ЦПСБ «Инфосистемы Джет» Алексея Сизова показатель настораживает и может указывать на злоумышленников. C помощью системы мошенники, пользуясь открытыми данными, «пробивают» абонентов на предмет наличия счета абонента в банке.

Дальше все просто: злоумышленник звонит клиенту, представляется службой безопасности этого банка и выспрашивает коды и пароли, чтобы получить доступ к личному кабинету жертвы. Как это бывает, мы уже рассказывали здесь. Для достоверности мошенники могут даже подделать номер банка. Поэтому им и важно убедиться, что жертва имеет там счет.

Источник в одном из банков замечает, что злоумышленники получают данные (ФИО и номера кредиток) через разные каналы: базы налоговых, ГИБДД. СБП — новый способ найти данные, но не самый быстрый. В «Росбанке» напоминают, что к системе уже подключены более 20 банков, и метод «перебора» банков по номеру телефона потребует от мошенников значительных трудозатрат.

По словам источника, от этого перебора предусмотрена защита. Мы зашли в приложение «Тинькофф Банка» и проверили. На первых четырех попытках выбрать банк получателя появлялась информация, что он не клиент выбранного банка. А на следующих попытках данные были уже недоступны. Блокировка держится несколько часов, а то и весь день. При этом, переводы делать можно, но нужно точно знать банк получателя.

Система быстрых платежей в чем опасность

https://ria.ru/20240130/sbp-1924252885.html

Названа главная опасность быстрых платежей через СБП

Названа главная опасность быстрых платежей через СБП — РИА Новости, 30.01.2024

Названа главная опасность быстрых платежей через СБП

Система быстрых платежей, которую сейчас активно продвигают, очень удобна, однако таит в себе и риски хищения средств, рассказал агентству «Прайм» директор. РИА Новости, 30.01.2024

2024-01-30T02:17

2024-01-30T02:17

2024-01-30T02:17

технологии

павел мясоедов

система быстрых платежей (сбп)

МОСКВА, 30 янв — РИА Новости. Система быстрых платежей, которую сейчас активно продвигают, очень удобна, однако таит в себе и риски хищения средств, рассказал агентству «Прайм» директор компании «ИТ-Резерв» Павел Мясоедов.По его словам, хакеры взламывают базу интернет-магазина, выжидают, когда появится крупный заказ, а затем высылают жертве поддельную ссылку на СБП-платеж. Эта система перечисляет средства моментально, но вернуть их при такой скорости транзакций невозможно. Получив свое, преступники скрываются, и отследить их через банк сложно.Чтобы избежать хищения, нужно тщательно проверять ссылку перед платежом — адресат должен появиться во всплывающем окне. Особенно внимательным нужно быть при оплате по QR-коду — в этом случае реквизиты получателя заполняются автоматически. Если не проверить, деньги могут уйти куда угодно, заключил Мясоедов.

ЦБ предупредил о риске использования Системы быстрых платежей мошенниками

Фото: Андрей Любимов / РБК

ЦБ предупредил банки о возможности использования мошенниками сервиса Системы быстрых платежей (СБП) для получения информации о клиентах путем «перебора идентификаторов». Об этом сообщает газета «Ведомости» со ссылкой на разосланное по банкам письмо за подписью директора департамента информационной безопасности ЦБ Вадима Уварова. В документе отмечается, что с помощью запроса через СБП номера мобильного телефона можно узнать имя, отчество и первую букву фамилии его владельца, а также названия банков, где у человека открыты счета. Этой информации недостаточно для хищения денег, однако мошенники могут использовать ее для того, чтобы совершить кражу с использованием методов «социальной инженерии». Например, позвонить от имени банка и, верно назвав имя и отчество человека, попытаться убедить того сообщить необходимый для списания средств с карты код из смс-сообщения. В документе указано также, что дочерняя ЦБ Национальная система платежных карт (НСПК, операционно-клиринговый центр СБП) сама ведет мониторинг операций и блокирует номера телефонов, с которых осуществляется массовый перебор.

В июне 2019 года первый замдиректора департамента информационной безопасности Банка России Артем Сычев, отвечая на вопрос об угрозе того, что через СБП мошенники могут узнать, в каком банке у человека открыт счет, назвал «уровень фрода» (от английского fraud — мошенничество) нулевым.

