В 2024 году Уральский форум «Кибербезопасность в финансах» был во многом посвящён борьбе с социальной инженерией, в 2025 году первая пленарка посвящена той же теме. И это не случайно: граждане теряют миллиарды рублей из-за социальных инженеров. Пока «перелома» в борьбе с кибермошенничеством добиться не удалось.

В то же время выполнение кредитными организациями требований Банка России по подтверждению клиентских транзакций, выпущенных ещё в 2022 году, сможет если не решить проблему, то снизить количество мошеннических операций. И даже если суммы после выполнения всеми кредитными организациями снизятся всего на 20–30%, то это будут миллиарды рублей в год денег жителей страны, которые удастся спасти от мошенников. Тем более на рынке есть решения российских вендоров, которые как раз помогут выполнить регуляторные требования и в то же время защитить россиян.

НЕСОГЛАСОВАННЫЕ ОПЕРАЦИИ

Статистику ЦБ по хищениям у клиентов банков нельзя назвать позитивной. Количество банковских операций, совершённых без согласия (ОБС) клиентов, в России ежегодно превышает 1 млн штук. В 2023 году число зарегистрированных ЦБ таких операций суммарно составило 1,2 млн штук, за девять месяцев прошлого года — уже 0,9 млн штук. При этом объём похищенных в результате средств растёт: в позапрошлом году он составил 15,8 млрд рублей, с января по сентябрь 2024 года — уже 18,3 млрд рублей. 

Жертвами чаще всего становятся физические лица: ОБС затрагивают сотни тысяч граждан каждый год. Неудивительно поэтому, что эта проблема стала одной из тем пристального внимания регулятора. 

«Мы видим, что здесь перелома такого долгожданного, о котором мы говорили, конечно, не произошло… Конечно, для того, чтобы просто стоять на месте, чтобы не ухудшалась ситуация, надо бежать, и мы бежим. Но для того, чтобы двигаться вперёд, надо бежать в два раза быстрее», — говорила год назад председатель Банка России Эльвира Набиуллина (цитата по «Интерфакс»).

Одним из направлений такой борьбы с ОБС стало ужесточение требований ЦБ к защищённости транзакций клиентов банков. В начале 2022 году регулятор внёс в положение 683-П, по которому с октября того же года устанавливались более жёсткие, включая криптографическую защиту, требования по подписанию электронных сообщений для подтверждения операций по платежам и переводам, оформлению кредитов и т. п. 

НОВЫЕ ТРЕБОВАНИЯ

В частности, наиболее распространённым способом подтверждения банковских транзакций являются коды из СМС и пуш-сообщений, которые, по сути, являются простой электронной подписью (ПЭП). Однако, по мнению регулятора, только кода стало недостаточно для защиты от мошенничества. Согласно новой редакции документа, теперь необходима усиленная квалифицированная электронная подпись (УКЭП), усиленная неквалифицированная электронная подпись (УНЭП) или же средство криптографической защиты информации (СКЗИ) с имитозащитой и аутентификацией отправителя сообщения. 

«Проблема кодов из СМС не только в том, что скрипты многих мошеннических звонков против граждан построены таким образом, чтобы выманить у клиента банка код из СМС или пуш и таким образом получить доступ к его личному кабинету, — поясняет генеральный директор SafeTech Денис Калемберг. — Использование одноразовых кодов, даже если они вычисляются с использованием данных операции, несёт в себе повышенные риски на пути всего своего жизненного цикла». Эксперт пояснил, что коды из пуш-уведомления или СМС-сообщения подвержены риску компрометации с момента генерации на стороне банка, в процессе передачи, как, например, из-за уязвимости протокола SS7, которую обнаружили более десятилетия назад. В частности, использовав эту уязвимость, хакеры впервые смогли похитить деньги клиентов немецких банков ещё в 2017 году, сообщало Süddeutsche Zeitung. Отдельно можно упомянуть массу способов украсть одноразовые коды при помощи фишинговых ресурсов и вредоносного ПО. 

