Кто и как нас обманывает? Центробанк о видах финансового мошенничества

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Кто и как нас обманывает? Центробанк о видах финансового мошенничества». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Для начала отметим, что технологические способы защиты информации о наших счетах постоянно совершенствуются и злоумышленникам становится все сложнее их преодолевать. По данным того же ЦБ, использование ошибок при разработке программного обеспечения для получения доступа к деньгам клиентов снизилась во втором квартале 2021 года по сравнению с аналогичным периодом 2020-го) на 70%. Значительно снизился и уровень фрода (англ. fraud — мошенничество) при установке финансовых приложений. По данным отчета AppsFlyer, в период со второго квартала 2020 года по первый квартал 2021-го уровень этого вида мошенничества снизился в России на 62%. Приложения, ворующие данные, сдают позиции везде: во Франции уровень фрода при установке приложения упал на 52%, в Африке — на 50%, в Германии и Великобритании — на 50 и 30% соответственно, на Ближнем Востоке на 20%.

— Человек сам ставит подпись под договором. Он не спит, не пьян, не под наркозом. Как можно доказать, что было злоупотребление со стороны менеджера, который просто заговорил человека?

— С прошлого года действует наше новое правило: то, что говорит менеджер, не может отличаться от того, что написано в договоре. Потому что в договорах, как правило, все написано честно, но букв много, и они мелкие, а менеджер рассказывает понятно и увлекательно, но про другое. Когда в отношении какого-то банка, другой финансовой организации у нас накапливается серия жалоб на некорректные продажи, туда под видом обычного клиента приходит наш сотрудник — тайный покупатель и совершает «контрольную закупку», например, открывает вклад. Здесь ведется скрытая запись, поэтому если «потребителю» пытаются впарить что-то другое вместо вклада, это легко можно доказать и наказать банк за такое нарушение — выдать предписание или назначить штраф. Но надо иметь в виду: если под договором стоит ваша подпись, это означает, что оспорить его можно только в суде. В особо вопиющих случаях с пенсионерами, инвалидами мы можем предложить банку решить ситуацию мирно, и обычно банкиры к нашим рекомендациям прислушиваются.

— Много у вас таких тайных агентов? Или это актеры театров подрабатывают?

Меры, предпринимаемые Центробанком

ЦБ РФ проводит активную политику, направленную на противодействие мошенническим действиям финансового характера. Суть существующих и планируемых к реализации методов борьбы сводится к следующему:

• Усиление ответственности за осуществление деятельности без лицензии;
• Проведение контрольных закупок с целью искоренения мисселинга (навязывания продукта);
• Блокировка сайтов, которые рекламируют мошенников;
• Сотрудничество с «Яндекс», маркирующего финансовые организации при поиске в выдаче;
• Создание единой системы, позволяющей получать сведения об абоненте мобильных операторов;
• Применение системы поощрений в отношении лиц предоставивших в компетентные органы информацию о финансовых нарушениях или преступлениях.

Слежка за сотрудником

К сожалению, даже самые совершенные технологические решения не могут обеспечить стопроцентной защиты данных, во многом из-за человеческого фактора. «Полностью исключить возможность утечки персональных данных из банков — практически неразрешимая задача, — поясняет директор компании “Антифишинг” Сергей Волдохин. — Причина в том, что организация и сопровождение процесса хранения данных требует администратора — человека, который будет управлять работой системы и поддерживать ее в рабочем состоянии. А если есть человек, значит, можно найти способ воспользоваться его слабостями: запугать, предложить денег или помощь в решении каких-то проблем в обмен на данные из хранилища».

Финансовые организации, реально обеспокоенные вопросом защиты клиентских данных в своих системах, в последнее время занимаются оптимизацией доступа своих сотрудников к данным клиентов. Цель — сделать так, чтобы сотрудники получали доступ только к той информации о клиенте, которая нужна прямо сейчас. Например, чтобы они не видели телефонный номер клиента (звонок идет через систему банка), чтобы у сотрудников не было возможности получить доступ к полной клиентской базе.

«Используются различные системы анализа активности сотрудников — ролевой доступ (ограничение/предоставление доступа к данным в зависимости от того, какую роль в данный момент выполняет пользователь системы. — “Эксперт”), анализ использования данных и анализ утечек, — рассказывает банкир, основатель финтех платформы TalkBank Михаил Попов. — Они позволяют по первым выверенным утечкам определять возможные источники и проводить внутреннее расследование относительно конкретных сотрудников. Используется также технология разделения данных между сотрудниками, с тем чтобы у одного сотрудника одновременно не формировалась вся картина по клиенту. Используется ограничение по количеству данных, которые могут быть запрошены единоразово. Контролируется то, как сотрудник может сохранять эти данные. Используются различные системы слежения, чтобы никто не фотографировал, не сканировал или не копировал клиентские данные, и так далее».

