«Тинькофф» предложил создать аналог ФинЦЕРТа ЦБ для борьбы с фишингом
Инициатива может быть полезна, но нуждается в доработке, говорят эксперты, но не все видят в ней необходимость
Тинькофф банк» предлагает создать межотраслевую систему, которая бы позволила обнаруживать фишинговые сайты на этапе их создания. С этой инициативой «Тинькофф» выступил в ходе заседания комитета Ассоциации банков России по информационной безопасности 24 марта. Представитель организации подтвердил «Ведомостям», что банк действительно выдвигает такое предложение. На финрынке уже есть успешный опыт создания специальной структуры, которая занимается борьбой с кибермошенниками: это ФинЦЕРТ ЦБ, напомнил он. Подразделение специализируется прежде всего на противодействии хакерам и злоумышленникам, которые пользуются методами социальной инженерии.
Инициатива «Тинькофф» предполагает кросс-отраслевой обмен информацией, сигнализирующей о потенциальной ненадежности регистрируемого ресурса.
Система будет мониторить финансовые потоки, которыми оплачивается регистрация домена, IT-инфраструктуру, услуги по созданию и распространению программного обеспечения для осуществления переводов, сервисы по созданию и продвижению ресурсов для осуществления деятельности с признаками нелегальной и т. д. Например, если на портале объявляется, что к оплате принимаются карты, значит, есть банк, который обслуживает это предприятие торговли и сервиса и у него есть информация о соответствующем сайте, поясняет представитель «Тинькофф». Если такого соответствия нет, то это можно расценивать как рисковый сигнал для дополнительной проверки, добавляет он.
Сложности реализации
Пока не ясно, что подразумевается под кросс-отраслевым взаимодействием, поэтому оценить перспективность инструмента довольно трудно, отметил директор по методологии и стандартизации компании Positive Technologies Дмитрий Кузнецов. К тому же формирование репутационной оценки доменных имен требует кропотливой работы с регистраторами и использования информации ограниченного распространения, делиться которой обладатели не готовы и не могут, добавляет он. Не ясно и то, по какому принципу ресурсы будут отнесены к потенциально опасным, говорит представитель Россельхозбанка.
Вычленить даже из безналичных финансовых потоков оплату услуг регистрации доменов, хостинга и продвижения сайтов можно только одним образом – заставив всех участников цепочки сдавать ежемесячные отчеты, как это реализовано сейчас в Едином реестре интернет-рекламы, говорит директор Координационного центра доменов .RU/.РФ Андрей Воробьев. Но на рынке создания и продвижения сайтов работает большое число малых предпринимателей и частных лиц, причем не только из России, а они вряд ли захотят сдавать еще один отчет, полагает он. Для оплаты также активно используются криптовалюта, p2p-переводы и наличные, которые невозможно отследить.
Сведения о транзакциях конкретного лица можно получить и правоохранительные органы при расследовании киберпреступлений их активно запрашивают как у финансовых организаций, так и у получателей средств (если они находятся в российской юрисдикции), отметил операционный директор департамента Digital Risk Protection компании Group-IB Владимир Калугин. Но для того, чтобы нарушить банковскую тайну и мониторить финансовые потоки фактически всего российского IT-рынка, как минимум потребуется введение новой нормы уровня федерального закона, согласованной с Минцифры, Минфином и ЦБ, а также с МВД и ФСБ, считает Воробьев. До сих пор такие инициативы вводились только в целях борьбы с экстремизмом, отмечает он.
Для полноценной оценки эффективности новой межотраслевой системы потребуется запуск пилотного проекта с привлечением широкого круга участников и потребителей рынка, считает представитель Россельхозбанка. Особенно необходимо участие компаний, занимающихся выявлением фишинга, добавляет аналитик отдела анализа и оценки цифровых угроз Infosecurity в Softline Company Владислав Иванов. Именно ими должен обновляться реестр мошеннических ресурсов, данные из которого и будут направляться регуляторам, считает эксперт. С другой стороны, в процессе должны участвовать хостинг-провайдеры и регистраторы доменных имен – на основании информации из реестра они могут подсвечивать потенциально опасные сайты, отслеживать действия владельцев фейковых ресурсов по созданию новых страниц, а при необходимости блокировать их.
