В 2022 году в связи с проведением спецоперации мошеннические call-центры релоцировались к западным границам Украины, а также, по некоторым признакам, в Польшу, Германию и Великобританию. Об этом в интервью «Известиям» заявил зампред «Сбера» Станислав Кузнецов. Украденные деньги идут на финансирование ВСУ, за границу они переводятся через криптовалюту. Также в последние месяцы злоумышленники придумали специальный скрипт обмана для сотрудников банков, которые работают с наличностью, сообщил топ-менеджер. Кроме того, он рассказал о самой сложной, самой мощной и самой хитроумной кибератаках на «Сбер», сообщает РИА VladNews.
Коренной перелом
— Сбербанк находится на передовой борьбы с киберпреступностью. Какие основные тренды в этой области наметились в 2022 году?
— Главным итогом уходящего года в этой области можно назвать то, что в России произошел коренной перелом в борьбе с телефонным мошенничеством. Дело в том, что заработали внесенные изменения в закон «О связи», и в целом в области телефонии благодаря совместным усилиям «Сбера», Минцифры, ФСБ, ведущих операторов связи стало больше порядка. Крупнейшие телеком-операторы перестали пропускать звонки с подменой номера. В то же время, к сожалению, сегодня региональные телекомы открыто продолжают предоставлять услуги виртуальных call-центров, при этом пропускают звонки с подменой телефонного номера. Как нам представляется, это должно стать поводом для срочных прокурорских проверок.
Однако мошенники стали уходить в мессенджеры — сегодня на них приходится до 30% трафика злоумышленников. Фактически мессенджеры безнаказанно предоставляют украинским call-центрам инфраструктуру для обмана граждан России, и никаких мер противодействия мошенникам они не принимают.
— Как изменились способы вывода денег мошенниками после ухода из России Visa и MasterCard?
— По данным за IV квартал 2022 года, основной канал вывода средств по схемам профессионального мошенничества — карты российских банков (примерно 59%).
Похищенные средства обналичиваются, конвертируются в валюту и аккумулируются в «денежных хабах» — в Санкт-Петербурге и Ленинградской области. Такая особенность связана с тем, что Санкт-Петербург — крупный туристический центр, в котором легко затеряться приезжему, в городе еще довольно слабо развито видеонаблюдение, а также особую роль играет близость к государственной границе с несколькими странами.
Второй инструмент — криптовалюта, в которую конвертируются украденные средства с помощью нелегальных сервисов, расположенных в «Москва-Сити», ТЦ «Горбушкин двор», ТЦ «Фудсити», ТЦ «Садовод», на автовокзале Котельники и в торгово-ярмарочном комплексе «Москва». Затем криптовалюта обналичивается на Украине и используется в том числе для финансирования ее армии. Таким образом, украденные телефонными мошенниками деньги россиян идут на финансирование ВСУ.
Благодаря стратегии «Антидроп» «Сбер» выдавливает из банка дропов людей, которые занимаются обналичиванием украденных средств. В 2022 году заблокировано более 45 тыс. попыток выпуска карт дропам, при этом не получено ни одной жалобы от клиентов.
Call-центры релоцируются
— В прошлом году вы заявляли, что столица телефонного мошенничества — украинский город Днепропетровск (переименован в Днепр). Поменялась ли география размещения телефонных мошенников после начала спецоперации?
— В Днепропетровске — Днепре, как его сейчас называют, — работали на пике более 1 тыс. call-центров. В настоящее время их количество резко уменьшилось: сейчас в этом городе менее 100 мошеннических call-центров, их активность значительно снизилась. В этом году вследствие проведения спецоперации мошеннические call-центры стали перемещаться в сторону запада и центра Украины — таких городов, как Львов, Житомир, Тернополь, Николаев. В целом количество мошеннических call-центров сегодня на всей территории Украины составляет несколько сотен.
— Релоцируются ли call-центры в другие страны?
— Я не стал бы утверждать, смело называя страны, но все признаки такой работы мы фиксируем с территории Польши и Германии, а в последние два месяца — с территории Великобритании.то: ТАСС/URA.RU/Владимир Андреев
Важный тренд, который мы внимательно изучаем, — рост звонков украинских call-центров на телефонные номера других стран, в частности Казахстана, Узбекистана. Мы собираем информацию, конкретные свидетельства такой работы, для того чтобы в самое ближайшее время передать эту информацию в правоохранительные органы, в том числе по каналам Интерпола.
В этом году мы запустили портал «Кибрарий» — первую в России полноценную библиотеку знаний о кибербезопасности. На этом портале размещено большое количество информации о защите от киберпреступников, о правилах, которые необходимо соблюдать в условиях управления киберрисками, об опыте, который имеется в нашей стране и за рубежом по борьбе с киберпреступниками.
В частности, там мы разместили объемные материалы расследования действий украинского call-центра в Бердянске с большим количеством детальной информации о действиях преступников, для того чтобы эта информация стала достоянием гласности для всех граждан нашей страны и всего мира. По материалам расследований, которые мы провели по украинским call-центрам, уже возбуждено более 1,2 тыс. уголовных дел.