Криптографическая защита, требования о которой и ввёл регулятор в положение 683-П, как раз и должна защитить клиентов от мошенничеств, направленных на получение кода из СМС или пуш-сообщения, фрода внутри банка, технологических атак с перехватом сообщения. Безусловно, если ведомый социальными инженерами человек сам лично снимет деньги со своего счёта и передаст деньги в банк, то криптография тут не поможет.

«Но даже если удастся сделать невозможными хотя бы атаки с перехватом или сообщением третьим лицам кода из СМС и пуш-сообщений, сократив объём хищений на 20–30%, это в любом случае будет означать сэкономленные миллиарды россиян», — указал Денис Калемберг. 

К сожалению, многие российские банки, занятые в 2022 году первоочередными проблемами, не спешили внедрять новые решения с криптографией. В марте 2023 года в информационном письме ЦБ ещё раз напомнил кредитным организациям о необходимости усиливать защиту подтверждения операций: использование ПЭП «возможно только совместно с СКЗИ, реализующими функцию имитозащиты информации с аутентификацией отправителя сообщения», настаивал регулятор.

Тем не менее штрафы, предусмотренные за нарушение нормативных требований ЦБ (до 0,1% от собственного капитала, но не менее 100 тысяч рублей), не очень пугали некоторые кредитные организации, которые продолжали использовать старые методы для подтверждения банковских операций. «Сумма возможного штрафа зачастую меньше, чем стоимость работ по внедрению или разработке новых технических средств для исполнения требований указания Банка России», указывали, в частности, в Совете Федерации (цитата по РБК). В результате поэтому в конце 2023 года сенаторы, например, даже решили значительно увеличить денежные взыскания с банков за неисполнение законов и нормативных актов регулятора. Впрочем, пока до поправок в закон дело так и не дошло. 

РЕШЕНИЯ ЕСТЬ

В то же время ряд российских кредитных организаций всё же выполнил требования ЦБ, повысив защищённость своих клиентов от кибермошенничества. Технологические решения, которые позволяют обеспечить подтверждение транзакций в соответствии с требованиями ЦБ, существуют и активно используются кредитными организациями. Например, мобильная электронная подпись. Это специальное приложение для смартфона или SDK для интеграции в мобильное банковское приложение, построенное на основе асимметричной криптографии, то есть такого метода шифрования информации, который предполагает наличие сразу двух ключей — закрытого и открытого. 

При этом закрытый ключ находится только у клиента, который видит все данные документа перед его подписанием, также здесь не существует кода, который можно было бы сообщить мошеннику или ввести на фишинговом сайте. Таким образом, при использовании мобильной электронной подписи просто исключена возможность операций без согласия клиента, когда сообщается код из СМС. При этом СМС банкам обходятся всё дороже, и отказ от них даёт немалую экономию расходов на связь. 

То есть мобильная электронная подпись совмещает и низкую стоимость, и простоту распространения, и юридическую значимость, и высокую степень защиты транзакции.

В частности, именно такой функционал предоставляет PayControl ГОСТ — платформа, которая является средством для формирования УНЭП в смартфоне. Её разработчиком является российская компания SafeTech. 

Мобильная электронная подпись в PayControl ГОСТ создаётся путём криптографических преобразований подписываемой информации в сочетании с уникальными характеристиками конкретного девайса. Клиент создаёт операцию в цифровом канале, информация о ней отображается в мобильном приложении на смартфоне, пользователь нажимает кнопку «Подтвердить», и транзакция подтверждается. 

Процедура подтверждения операции занимает несколько секунд, для клиента подтверждение платежа происходит лишь одним тапом по экрану. Приложение доступно как на операционной системе Android, так и на iOS. Существует даже возможность работы со смарт-часов. Кроме того, существует версия для компьютеров и ноутбуков. 

«Использование PayControl ГОСТ — это не только повышение безопасности и выполнение требований регулятора, но и улучшение клиентского опыта, — указывает Денис Калемберг. — Более того, согласно расчётам SafeTech, использование подобных решений даже несёт банкам финансовую выгоду: обычно на отправку СМС банки тратят порядка 500 рублей на одного клиента в год, а значит, экономия по итогам 12 месяцев может составить сотни миллионов рублей».

Реклама. ООО «СэйфТек Лаб», ИНН: 7734429050, Erid: 2VfnxwhBWbi