Вирусы-потрошители и спецкнопка: ЦБ и эксперты рассказали о киберугрозах и противовесах к ним

Изображение от freepik

Во второй половине прошлого года начал распространяться вирус типа SpyNote с функциями удаленного доступа к телефону. Об этой и других опасных тенденциях рассказала на Уральском форуме «Кибербезопасность в финансах» глава Банка России Эльвира Набиуллина.

Вирусы-потрошители

😈 По словам председателя ЦБ, вирус мимикрирует под разные безобидные программы, и с его помощью мошенники могут наблюдать за телефоном, видят пароли и СМС. 

«Затем они без труда удаленно открывают банковское приложение и потрошат все счета без остатка. По нашим данным, последние полгода примерно 40–50% хищений со счетов совершаются именно так», – указала глава ЦБ. 

Она констатировала, что приложения некоторых банков надежно защищены от таких вирусов, а у других банков такой защиты нет. ЦБ будет работать над тем, чтобы все банки эту проблему устранили как можно скорее, максимум к концу текущего квартала.

😈 На днях также стало известно о стремительном росте активности мошенников, использующих для атак на клиентов российских банков вредоносный софт на основе легитимного приложения NFCGate. За месяц число подтвержденных атак увеличилось на 80%, средняя сумма ущерба выросла вдвое, до 200 тыс. рублей, а общая сумма ущерба – более чем в три раза, почти до 150 млн рублей, сообщили аналитики компании по кибербезопасности F6 (бывшая F.A.C.C.T.), которая ранее подробно описала эту схему.

По данным экспертов, сейчас в России насчитывается как минимум 114 тыс. скомпрометированных Android-устройств, на которых установлено вредоносное ПО, способное через NFC-модули перехватывать и передавать данные банковских карт. Эти программы маскируются под приложения банков, госсервисов, мобильных операторов и даже популярных антивирусов.

Эксперты напомнили, что киберпреступники используют способность NFCGate обмениваться данными между двумя смартфонами, на которых установлено приложение. Задача злоумышленников – получить NFC-метку банковской карты пользователя и ее ПИН-код, внедрив в устройство жертвы вредоносное приложение под видом легитимной программы. Для этого используются:

• телефонное мошенничество и приемы социальной инженерии, когда пользователь сам устанавливает вредоносное ПО с фишингового сайта;
• установка софта с NFCGate на устройство жертвы без ее ведома через трояны удаленного доступа, например CraxRAT. Они распространяются обычно через мессенджеры в виде APK-файлов под легитимным предлогом.

Факт установки такого приложения на устройство еще не означает, что злоумышленники автоматически получают доступ к NFC-данным банковской карты, – для перехвата и передачи данных необходимо, чтобы пользователь запустил вредоносную программу и приложил карту к NFC-чипу. Однако мошенники доработали функционал зловреда, и теперь при его установке и запуске оно скрытно для пользователя перехватывает СМС, а если жертва приложила карту к NFC-чипу – сразу передает ее данные преступникам.

«С учетом особенностей платформы Android и относительной простоты распространения такого вредоносного ПО, как NFCGate и CraxRAT, мы ожидаем значительного роста числа атак с использованием этой мошеннической схемы», – предупреждают в F6.

«Нетерпимый уровень»

Сегодняшний уровень финансового мошенничества Набиуллина назвала «нетерпимым», причем многие банки, по ее словам, занижают масштабы проблемы. 

«Мы, например, выяснили, что один из крупных банков системно не регистрировал все операции без согласия и не направлял в базу данных обращение обманутых клиентов под тем предлогом, что человек, пусть под влиянием обмана, но ведь сам перевел – где же здесь «без согласия»? И нам пришлось применять и надзорные меры, некоторые банки пришлось наказывать», – рассказала глава Банка России. 

В этой же связи было уточнено юридическое понятие мошеннических действий: это операция не просто «без согласия», а «без добровольного согласия».

По данным замглавы МВД Андрея Храпова, чьи слова приводит РБК со ссылкой на «Интерфакс», в 2024 году ущерб от действий кибермошенников вырос на 36% по сравнению с 2023-м – со 147 млрд до 200 млрд рублей. В общей сложности в прошлом году ведомство зарегистрировало 765 тыс. преступлений, из них 486 тыс. были онлайн-мошенничеством. Число жертв кибермошенников осталось примерно на уровне 2023 года: 448,9 тыс. человек.

Спецкнопка и другие меры

🤜 В ЦБ оценили эффективность заработавшего недавно закона, который предусматривает двухдневный период охлаждения при денежных переводах. Глава регулятора подчеркнула, что эта мера усложнила жизнь мошенникам: крупные банки ежемесячно приостанавливают на два дня около 300 тыс. переводов на подозрительные счета, которые включены в базу Банка России. По словам Набиуллиной, 60% граждан успевают за эти два дня разобраться, что могли стать жертвами мошенников. Среди оставшихся 40% часть людей осознанно проводят операции с криптовалютами через дропперов, следует из пояснений Центробанка.

🤜 Набиуллина напомнила о принятом с такими же целями законе о периоде охлаждения между заключением кредитного договора и перечислением этих средств. Председатель ЦБ признала, что за прошедший год масштаб кредитного мошенничества вырос: по оценкам регулятора, кредитные деньги, которые выводятся мошенниками, составляют около 40% всех похищенных у граждан средств, тогда как в прошлом году эта доля равнялась 25%. 

🤜 Регулятор планирует с октября обязать кредитные организации, прежде всего системно значимые, а также имеющие статус значимых на рынке платежных услуг, внедрить в свои приложения «спецкнопку», чтобы пострадавшие клиенты могли прямо в приложении, без необходимости идти в отделение банка, подать заявление о мошеннической операции и в онлайн-режиме получить нужную справку для обращения в полицию. Также в мобильном приложении человек сможет ответить на запрос банка, является ли операция мошеннической. 

🤜 В свою очередь МВД предлагает позволить следователям и дознавателям во внесудебном порядке на десять дней блокировать денежные операции, вызывающие сомнения. Но проект еще будут дорабатывать. Изначально ЦБ увидел в нем слишком серьезное расширение доступа к банковской тайне, также у регулятора есть «есть возражения по дознавателям».

🤜 Специалисты F6 дают рекомендации подразделениям информационной безопасности банков для минимизации риска кражи денег у их клиентов через NFC:

• исключить общение с клиентами в мессенджерах и уведомить клиентов о недоступности такого канала связи;
• при подозрительных авторизациях и операциях в банкомате по NFC запрашивать у пользователя пластиковую карту;
• учитывать данные геолокации пользователей;
• реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений;
• дополнить антифрод-системы событиями банкоматной сети и событиями токенизации.