Станислав Кузнецов: коронавирус породил новые схемы мошенничества

Коронавирус стал темой номер один не только для мировых СМИ, но и для мошенников, которые используют сложившуюся ситуацию в своих целях, говорит зампред правления Сбербанка Станислав Кузнецов. В интервью РИА Новости он рассказал, как преступники спекулируют на теме COVID-19, кто является их основной мишенью, какие новые схемы кражи денег они разработали из-за удаленки и самоизоляции, а также дал совет, как распознать фишинговое письмо и обеспечить свою кибербезопасность в период пандемии.

— Видят ли в Сбербанке активизацию мошенников на фоне распространения в России коронавируса?

— Вирус COVID-19 затронул многие страны и вызвал всплеск киберпреступности. По нашим данным, с начала пандемии мошенники зарегистрировали более 4000 доменов со словами "коронавирус", covid и так далее. При этом количество фишинговых рассылок по сравнению с прошлым кварталом выросло на 30%.

— Какие новые схемы, связанные с вирусом, они используют?

— Мы зафиксировали несколько таких схем. Например, "компенсации за ущерб от вируса" — злоумышленники предлагают получить социальные выплаты и материальную помощь, тем самым собирая информацию о картах и персональные данные. Распространена также продажа фальшивых лекарств, масок, сбор средств якобы на различные благотворительные цели и фейковые приглашения пройти осмотр в ближайшей поликлинике.
В последние дни фиксируются звонки, в которых мошенники сообщают, что жертва якобы контактировала с зараженным и сейчас приедут специалисты для проведения анализа. Стоит такая процедура пять тысяч рублей. Естественно, после получения денег мошенники исчезают.
В начале апреля сотрудники Сбербанка оказали содействие МВД РФ в задержании жителя Подмосковья, продававшего фальшивые пропуска для проезда в Москву при введении карантина.
А 2 апреля было задержано семь членов преступной группировки, действующей на территории республик Марий Эл и Чувашия, а также Московской и Ростовской областей, которые звонили москвичам, представляясь работниками городских поликлиник, и сообщали о якобы серьезных проблемах со здоровьем по результатам анализов. Опасаясь за свое здоровье, граждане соглашались на покупку дорогостоящих лекарств. К ним приезжали курьеры, привозили упаковки с продукцией и забирали деньги. А потерпевшие спустя некоторое время обнаруживали, что под видом лекарств приобрели безвредные добавки.
Многие компании переводят сотрудников на дистанционный режим, внедряют новые облачные сервисы для коллаборации. Мошенники и к этому быстро адаптируются: c момента начала пандемии COVID-19 было зарегистрировано 1,7 тысячи новых доменов, содержащих название сервиса популярной видеосвязи Zoom, при этом 25% из них были зарегистрированы только за последние семь дней.
В целом могу сказать, что тема распространения коронавируса взята на вооружение киберпреступниками для мошенничества с использованием методов социальной инженерии. Они применяют любую актуальную тематику, но их цель остается неизменной — украсть ваши данные и деньги.

— Клиенты банков в последнее время стали чаще получать звонки якобы от служб безопасности кредитных организаций. Фиксируют ли в Сбербанке всплеск телефонного мошенничества? Как изменилась динамика по сравнению даже с началом года? Как телефонные мошенники используют коронавирус в своих целях?

— Упомянутая схема, при которой злоумышленники представляются сотрудниками службы безопасности банка, является одной из наиболее распространенных. Мошенники при звонках на телефон клиентам банков применяют технологию подмены номера, поэтому у клиентов в основном они отображаются как городские московские номера — это 92% всех звонков.
Взрывным ростом телефонного мошенничества был отмечен 2019 год: мы наблюдали шестикратное увеличение по сравнению с 2018 годом — примерно до трех миллионов попыток мошенничества.
За 2020 год пока зафиксировано около 900 тысяч попыток телефонного мошенничества, однако если смотреть понедельную динамику, то сейчас активность даже снизилась: возможно, телефонные мошенники, как и большинство жителей, находятся в режиме самоизоляции. Но в первую очередь мы связываем снижение телефонной активности с хорошей работой правоохранительных органов за первый квартал, которые во взаимодействии с подразделениями Сбербанка задержали 15 организованных преступных группировок в девяти российских регионах.

— Вы упомянули, что с начала пандемии произошел всплеск числа фишинговых рассылок. Многие ли из них прикрываются коронавирусом?

— Всплеск фишинга еще не закончился: на первой неделе апреля мы также зафиксировали значительный рост фишинговых рассылок, причем каждая четвертая из них содержит информацию о коронавирусе.
Если говорить о новых приемах мошенников в части фишинга, то злоумышленники имитируют рассылку от Всемирной организации здравоохранения. В письме содержится ссылка на фальшивый сайт, и если пользователь зайдет на этот ресурс и введет свои данные, он рискует потерять деньги.
Стоит отметить, что тема коронавируса мошенниками в основном эксплуатируется именно в рассылках, в том числе в соцсетях и мессенджерах. С момента начала эпидемии было выявлено и заблокировано командами кибербезопасности Сбербанка и нашей дочерней компанией "Бизон" 1343 аккаунта мошенников и мошеннических групп в социальных сетях "ВКонтакте", Facebook, Twitter и других. И тут у нас возникает вопрос: как известные международные компании допускают размещение такого контента на своих площадках?

Появился в сети из-за коронавируса и новый вид мошенничества. Злоумышленники создают сайты-клоны поставщиков медицинских товаров и гигиенических средств, затем обзванивают компании и предлагают закупку масок, антисептиков, перчаток и других медицинских товаров по выгодным ценам и на привлекательных условиях. Как нетрудно догадаться, после перечисления средств "поставщик" исчезает. Первые случаи мошенничества в адрес подобных организаций были выявлены Сбербанком 16 марта.
На текущий момент объем фрода по новой схеме, в которой клиенты производят платеж за медицинские средства защиты, составляет уже 20% от общего объема фрода в марте. При этом даже очень крупные компании страдают от этого вида мошенничества. Так, нам удалось спасти 28 миллионов рублей крупной телекоммуникационной компании, которая пыталась осуществить платеж за средства медицинской защиты компании-клону.

— Могли бы вы дать рекомендации клиентам банков, как отличить фишинговое письмо от настоящего?

— Клиентам в первую очередь необходимо помнить, что киберпреступники очень умело используют повестку дня для рассылки фишинговых писем. Нужно тщательно проверять, действительно ли отправитель является тем, за кого себя выдает. Важно не открывать электронные вложения от неизвестных и не переходить по ссылкам на подозрительные ресурсы. Мы также рекомендуем использовать антивирусное программное обеспечение и своевременно его обновлять.

— С начала распространения коронавируса в стране какой объем средств мошенники уже попытались похитить у клиентов Сбербанка и какой — им удалось?

— Мы не раскрываем подобную статистику. Но можем вас заверить, что объемы успешного мошенничества минимальны. К примеру, в 2019 году нам удалось спасти клиентам 39,7 миллиарда рублей. С начала этого года мы уже предотвратили около полумиллиона попыток мошенничества на сумму 13,9 миллиарда рублей. Эффективность системы фрод-мониторинга у нас очень высокая — таких показателей эффективности нет ни у одной из международных платежных систем.

— За 2019 год банки возместили клиентам каждый седьмой похищенный рубль, то есть всего 15% похищенных средств. Банк России планировал рассмотреть возможность изменения действующей процедуры компенсации банками похищенных средств клиентов. Какова ваша позиция на этот счет? Как можно изменить механизм?

— Опыт Сбербанка показывает, что в подавляющем большинстве случаев хищения совершаются из-за нарушения клиентами условий договора, тем более в кейсах социальной инженерии. В таких случаях банк не возмещает средства. Изменение существующего подхода может негативно отразиться на ситуации и вызвать появление отдельного вида мошенничества — уже со стороны клиентов. Поэтому этот вопрос требует широкого обсуждения экспертного сообщества с привлечением профильных ассоциаций.

— Кто сейчас является основной целью мошенников — население или компании? Ожидаете ли вы, что этот тренд изменится?

— Сейчас основной целью мошенников является население. Доля социальной инженерии среди других видов атак растет из года в год. По статистике Сбербанка, в 2017 году она составляла 75% от всего кибермошенничества, в 2018-м — 79%, а в 2019-м — уже 89%. И сегодня социальная инженерия составляет порядка 90% от всех видов мошенничества. По нашим оценкам, этот тренд в обозримом будущем не изменится, мошенники продолжат пользоваться низкой киберграмотностью населения.

— А кто из россиян находится в группе риска?

— Больше всего нас беспокоит мошенничество в отношении социально незащищенных граждан. Например, 16 марта правоохранительные органы задержали в городе Ессентуки пять членов группировки, которые от имени Пенсионного фонда России звонили пенсионерам под предлогом предоставления путевок в санаторий либо выплат в честь 75-й годовщины Победы в Великой Отечественной войне. Затем злоумышленники вводили пенсионеров в заблуждение, и те сообщали номер своей карты Сбербанка, код из СМС с номера 900, в том числе логины/пароли для входа в личный кабинет интернет-банка. Далее преступники похищали денежные средства, которые тут же обналичивали.
Но не стоит думать, что жертвами становятся только граждане пожилого возраста. Сейчас мошенники больше нацеливаются на мужчин в возрасте 18−30 лет, они чаще всех становятся жертвами. Больше всего мошенничества фиксируется в Москве, Московской области, Краснодарском крае и Свердловской области.

