Как мошенники использовали голосовое меню
ЦБ расследовал инцидент, после того как один из банков сообщил о резком росте числа звонков своим клиентам от мошенников, которым было известно об остатках денежных средств на счетах, следует из письма. В результате было установлено следующее:
- Мошенники совершали телефонные звонки в систему IVR (интерактивное голосовое меню), подменяя телефонные номера клиентов. При звонке с номера клиента они запрашивали у системы сведения по остаткам денежных средств на картах клиентов, вводя для этого последние четыре цифры номеров этих банковских карт.
- После этого мошенники, используя методы социальной инженерии (психологические методы, направленные на обман клиентов), звонили своим жертвам, представляясь сотрудниками банка. Как говорится в письме, «для преодоления барьера недоверия и успешного применения иных методов социальной инженерии» они использовали информацию об остатках денежных средств.
- Номера телефонов клиентов и номера принадлежащих им банковских карт были скомпрометированы и распространялись в интернете. Источник получения этих данных однозначно не установлен, однако, как считают в ЦБ, мошенники могли их получить в том числе из клиентской базы маркетплейса Joom, которая ранее оказалась в открытом доступе, следует из письма.
Как утекли данные клиентов Joom
В конце августа ЦБ и платежная система Visa предупредили банки о том, что в Сети распространяется база 55 тыс. клиентов маркетплейса Joom, которая в том числе содержит данные о банковских картах, номерах телефона и Ф.И.О. покупателей. Среди данных оказались сведения о клиентах Сбербанка, Россельхозбанка, «Открытия», Райффайзенбанка, МКБ, Тинькофф Банка, Росбанка, Почта Банка, Киви Банка, Абсолют Банка, «Ак Барса», Промсвязьбанка, Ситибанка, ЮниКредит банка, банков «Санкт-Петербург», «Уралсиб», «Зенит», «Ренессанс Кредит», РНКБ, МТС-банка, УБРиРа и других российских, а также зарубежных банков. Часть банков решили перевыпустить карты пострадавшим клиентам или усилить контроль за операциями по ним. Вскоре в интернет из скомпрометированной базы Joom попали данные 31 тыс. клиентов ВТБ.
На то, что мошенникам была известна информация об остатке на счете, жаловались клиенты Райффайзенбанка, писали «Известия». При этом в Сети появилась база данных 27 тыс. его клиентов, которая также была частью базы Joom. Райффайзенбанк подтверждает компрометацию только 2 тыс. карт, сказал РБК его представитель. 4 сентября Райффайзенбанк предупредил об участившихся звонках клиентам от мошенников, но исключал утечку данных из самого банка.
Что рекомендовал ЦБ
После обнаружения мошенничества ФинЦЕРТ ЦБ еще раз указал на необходимость следовать рекомендуемым мерам, пояснил представитель регулятора: «Банки при обслуживании клиентов в системе телефонного банкинга в автоматическом режиме должны использовать дополнительный параметр аутентификации, например секретный код, который устанавливается клиентом при заключении договора. Кроме того, последние четыре цифры номера карты не могут являться дополнительным параметром аутентификации. Соблюдение таких рекомендаций позволит банкам предотвратить подобные инциденты».
В самом письме отмечается, что безопасным идентификатором не может считаться и телефонный номер клиента из-за проблемы с подменой номеров и утечек клиентских данных. Банкам также следует обеспечить синхронизацию обращений в системы интерактивного голосового меню с системами антифрода (борьбы с мошенничеством) и выявлять аномальную активность клиентов после использования интерактивного голосового меню.
РБК направил запрос в крупнейшие банки. Представитель Райффайзенбанка рассказал, что получение данных о балансе через систему IVR — достаточно распространенный на банковском рынке функционал. «К сожалению, мы видим, что мошенники стали все чаще использовать подложные номера телефонов клиентов для получения доступа к некоторым данным», — пояснил он, добавив, что сейчас данные по остатку счета направляются на контактный номер клиента через СМС или пуш-сообщение. Такой способ, по словам представителя банка, полностью закрывает сценарий раскрытия информации посредством подмены номера мошенниками при звонке через IVR.
ВТБ, который использует функцию интерактивного голосового меню, настроил систему безопасности таким образом, чтобы максимально защищать клиентов при использовании данной услуги, сказал представитель банка. «Яндекс.Деньги» не фиксировали роста числа звонков мошенников клиентам, а для запроса баланса по карте необходимы логин и пароль, в отдельных случаях также может быть запрос СМС или одноразового пароля, отметил представитель компании. МКБ не отметил жалоб клиентов на подобные звонки.