Уже есть решения
ФинЦЕРТ Банка России в том числе выявляет мошеннические ресурсы и инициирует их блокировку, отмечает представитель регулятора. ЦБ ведет базу данных о случаях и попытках переводов денежных средств без согласия клиента, в ней находятся сведения о совершенных операциях, плательщиках и получателях денежных средств. Информационный обмен на базе ФинЦЕРТа осуществляется между участниками финансового рынка, правоохранительными органами, провайдерами, операторами связи и другими компаниями, работающими в сфере информационной безопасности, – всего более 1000 организаций, в том числе все российские банки.
В июне 2022 г. Минцифры запустило информационную систему «Антифишинг», с помощью которой можно обнаружить ресурсы, маскирующиеся под сайты госорганов, компаний, маркетплейсов и соцсетей.
Почти 16 000 ресурсов
в 2022 г. направлено на блокировку по инициативе ЦБ. В рамках взаимодействия с регистраторами доменных имен Банк России направил информацию о 5217 сайтах с целью последующего снятия их с делегирования. Еще 10 716 ресурсов были заблокированы по обращению ЦБ в Генпрокуратуру. Основная часть из них, 34%, использовалась злоумышленниками для осуществления безлицензионной деятельности в сфере рынка ценных бумаг, а также для рекламы работы несуществующих кредитных, микрофинансовых и страховых организаций. Еще 27% принадлежали финансовым пирамидам и сайтам с информацией о возможности получить компенсационные выплаты от государства, заработать за прохождение опроса, онлайн-кинотеатрам, сайтам по продаже билетов, туров и т. д. 12% составили фишинговые ресурсы, которые маскировались злоумышленниками под сайты действующих организаций финансовой сферы. И менее 1% пришлось на ресурсы, распространяющие вредоносное программное обеспечение. По данным Координационного центра доменов .RU/.РФ, в 2022 г. в рунете было заблокировано более 15 300 фишинговых ресурсов
Предложенный механизм напоминает репутационный сервис доменных имен, говорит Кузнецов. Если доменное имя зарегистрировано несколько дней назад, на него уже поступали жалобы, а само имя явно не предназначено для использования человеком (например, выглядит как случайный набор букв и цифр), то это основание заподозрить владельца в недобросовестном применении. Рейтинги доменных имен используются профессиональными центрами мониторинга и реагирования на инциденты для решения узкого круга задач, например для фильтрации спам-рассылок, поясняет Кузнецов. Как правило, низкий рейтинг – это лишь первый сигнал о том, что необходимо обратить внимание на взаимодействие пользователя с сервисом.
Избыточна ли мера
Банк России оценит инициативу после того, как ознакомится с ней, говорит представитель регулятора.
ФинЦЕРТ работает только с финансовой сферой, а платформе Минцифры «Антифишинг» не хватает популярности, отмечает Иванов. Если новая система будет работать с информацией, поступающей из разных сфер – от ритейла до промышленности, то в конечном итоге она может быть полезна и актуальна, считает он. Инициатива «Тинькофф» направлена на более эффективную оценку ресурсов, подключающихся к эквайрингу банков, предполагает Калугин. Если ведомства смогут более оперативно блокировать фишинговые сайты, это будет полезно для борьбы с интернет-мошенничеством, согласен директор «Антифишинга» Сергей Волдохин. Но блокировки сайтов в любом случае не смогут полностью решить проблему, считает он.
С необходимостью создания межотраслевой системы согласны не все. Это избыточно, не пойдет на пользу и без того зарегулированной интернет-отрасли и будет дублировать работу уже существующих институтов борьбы с фишингом, считает Воробьев. Кроме того, по словам эксперта, сейчас проходит согласование куда более эффективная инициатива о подтверждении личности регистратора домена через ЕСИА («Госуслуги»), которая позволит устанавливать реальных владельцев доменов и пресекать незаконную их активность в целом.