«Действительно, изначально были опасения, что система позволяет перебором номера узнать какую-то информацию. Это не так. Для исключения такого риска мы реализовали специальный алгоритм. Он позволяет в случае обнаружения подобных попыток со стороны банка отправителя не доводить эти запросы до банка получателя. Мы видим, что в ряде банковских систем такие переборы делают, но на уровне СБП они блокируются», — заявил Сычев в интервью ТАСС.

Система быстрых платежей (СБП) — сервис, который позволяет физическим лицам круглосуточно и практически мгновенно переводить деньги по номеру мобильного телефона себе или другим лицам вне зависимости от того, в каком подключившемся к СБП банке открыты счета отправителя или получателя средств.

Есть ли риски в системе быстрых платежей?

—>

Центробанк 28 февраля запустил систему быстрых платежей (СБП). Пока к ней примкнули четыре банка из 12 обещанных — Тинькофф банк, Промсвязьбанк, Росбанк и СКБ-банк. Чтобы сделать перевод, отправитель должен в приложении своего банка выбрать номер получателя из списка контактов, а из перечня банков — участников системы быстрых переводов тот, в который перевести деньги.

Таким образом, можно проверить, в каких банках есть счета у получателя. Это информация упрощает мошенничество, пишут «Ведомости». Однако эксперты, опрошенные Business FM, никаких новых опасностей пока не видят.

Система только запущена, говорить о каких-то проколах очень сложно, но функция, когда высвечиваются держатели счетов в различных банках, и до системы быстрых платежей уже существовала — так прокомментировал ситуацию эксперт по информационной безопасности компании Cisco Systems Алексей Лукацкий:

Алексей Лукацкий эксперт по информационной безопасности компании Cisco Systems «Если у вас есть приложения разных банков на телефоне, вы можете достаточно легко определить, есть ли у, грубо говоря, жертвы или у интересующего вас человека счет в этом банке или нет. Поэтому СБП в этом плане новых рисков не приносит. Для меня пока большой знак вопроса — это скорость передачи. Если какой-либо клиент заявляет о мошенническом переводе денег, очень непросто будет эти деньги вернуть обратно, потому что эта процедура пока до конца не отработана. Чтобы защититься от клонирования SIM-карты, от подмены телефонов и так далее, сейчас готовится ряд законопроектов, которые облегчат обмен информацией между банками и операторами связи, чтобы в случае смены либо потери телефона или SIM-карты можно было оперативно блокировать те или иные номера и защитить клиентов от несанкционированного списания средств. Но надо дождаться хотя бы полугодового опыта применения этой системы, чтобы понять, какие методы злоумышленники заново придумают под СБП или они останутся в своем привычном для них поле совершения мошеннических операций».

В прошлом году мошенники украли с карт около 1,5 млрд рублей, это на 44% больше, чем в 2017-м, следует из данных ЦБ. Основной механизм краж — в 97% случаев — это социальная инженерия. То есть обычный звонок по телефону, когда люди сами дают доступ к конфиденциальной информации, паролям, банковским и другим, опытному мошеннику, говорит генеральный директор компании Zecurion Алексей Раевский:

Алексей Раевский генеральный директор компании Zecurion «С одной стороны, понятно, что система перевода не будет работать, если не знать, куда конкретно, кому именно переводить. С другой стороны, получается, что разглашение этой информации может повредить. Всегда приходится выбирать между удобством и безопасностью. В принципе, мне кажется, надо банкам делать так, чтобы не было вот как сейчас, когда звонят мошенники своим потенциальным жертвам, представляются сотрудниками банка, и у них вся информация: адрес, паспортные данные, остаток на счете. В Европе, в США это был бы вообще скандал. Первые лица этих банков сейчас бы с бледным видом оправдывались под прицелом телекамер и объясняли, почему у них происходит такая вакханалия. Надо принимать какие-то срочные меры, потому что проблема в том, что в банках совершенно спокойно действуют инсайдеры, которые имеют доступ к информации о своих клиентах и которые этой информацией торгуют на черном рынке. Это является серьезнейшим нарушением банковской тайны, а вовсе не то, что я буду знать, что у кого-то, например, счет в Сбербанке или где-то еще. Если все процедуры и все процессы информационной безопасности построены как надо, то и мошенникам это ничего не даст».

Самая большая опасность для получателя, по мнению экспертов, в том, что если ему будут переводить большую сумму мелкими платежами, его карту или счет заблокируют. Кроме того, есть риски и для госслужащих, которым по номеру телефона могут перевести деньги, а им потом придется объяснять, что это не взятка. Однако документ, который обяжет банки спрашивать согласие клиентов на перевод денег по телефону, Центробанк уже подготовил.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *