ЦБ обнаружил инциденты информационной безопасности в Системе быстрых платежей
К компьютерным атакам на клиентов банков регулятор причисляет сбор информации о них, говорится в письме ЦБ, адресованном финансовым учреждениям.
Зная идентификатор клиента в Системе быстрых платежей (СБП), а именно — номер его мобильного телефона, можно получить дополнительную информацию о человеке. Например, имя, отчество и первую букву фамилии, а также названия банков, где у него открыты счета, говорится в письме, содержание которого раскрыли «Ведомости».
Подобные запросы мошенников могут быть массовыми. ЦБ называет их «переборами идентификаторов клиентов» и относит к инцидентам информационной безопасности.
Мошенники используют полученные сведения для звонков жертвам якобы из банков или из государственных органов для того, чтобы выведать код из sms-сообщения, необходимый для списания денег с карты.
ЦБ предлагает бороться с переборами. В частности, Национальная система платежных карт (операционно-клиринговый центр СБП) проводит мониторинг операций и блокирует номера телефонов, с которых осуществляется массовый перебор. Срок блокировки составляет не более суток. Также ЦБ планирует информировать банки об идентификаторах, с которых осуществляется массовый перебор.
Информационное письмо ЦБ разъясняет порядок действий в случаях мошенничества и обращает внимание банков на необходимость мониторинга переборов и обеспечения защиты.
СБП, которая заработала в феврале 2019 года, позволяет людям переводить деньги друг другу по номеру мобильного телефона вне зависимости от того, в каком из ее банков-участников открыты счета отправителя и получателя.