Под прицелом — банковские сотрудники
— Социальные инженеры всегда модифицируют сценарии обмана. В последние месяцы вы фиксируете появление новых легенд?
— В этом году никаких принципиально новых сценариев не фиксируем. При этом мы замечаем повышение скорости приспособления мошенников к новостному ряду. Как только появляется какая-то новость, кибермошенники мгновенно используют ее для того, чтобы перенастроить инструменты реализации своего преступного умысла.
В повестке преступников активно используется тема проведения специальной военной операции, тема частичной мобилизации, тема подготовки и переподготовки мобилизованных граждан. Злоумышленники создали различные варианты схем с уклонением: «удаление из базы мобилизованных», «проверка на наличие повестки», «помощь с выездом из России». Имели место схемы со сбором денежных средств для мобилизованных и компенсациями за участие в СВО. Такие сценарии нацелены на совершение денежных переводов гражданами. В большинстве случаев удается их приостановить.Фото: ТАСС/Егор Алеев
Единственное, что нам дается достаточно сложно, — когда наш клиент снимает деньги наличными самостоятельно, несет в другой банк, там кладет на счет мошенника и таким образом теряет свои средства. Мы договорились в рамках Ассоциации банков России, в рамках взаимодействия с ФинЦЕРТом ЦБ, что мы будем даже такие действия наших клиентов хеджировать. Будем обмениваться информацией и выработаем особый порядок принятия решений о переводе этих средств на счета подозрительных структур.
— Какие категории граждан оказались в центре внимания мошенников в последние месяцы?
— Мошенники изобрели специальные сценарии, нацеленные на сотрудников банков, работающих с денежной наличностью. У них можно выманить значительно более крупную сумму, чем рядовые граждане обычно хранят на счетах или могут оформить в кредит. В этом году «Сбер» с крупнейшими операторами внедрил отдельную технологию защиты этой категории сотрудников. В следующем году планируем тиражировать такую технологию на другие категории критичных работников.
— Какие еще тренды вы могли бы выделить?
— Существенные результаты cтали давать изменения в развитии наших технологий защиты. Мы смогли объединить автоматизированные системы нашего банка с подобными системами на стороне «большой четверки» сотовых операторов. Благодаря этому, даже если по каким-то причинам наши клиенты вдруг стали разговаривать с телефонными мошенниками, мы информируем им о мошенническом звонке в режиме реального времени.
Кроме того, нам удалось детально изучить методы, инструменты, инфраструктуру, организацию работы call-центров на территории Украины. Изучив инструменты действий преступников, мы смогли дополнительно настроить свои системы, для того чтобы улучшить инструменты защиты наших клиентов.
Самая сильная и хитроумная
— В 2022 году атакам подвергались не только клиенты банков, но и сами банки. Вы могли бы назвать самые крупные DDoS-атаки на «Сбер»? Как он с ними справился?
— Отличительная черта 2022 года — колоссальный рост DDoS-атак. Многие атаки на российские компании, инфраструктурные объекты были «успешными» и могли блокировать их деятельность хотя бы на небольшой период. Банки же, как правило, выдерживали DDoS-атаки. Есть лишь несколько примеров, когда они не смогли противостоять этому.
«Сбер» успешно выдержал 484 крупнейшие DDoS-атаки, которые были нацелены на то, чтобы блокировать в полном объеме деятельность нашей кредитной организации. Мы в автоматическом режиме отразили все атаки. Наши клиенты ни разу не почувствовали мощного давления, которое оказывали киберпреступники на нашу инфраструктуру в 2022 году.
— Какие атаки оказались для «Сбера» самыми сложными?
— Среди почти пяти сотен атак можно выделить три: самую мощную, самую сложную для нас и самую хитроумную.
В конце августа мы выдержали самую сильную DDoS-атаку в истории нашей страны — мощностью 454 Гбит/с. При этом количество пакетов составляло 55 млн штук в секунду, то есть с 55 млн IP-адресов одновременно шли запросы к нашей инфраструктуре.
Самая сложная атака была менее мощной — 56 Гбит/с и около 10 млн пакетов в секунду. Но атака была очень длительная. Она проводилась синхронно специально созданными инструментами со специально созданной инфраструктуры. Злоумышленники готовили ее более двух недель. Подобных по уровню сложности атак ранее не фиксировали во всем мире. Она началась 7 октября и длилась более 24 часов. «Сбер» ее успешно выдержал.
Самая хитроумная атака состояла в том, что злоумышленники взломали инфраструктуру поставщика рекламы и внедрили код в видеоплеер, используемый для онлайн-кинотеатров. При просмотре фильмов и роликов незаметно для пользователя включалась атака против инфраструктуры «Сбера», количество атакующих на пике превышало 600 тыс. Благодаря этому мы многому научились, выстроили и обновили собственные процессы, для того чтобы еще более успешно противостоять подобного рода изощренным атакам наших противников.