Банк «Открытие» для своих клиентов, которые были в базе Joom, установил запрет на получение финансовой информации через голосовой помощник с самого начала.
РНКБ для предоставления баланса с помощью IVR использует доверенный номер телефона и последние четыре цифры номера карты, но при этом не фиксирует резкого роста мошеннических звонков своим клиентам. Также банк рассматривает возможность применения для этих целей биометрии.
Интерактивное голосовое меню дает возможность узнать баланс счета, сменить PIN-код и т.д., отмечает руководитель направления «Информационная безопасность» ИТ-компании КРОК Андрей Заикин. «Между тем для расширения функционала требуется интеграция со все большим количеством систем внутри банка, что влечет за собой дополнительные риски с точки зрения информационной безопасности (ИБ). Ведь один метод защиты, примененный в одном приложении, может полностью закрыть угрозу ИБ, а в другом приложении сработать не так эффективно», — предупреждает он.
Лучше давать голосовому помощнику дополнительный функционал только при использовании заранее заданного специального кода, а не только номера телефона и последних цифр карты, говорит Заикин, и многие банки уже это делают. Банки могут установить в голосовом меню для проверки клиента СМС или push-уведомления, отмечает ведущий эксперт «Лаборатории Касперского» Сергей Голованов.
Современная банковская система.
Структура банковской системы РФ
Банковская система РФ имеет двухуровневую структуру. На первом уровне находится Центральный банк РФ, на втором – различные кредитные организации.
Кредитная организация – юридическое лицо, имеющее право на основании лицензии Центрального банка осуществлять в качестве основной цели своей деятельности банковские операции. Кредитные организации осуществляют финансовое посредничество, перемещая временно свободные денежные средства от кредиторов к заемщикам. Кредитной организации запрещено заниматься производственной, торговой и страховой деятельностью.
Кредитные организации выполняют две основные функции:
• комплексное кредитное обслуживание клиентов;
• комплексное расчетное обслуживание клиентов.
К банковским операциям кредитной организации относятся:
• привлечение денежных средств физических и юридических лиц во вклады;
• размещение привлеченных средств от своего имени и за свой счет;
• открытие и ведение банковских счетов физических и юридических лиц;
• осуществление расчетов по поручению физических и юридических лиц по их банковским счетам;
• инкассация денежных средств, векселей, платежных и расчетных документов и кассовое обслуживание физических и юридических лиц;
• купля-продажа иностранной валюты в наличной и безналичной форме;
• привлечение во вклады и размещение драгоценных металлов;
• выдача банковских гарантий.
Кредитная организация, помимо банковских операций, может осуществлять следующие сделки:
• выдача поручительств за третьих лиц;
• приобретение права требования от третьих лиц исполнения обязательств в денежной форме – факторинговые операции;
• доверительное управление денежными средствами и иным имуществом по договору с физическими и юридическими лицами (трастовые операции);
• осуществление операций с драгоценными металлами и камнями;
• предоставление в аренду специальных помещений и сейфов для хранения документов и ценностей;
• оказание консультационных и информационных услуг;
• по лицензии Банка России – операции с ценными бумагами (выпуск, покупка, продажа, учет, хранение).
Банк – это кредитная организация, имеющая исключительное право осуществлять следующие банковские операции:
– привлечение во вклады средств физических и юридических лиц;
– размещение указанных средств от своего имени и за свой счет;
– открытие и ведение банковских счетов физических и юридических лиц.
В состав банковской системы РФ включаются также филиалы, представительства и дочерние кредитные организации иностранных банков. Они занимаются кредитованием внешней торговли и обслуживанием внешнеторгового оборота, банковским обслуживанием фирм страны происхождения банка, ТНК и национальных потребителей, финансовым посредничеством между иностранными и российскими финансовыми рынками. Участие иностранного капитала в банковской системе России ограничено квотой (12 % иностранного капитала к совокупному уставному капиталу кредитной организации, зарегистрированной в РФ).
Кредитные организации могут создавать союзы и ассоциации для защиты интересов организаций-членов и координации их усилий. Крупнейшей ассоциацией является ассоциация российских банков (АРБ). Она представляет позиции своих членов в законодательных, исполнительных и судебных органах, в ЦБ РФ, защищает их интересы, оказывает им услуги (информационные, образовательные), принимает участие в решении возникающих у них проблем, осуществляет контакты на национальном и международном уровне. Союзам и ассоциациям кредитных организаций запрещено осуществлять банковские операции.