Пандемия внесла в этот процесс еще один фактор неопределенности — необходимость перевода части сотрудников на удаленку. Банкам, впрочем как и другим компаниям, пришлось обеспечивать безопасность при удаленном доступе к внутренним системам банков и данным клиентов. В этом случае внимание к вопросам безопасности должно быть еще выше, чем при работе из офиса. В дома и квартиры камеры скрытого наблюдения не поставишь.

Страховать или штрафовать?

Следующий метод борьбы банков с мошенничествами, скорее, борется с их последствиями. Речь идет о страховании вкладов/счетов от мошенничества и хищения. Это выглядит как поиск простого решения, замена реальных вложений в кибербезопасность плюс способ заработать на страховках. Тем более что доказать факт хищения часто не удается.

«Анализ рисков и иная аналитика, проводимая банковскими организациями, показывает, что гораздо выгоднее покрывать за счет страхования случаи мошенничества, — констатирует руководитель группы ИБ Лиги цифровой экономики Владимир Асташов. — Более того, у застрахованных лиц не всегда получается доказать, что случай действительно является страховым и по нему положена компенсация. Зачастую пользователи сами передают мошенникам чувствительную информацию, соответственно, у банка нет оснований считать транзакцию нелегитимной, а случай — страховым».

«Если смотреть на ситуацию со стороны потребителя банковских продуктов, то важнее, чтобы банки умели различать, кто совершил действия: реальный пользователь или злоумышленник, — отмечает руководитель направления по развитию ИБ-решений облачного бизнеса МТС Александр Карпузиков. — При этом важно, чтобы возврат средств на пользовательский счет осуществлялся как можно скорее, не вынуждая пользователей доказывать свою невиновность». Эксперт уверен, что представители банковской сферы вполне способны еще повысить надежность сервисов, развивая свою внутреннюю ИБ-экспертизу, привлекая внешних специалистов и пользуясь технологичными решениями по защите.

Можно, конечно, стимулировать банки вкладывать в информационную безопасность через увеличение штрафов, которые теоретически существуют и сейчас (ведь банки обязаны хранить наши деньги). Но вопрос, скорее, не в размере штрафов, а в том, как происходит процесс расследования инцидентов, насколько сложно клиентам получить компенсацию от банков и как именно применяются уже действующие законы.

«Это вопрос правоприменительной практики, потому что утечки, которые связаны с действием или бездействием банков, уже в текущей законодательной базе подлежат ответственности, — разъясняет Михаил Попов. — На банке лежит ответственность за сохранность средств и данных клиента. Но значительная доля атак происходит без использования непосредственно банковских данных. Мошенники во многом ориентируются на социальный инжиниринг, когда клиенты популярных банков получают звонки от мошеннических организаций. Это происходит не потому, что конкретные мошенники знают, что они обслуживаются в этой финансовой организации, а потому, что таких клиентов много. В целом здесь вопрос не в большей ответственности, а в применении ответственности к банкам с тем, чтобы шло удовлетворение исков со стороны обворованных банковских клиентов. Важно, чтобы суммы соответствовали реальному ущербу, а не были просто штрафами, связанными с административной ответственностью. Но, скорее, нужно выстраивать процесс правоприменения, нежели создавать новые законы».

На самом деле сложность борьбы с мошенничеством в финансовой сфере связана не только с самими мошенниками. В этом вопросе тесно переплелись интересы самих банков и их клиентов. В подавляющем большинстве случаев надежность защиты сопровождается неудобствами в использовании финансовых приложений. Мы не готовы жертвовать своим удобством ради безопасности. Многие клиенты предпочтут уйти из безопасного банка, если им для совершения платежа или перевода придется каждый раз проходить сложную и длительную процедуру авторизации и подтверждения платежа.

«Все те средства защиты, которые незаметны для пользователя и при этом обеспечивают сохранность его данных и средств, уже внедрены всеми банками и используются. Практика показывает, что этого недостаточно. Но внедрение дополнительных проверок снижает удобство, замедляет обслуживание и в итоге делает сервисы банка менее привлекательными, чем у конкурентов. Поэтому для финансовых организаций представляется разумным компромиссный подход, когда те риски, которые не удается исключить, какими-либо средствами страхуются», — заключает технический директор Trend Micro в России и СНГ Михаил Кондрашин.

Какие услуги можно ограничить

• Запретить онлайн-кредиты. Злоумышленники не смогут дистанционно оформить кредит на имя пользователя. Если гражданин сам надумает взять такой заем, то сможет отменить запрет в любое время, получить кредит и вновь возобновить ограничение для защиты своих денег от действий третьих лиц.
• Ограничить максимальную сумму одной операции — например, не более 10 тыс. руб. Это можно сделать на определенный период или на постоянный срок.
• Установить лимит трат на сутки, неделю, месяц или любой другой период времени. Таким образом можно минимизировать возможные потери на случай, если картой или ее данными завладеют аферисты. Мошенник не сможет присвоить больше той суммы, на которую установлен лимит.
• Отключить онлайн-переводы или ограничивать их размер.
• Отказаться от всех банковских онлайн-услуг — вариант для тех, кто хочет покончить со всеми своими сомнениями.

Одна из самых распространенных сфер деятельности мошенников связана с банковскими картами. Это объясняется, прежде всего, их широким распространением.

Следует отметить, что для ряда потребителей банковская карта оказалась навязанным финансовым инструментом. Сначала многие учреждения и организации стали перечислять заработную плату сотрудникам на банковские карты, выданные в рамках корпоративных проектов, потом к безналичному обслуживанию подключился Пенсионный фонд РФ, и на карточные счета стали зачислять пенсии. При этом не все организации прикладывают усилия к тому, чтобы ознакомить потребителей с элементарными правилами безопасности при использовании банковских карт. Справедливости ради надо заметить, что вместе с пластиковой картой в банке выдают клиенту инструкции и памятки, которые предупреждают о риске незаконного списания средств с карты в результате мошеннических действий и содержат рекомендации о том, какие меры предосторожности необходимо предпринимать, чтобы максимально снизить этот риск. Но многие держатели карт не соблюдают даже простейшее правило – не хранить пин-код вместе с картой.

Пример: Надежда Григорьевна Н. отмечала Новый год на даче. Неожиданно ей стали приходить СМС-сообщения об операциях по карте. Она тут же позвонила в банк и заблокировала карту, однако мошенники успели снять около 300 тыс. рублей. Впоследствии выяснилось, что квартира Надежды Григорьевны была ограблена. В одном из шкафов грабители обнаружили банковскую карту, завернутую в бумажку, на которой был написан пин-код. Естественно, грабители воспользовались «подарком» и тут же похитили все деньги со счета.

Главная задача злоумышленников – получить доступ к информации о реквизитах банковской карты клиента. Для этого они чаще всего пользуются доверчивостью и невнимательностью владельцев карт. Например, если в кафе или ресторане вы отдаете свою банковскую карту официанту для оплаты на кассе, он может списать все персональные данные и затем использовать их для несанкционированных операций.

«Еще вариант – мошенники приобретают базу данных держателей карт какого-либо банка, организует рассылку электронных писем, в которых от имени банка сообщается: вашей картой воспользовались мошенники, вам необходимо срочно перезвонить по номеру такому-то, пройти сверку данных и ввести с клавиатуры телефона PIN-код карты для ее блокировки. Далее – дело хакерской техники. Тот же вариант может быть провернут и с помощью автообзвона по телефону».¹

Очень распространены мошеннические действия, связанные с получением информации о реквизитах банковской карты по мобильному телефону. Например, держателю карты приходит фальшивое sms-сообщение от банка о блокировке карты или о попытке доступа третьих лиц к карточному счету с предложением перезвонить по номеру, указанному в sms-сообщении. Если человек перезванивает, то собеседник представляется сотрудником банка и предлагает под его руководством набрать на телефоне определенную комбинацию цифр, чтобы разрешить проблему. В действительности происходит перевод средств на счет мошенника, и вернуть деньги будет невозможно, так как держатель карты самостоятельно и добровольно осуществил операцию.

По той же схеме мошенники выманивают у держателей карты персональные данные, с помощью которых могут совершать несанкционированные операции по ее счету.

Фишинговые схемы получили свое название от английского «fishing» (рыбалка), так как их цель состоит в том чтобы «выудить» персональные данные карты (номер, CVC-код, срок действия, пин-код). Для этого используются фальшивые сайты, где под тем или иным предлогом держателю карты предлагается ввести персональные данные. Например, это могут быть фальшивые сайты банков или популярных интернет-магазинов. Нередко используется рассылка сообщений якобы от известных компаний или банков о заманчивых рекламных акциях, для участия в которых надо перейти по ссылке на сайт мошенников. Если держатель карты введет ее персональные данные на фишинговом сайте, то все эти данные попадут к мошенникам, которые смогут ими воспользоваться для несанкционированных операций.

Пример: Полина Г. зашла на сайт своего банка, чтобы совершить платеж по кредитной карте. По какой-то причине программа выдавала ошибку. Через несколько минут на мобильный телефон раздался звонок. Звонивший представился сотрудником банка, сообщил, что на сервере ведутся работы, и попросил ввести в окошко сайта данные карты, чтобы вручную открыть доступ к личному кабинету. Полина выполнила все указания, но вход на сайт не состоялся. «Сотрудник банка» посоветовал войти на сайт через несколько часов. Через несколько часов зайдя в личный кабинет, Полина увидела, что с ее кредитного счета сделано несколько переводов в пользу частного лица в том же банке. Банк заблокировал карту, но потребовал возвратить деньги, «взятые» Полиной с кредитной карты.

Часто мошенники используют специальные технические средства для получения сведений с кредитной карты. Самые известные из них – скимминговые устройства для банкоматов, считывающие данные магнитной полосы карты. Также мошенники используют фальшивые терминалы для считывания пин-кода в кафе и торговых точках, устанавливают микрокамеры, записывающие данные карты и комбинацию цифр пин-кода. Получив информацию, мошенники изготавливают дубликат карты, посредством которой происходит списание средств с вашего счета.

К сожалению, сохранность денег на карточном счете не всегда зависит от действий держателей карты. Случается, что деньги с карточных счетов крадут с помощью бесчестных сотрудников банков или похищают персональные данные с серверов банков и организаций, принимающих платежи через интернет.

Продажа недействительного полиса

Страховой полис – это финансовый документ, оформленный на бланках строгой отчетности. Во всех страховых компаниях следят за их сохранностью. Все полисы имеют уникальные номера и передаются страховым агентам по актам, в которых содержатся номера переданных полисов. Непроданные или поврежденные (испорченные) полисы возвращаются в страховую компанию также по актам. Однако случаи утраты или кражи полисов происходят практически во всех компаниях. При этом агент может стразу не поставить страховую компанию в известность о краже (например, потому что сам ее не сразу обнаружил). С целью выявления пропажи страховые компании обычно один раз в месяц проводят сверку по номерам полисов. При выявлении недостачи страховых полисов по факту утраты начинается проверка, а утраченные номера незамедлительно передаются в Российский союз автостраховщиков (РСА) и публикуются для сведения страхователей на официальном сайте РСА.

Психологическое давление

Чтобы получить деньги жертвы, мошенники стараются втереться ей в доверие. Представляются экспертами в сфере, приводят статистические данные, оперируют общеизвестными фактами, ссылаются на громкие имена. Используют термины. Если общаются по телефону, то говорят хорошо поставленным голосом.

Когда человек поверил мошеннику, он начинает давить . Например, постоянно повторять, что предложение ограничено, и кто-то станет успешным уже завтра, а жертва – нет. Или узнают о мечте человека и рассказывают, как легко ее будет достичь, если он вложит деньги в проект.

Часто с жертвой могут работать опытные психологи, к моменту звонка знающие о ней некоторые детали биографии из купленной базы данных.

Честный брокер никогда не будет вести себя так – он всегда общается уважительно и относится к инвестору, как к партнеру.

Как работает этот вид мошенничества

Цель мошенников – завладеть вашими деньгами. Для этого достаточно получить от вас полные данные карты (номер, дата окончания срока действия и CVV/CVC-код), создать с неё перевод и подтвердить его кодом из SMS, которое придет на ваш телефон.

Самый популярный способ сделать это – позвонить и представиться сотрудником банка. Повод может быть любой:

▪ агрессивный: ваша карта заблокирована;

▪ нейтральный: нам нужно уточнить ваши данные, подтвердите перевод с карты и т.д.;

▪ соблазняющим: вам пришел перевод на несколько тысяч, чтобы получить его, сообщите данные карты.

Количество вариантов зависит от фантазии организаторов схемы. Им выгодно менять формат, чтобы жертвы не привыкали.

Откуда мошенники берут номера телефонов для обзвона

Раньше данные банковских карт выманивали в основном одиночки. Нередко они при этом находились за решеткой. Номера мобильных меняли, как перчатки. Карты были зарегистрированы на подставных лиц.

Сами понимаете, таким людям терять особо нечего. И времени свободного много.

Сейчас в игру вступили целые колл-центры. Данные массово парсят – телефоны берут на сайтах бесплатных объявлений, в соцсетях и т.п.

Работают и по купленным базам. Чаще всего их сливают сами сотрудники банков. Там есть ФИО, номер телефона и часть номера карты. Как минимум.

Наконец, мошенники используют дыры в ПО. Через них похищают либо данные клиентов, либо воруют деньги.

Есть информация, что один известный банк только недавно закрыл дыру, которая позволяла сделать перевод без согласия клиента. Не требовалось даже CVV – только номер карты, телефона и одноразовый код из SMS.

Сколько таких уязвимостей приносит (или будет приносить!) кому-то стабильный доход, никто не знает. И не узнает.

Какие купюры подделывают чаще?

В большинстве стран фальшивомонетчики стараются печатать наиболее крупные купюры. В России 75-78% подделок приходится на банкноту в 5000 рублей и около 18% – на 1000 рублей. За год из оборота изымается в пределах 100000 фальшивых купюр, причем свой путь они начинают преимущественно в Центральном федеральном округе.

Банкноты в 100 и 500 рублей подделывать просто невыгодно, ведь стоимость одной хорошо сделанной купюры составляет 300-400 рублей. Тем более при распространении фальшивок всегда есть риск попасть в тюрьму. Степень защиты денег слабо влияет на количество подделок. Связано это с тем, что фальшивки делают преимущественно не самого высокого качества, пользуясь отсутствием у мелких предпринимателей детекторов валют.

Акт второй: заявление в милицию через банк

Как только я положила трубку, раздался звонок с городского телефона от сотрудника одного из этих банков (пусть он будет «банком Б»). Представившийся Алексеем Алексеевичем подтвердил утечку и поклялся, что виновное отделение постигнут небесные кары. А пока «надо собраться и действовать решительно, главное — передать информацию в МВД, чтобы возбудить дело о хищении персональных данных». Я согласилась подать заявление и обещала дождаться звонка от следователя.

Правда, Алексей Алексеевич почему-то попросил не сообщать о факте хищения самостоятельно, потому что так «может пострадать дело», — и только в этот момент появилась мысль, что что-то не так. При этом ни номеров карт, ни паролей все еще не спрашивали. Пока мы разговаривали с Алексеем Алексеевичем, мне пришло SMS о пропущенном вызове с проверенного номера телефона — справочной по обращениям в Генеральную прокуратуру.

Вскоре мне — уже с другого номера — позвонил «оперуполномоченный» Юрий Викторович. Он пожаловался, что не смог дозвониться с городского, и предложил приехать и дать показания в центральном управлении, чтобы начать дело.

На компьютере или телефоне устанавливается программа, цель которой – узнать данные вашей карты. Она может проникнуть в систему незаметно или замаскироваться под другую программу.

Вирусы могут поражать не только компьютеры или телефоны, но и банкоматы. У любого устройства может быть дыра в безопасности, через которую проникает вредоносная программа. Вирус также собирает информацию о картах либо позволяет злоумышленнику снять с устройства любую сумму денег.

Разные вирусы узнают сведения о карточках разными способами. Например, они могут отслеживать ваш интернет-трафик, просматривать ваши действия в сети и истории посещений. Такие вирусы также могут распознавать нажатия на вашей клавиатуре.

В других случаях программа подменяет запросы, которые выдают поисковики, на фишинговые. Человек переходит на сайт, который напоминает банк или интернет-магазин, и, по невнимательности, оставляет там свои данные.

Также вирус может менять реквизиты при проведении операций с картой. Например, жертва захочет оплатить в интернет-банке коммунальные услуги. Тогда вирус заменит номера счета, на который нужно перевести деньги, на номер мошенника, и иногда даже поменяет сумму оплаты. Пользователь при этом ничего не заметит.

Как избежать?

Установите на компьютер и телефон надежный антивирус и регулярно обновляйте его. Не загружайте ничего с подозрительных сайтов. Старайтесь использовать только лицензионные программы.

Похожие записи:

• ДДУ в новостройке — что это такое
• Лучшие НПФ по доходности на 2023 год
• Все доплаты к пенсии в Москве (2023)