— Участились ли попытки взломать системы Сбербанка после того, как начался переход сотрудников на удаленный режим из-за коронавируса? Как банк в настоящее время защищается от хакеров?

— Последние дни мы видим увеличение числа DDoS-атак, с начала года их уже было 26, но в целом наша служба кибербезопасности работает в штатном режиме. Удаленная работа требует соблюдения дополнительных мер кибербезопасности: как со стороны компании, так и со стороны сотрудников.

В Сбербанке действует правило, согласно которому вся работа с персональными данными клиентов выполняется только из офисов банка. Кроме того, при переводе некритичных функций на дистанционной режим отработаны технологии и процессы, которые обеспечивают надежную киберзащиту работающих дистанционно сотрудников. Крупнейший в стране операционный центр по кибербезопасности Сбербанка в круглосуточном режиме обрабатывает 17 миллиардов событий, ежедневно проводится анализ более 150 новых угроз, выявляется и блокируется не менее 20 фишинговых доменов.
В конце прошлого года мы запустили собственную платформу аналитики киберугроз Sberbank Threat Intelligence Platform. В ее базе содержится уже 44 миллиона индикаторов компрометации для выявления кибератак. Благодаря запуску новой платформы существенно повысились показатели по выявлению инцидентов и реагированию на кибератаки.

— Помимо угрозы хакерских атак, эксперты опасались, что российским банкам может не хватить мощностей и IT-специалистов при переводе большинства своих сотрудников на удаленную работу. Как с этим справлялся банк?

— Возможно, нам, как IT-компании с банковской лицензией, было проще всего организовать перевод сотрудников на дистанционный режим. В 2019 году мы уже проводили пилоты в нескольких регионах, в рамках которых отработали вопросы перевода сотрудников на работу из дома. У нас уже были выстроены все необходимые IT-решения и средства обеспечения кибербезопасности. Во время начала эпидемии нам лишь пришлось решить вопросы масштабов и приоритетов действующих IT-решений.
В настоящее время более 70 тысяч сотрудников продолжают работать в дистанционном режиме, текущая нагрузка на оборудование не превышает 30%. Можно сказать, что у нас есть существенный запас по мощности.

— По вашим ожиданиям, с какими новыми киберугрозами столкнутся банки в 2020 году?

— Мы прогнозируем атаки на сотрудников, работающих в дистанционном режиме. Далеко не все банки способны обеспечить надежную киберзащиту своих систем в этих условиях. Стоит отметить смещение интереса злоумышленников в сторону дочерних и зависимых организаций крупных компаний, так как злоумышленники считают их менее защищенными. Умысел заключается в том, чтобы проникнуть в инфраструктуру целевой организации через партнеров или дочерних компаний.

— Видите ли вы на фоне введения в российских регионах режима самоизоляции какие-то существенные изменения в мошенничестве с банкоматами? Мошенники тоже соблюдают этот режим и не пытаются взломать банкоматы или наоборот?

— Изменений в мошенничестве с банкоматами Сбербанк не фиксирует, и какого-либо влияния режима самоизоляции на поведение злоумышленников мы не видим. В последнее время количество посягательств на банкоматы Сбербанка было крайне незначительным из-за хорошей защищенности наших объектов. При этом благодаря мерам, которые предпринимались за последние три года, практически исчезли атаки типа "скимминг", когда с помощью специального устройства, установленного на банкомат, производится кража данных карт и ПИН-кода.

— Несколько лет назад злоумышленники активно использовали физические атаки на банкоматы. Это все еще популярно у них? Большой ли ущерб от таких атак?

— Злоумышленникам крайне редко удается успешно осуществить физическую атаку на банкомат, да и попыток их совершения очень мало. Современные средства реагирования и уровень защиты банкоматов позволяют успешно бороться с такой угрозой. По всем случаям атак на наши банкоматы заводятся уголовные дела, каждое дело обязательно доводится до логического финала — преступник оказывается за решеткой. Мы тесно работаем с правоохранительными органами: за первый квартал с нашим участием было задержано 79 членов преступных группировок, возбуждено 134 уголовных дела.

— Сталкивался ли Сбербанк с всплеском фальшивых купюр во время наплыва клиентов после начала волатильности на финансовых рынках и ситуации с коронавирусом?

— Нет, никаких атак подобного рода мы в последнее время не фиксировали. Современные банкоматы очень хорошо защищены от подделок.

— Что бы вы посоветовали россиянам с точки зрения кибербезопасности на фоне текущей ситуации с коронавирусом?

— Первое — критично относиться ко всем непроверенным источникам распространения тревожных новостей. Второе — необходимо усилить бдительность при работе с электронной почтой, при общении с незнакомыми людьми по телефону, в соцсетях и мессенджерах. Третье — помнить, что мы всегда готовы помочь, и не стесняться обращаться в банк.