Для совместного осуществления банковских операций и решения совместных задач кредитные организации могут создавать группы холдингового типа. Холдинги образуются путем получения кредитной организацией права определять решения, принимаемые другими кредитными организациями. Такая возможность возникает, во-первых, в силу преобладающего участия данной кредитной организации в уставном капитале других кредитных организаций; во-вторых, в силу договора. Приобретение акций (долей) кредитных организаций, а также заключение соглашений, предусматривающих осуществление контроля за их деятельностью, не должно противоречить антимонопольному законодательству.
Особое место в банковской системе занимают банки с государственным участием: Сберегательный банк РФ, Внешторгбанк, Внешэкономбанк, Россельхозбанк.
Центральный банк России.
Центральный банк Российской Федерации (ЦБ РФ) является главным банком России. Он образует единую централизованную систему с вертикальной структурой. В систему банка входят центральный аппарат, территориальные учреждения (Главные управления и Национальные банки республик) и подразделения на местах (расчетно-кассовые центры и др.).
ЦБ РФ имеет три основные цели деятельности: защита и обеспечение устойчивости рубля, в т. ч. его покупательной способности и курса по отношению к иностранным валютам; развитие и укрепление банковской системы РФ; обеспечение эффективного и бесперебойного функционирования системы расчетов.
Для реализации этих целей ЦБ РФ выступает как орган монетарной власти, орган банковского регулирования и надзора и расчетный центр банковской системы.
Как орган монетарной власти ЦБ РФ осуществляет: разработку и осуществление (совместно с Правительством РФ) кредитно-денежной политики, валютного регулирования и контроля, проводит анализ и прогнозирование состояния экономики РФ.
Как орган банковского регулирования и надзора ЦБ РФ: осуществляет государственную регистрацию кредитных организаций; выдает и отзывает лицензии кредитных и аудиторских организаций; осуществляет надзор за деятельностью кредитных организаций; устанавливает правила проведения банковских операций, бухгалтерского учета и отчетности для банковской системы; осуществляет рефинансирование (кредитование) коммерческих банков и др.
Как расчетный центр банковской системы ЦБ РФ устанавливает правила осуществления расчетов в РФ; монопольно осуществляет эмиссию наличных денег и организует их обращение. ЦБ РФ выступает в качестве общего банка-корреспондента для всех кредитных организаций. ЦБ предоставляет банковские услуги коммерческим банкам, бюджетным учреждениям и Правительству.
Средства федерального бюджета и государственных внебюджетных фондов хранятся в ЦБ РФ. Банк России осуществляет операции с федеральным бюджетом и государственными внебюджетными фондами, с бюджетами субъектов Федерации, местными бюджетами, а также операции по обслуживанию государственного долга и операции с золотовалютными резервами РФ.
Прибыль Банка России после направления ее Советом директоров в резервы и фонды перечисляется в доход федерального бюджета. ЦБ РФ освобождается от уплаты всех налогов.
Банк России осуществляет пассивные и активные операции. Пассивные операции – это операции по привлечению источников финансовых ресурсов. К ним относятся:
• собственный капитал банка;
• эмиссия банкнот (механизм эмиссии основан на кредитовании, ЦБ нужны деньги для выдачи кредитов коммерческим банкам, на покупку государственных ценных бумаг, покупку золота и валюты и другие цели);
• вклады коммерческих банков и их обязательные резервы;
• средства бюджета и др.
К активным операциям банка относятся операции по размещению имеющихся финансовых ресурсов: ссуды коммерческим банкам, покупка векселей у коммерческих банков и государства; покупка государственных ценных бумаг и др.
Деятельность коммерческих банков.
Коммерческие банки различаются по:
– принадлежности и способу формирования уставного капитала (с участием государства, кооперативные, совместные, иностранные);
– отраслевой ориентации территории деятельности (региональные, республиканские);
– видам совершаемых операций (универсальные, специализированные).
Большинство российских банков являются универсальными. Они в отличие от специализированных выполняют все виды кредитных операций. Специализированные банки выполняют один-два вида кредитных операций. Инвестиционные банки выдают долгосрочные кредиты, инновационные банки – кредиты в нововведения, депозитные банки – кредиты за счет вкладов, учетные банки производят учет векселей, сбербанки привлекают мелкие вклады и кредитуют население, ипотечные банки выдают кредиты под залог недвижимости.
Они аккумулируют основную долю кредитных ресурсов, предоставляют клиентам полный комплекс финансового обслуживания, включая выдачу ссуд, прием депозитов, расчеты, покупку-продажу и хранение ценных бумаг, иностранной валюты и т. д.
Общепринято считать функциями коммерческого банка следующие:
• аккумуляция и мобилизация денежного капитала;
• посредничество в кредите;
• создание кредитных денег;
• проведение расчетов и платежей;
• организация выпуска и размещения ценных бумаг;
• оказание консультационных услуг.
Мобилизуемые банком свободные денежные средства предприятий и населения приносят их владельцам доходы в виде процента и создают базу для проведения ссудных операций.
Прямым кредитным отношениям между владельцами свободных денежных средств и заемщиками препятствует несовпадение объема капитала, предлагаемого в ссуду, с потребностью в нем. Не совпадает и срок высвобождения этого капитала со сроком, на который он требуется заемщику. Непосредственные кредитные связи между владельцами капитала и заемщиками затрудняет также риск неплатежеспособности заемщика. Коммерческие банки, выполняя роль финансового посредника, устраняют эти затруднения.
Специфическая функция банков – создание кредитных денег (банковских депозитов, которые используются с помощью чеков, карточек, электронных переводов). Коммерческие банки образуют депозиты, принимая наличные деньги от своих клиентов. При этом происходит замена одного вида кредитных денег (банкнот) другим (депозитами). Кроме того, банк создает депозиты на основе выдачи банковских ссуд, приобретения у клиентов ценных бумаг, иностранной валюты и золота. При этом происходит увеличение объема денежной массы в обращении.
Проведение расчетов и платежей реализуется банками в режиме посредничества. Они осуществляют платежи по поручению клиентов, принимают деньги на счета и ведут учет всех денежных поступлений и выдач. Эффективное функционирование платежной системы в странах с развитой банковской структурой вызывает совершенствование технологии расчетных операций. В этих странах создаются новые расчетные системы.
Коммерческие банки активно участвуют в формировании первичного и вторичного рынков, организуя их выпуск и размещение ценных бумаг. Осуществляя для своих клиентов выпуск и размещение акции и облигации, коммерческие банки имеют возможность направлять капитал для производственных целей, для финансирования государственных расходов.
Консультационные услуги коммерческих банков заключаются в консультировании клиентов по таким вопросам, как повышение их кредитоспособности, получение лизинговых и инновационных кредитов, применение новых форм расчетов, использование пластиковых карточек, составление отчетности и др.
Преобладают акционерные банки. Для коммерческих банков наиболее характерны отделы: депозитных операций, кредитные, трастовые.
Кроме этого, в банках часто создаются структурные подразделения, которые занимаются вопросами текущей деятельности банка, оказывают организующее воздействие на его работу в целом.
Банковские операции.
Банковские операции – виды хозяйственной деятельности, к осуществлению которых допускаются исключительно организации, имеющие лицензию, выдаваемую центральными банками. Лицензирование банковской деятельности связано с необходимостью защиты денежных средств частных лиц и компаний.
В России закрытый перечень операций, считающихся исключительно банковскими, приведен в Федеральном законе от 2 декабря 1990 года № 395-1 «О банках и банковской деятельности». К таким операциям относятся:
§ привлечение денежных средств физических и юридических лиц во вклады;
§ размещение привлеченных средств от своего имени и за свой счет;
§ открытие и ведение банковских счетов физических и юридических лиц;
§ осуществление расчетов по поручению физических и юридических лиц, в том числе банков-корреспондентов, по их банковским счетам;
§ инкассация денежных средств, векселей, платежных и расчетных документов и кассовое обслуживание физических и юридических лиц;
§ купля-продажа иностранной валюты в наличной и безналичной формах;
§ привлечение во вклады и размещение драгоценных металлов;
§ выдача банковских гарантий;
§ осуществление переводов денежных средств по поручению физических лиц без открытия банковских счетов (за исключением почтовых переводов).
Все эти операции кредитные организации вправе осуществлять в рублях или в валюте при наличии соответствующей лицензии.
Кроме того, закон запрещает кредитным организациям заниматься производственной, торговой и страховой деятельностью. При этом существует одно единственное исключение: для них допускается торговля производными финансовыми инструментами, в том числе и товарными, но только в том случае, если обязательство по физической поставке будет исполнено не путем поставки, а в результате взаимных расчетов.
Контрольные вопросы:
1. Сколько уровней в современной банковской системе?
2. Что такое кредитная организация?
3. Функции коммерческого банка?
4. Что такое активные операции?
5. Что такое пассивные операции?
6. Закрытый перечень банковских операций. Перечислите их.