По статистике, клиенты банков чаще всего теряют деньги не в результате хакерских атак, а потому, что сами разглашают свои персональные данные, сообщают коды и пароли. О безопасности финансовых услуг, распространенных мошеннических схемах и рекомендациях по защите от них мы говорим с начальником отдела информационной безопасности Дальневосточного главного управления Банка России Алексеем Каракияном.
— Алексей Анатольевич, правда ли то, что мошенники чаще всего не похищают деньги с помощью каких-то сложных технических способов, а выманивают личные и финансовые данные у самих жертв?
— Да, оказывая психологические давление и манипулируя эмоциями, мошенники не просто лишают людей денег, но вынуждают их брать кредиты. В итоге граждане теряют в том числе заемные средства. Обычно преступники действуют под видом сотрудников различных организаций и ведомств.
В последнее время звонят и от имени должностных лиц Банка России. При этом все чаще для убедительности присылают человеку в мессенджер или на электронную почту фотографии фальшивых документов с логотипом и печатью регулятора. Как правило, это подделки плохого качества, но люди не всегда внимательны к деталям.
Недавно у моего знакомого был случай. Ему позвонили из УМВД и сообщили, что кто-то по поддельной доверенности хотел получить на его имя кредит под предлогом того, что сам человек находится в больнице и не может сделать это самостоятельно. Мнимый сотрудник полиции сообщил, что во время проверки документов преступник сбежал, выхватив доверенность, с которой пришел, в связи с этим, якобы, проводится расследование. Потом был еще один звонок уже, якобы, из Центрального банка. После чего знакомый позвонил мне и спросил, работает ли сотрудник с такой фамилией и табельным номером в Банке России. Он рассказал, что лжебанкир подтвердил сведения мнимого полицейского, а затем стал задавать наводящие вопросы, но о платежной информации не спрашивал.
Это пример того, как работают многоступенчатые мошеннические схемы. Преступники звонят по нескольку раз от имени различных ведомств, пытаются выяснить у граждан номера их банковских карт, ПИН-коды, персональные данные и другую конфиденциальную информацию. Но иногда они могут сразу и не выспрашивать секретные данные, вместо этого ― втираются в доверие, чтобы найти к человеку подход в дальнейшем. Например, под предлогом защиты его денег они могут впоследствии заставить жертву выполнить действия, которые приведут к финансовым потерям: взять кредит, перевести деньги на мифический «безопасный счет» или установить на телефон шпионскую программу, благодаря которой получат всю необходимую платежную информацию.
— А что в такой ситуации нужно делать? Когда звонят, якобы, из банка или УМВД, не каждый способен правильно отреагировать.
Кто бы ни звонил, по определению для вас — это незнакомые люди. И если вам звонят незнакомцы и речь идет о деньгах, безопаснее всего сразу прекратить общение. А уж если звонят из «Центрального банка», немедленно добавьте номер в черный список и сообщите о звонке в полицию. Потому что Банк России не работает с физическими лицами, как с клиентами, не ведет их счета, не звонит им и не рассылает сообщения, а его сотрудники не направляют никому копии своих документов. Понятий «межбанковский безопасный счет» или «безопасный счет в Центробанке» также не существует — это уловка аферистов.
Учитесь защищать себя от мошенников и научите этому своих близких. Установите приложения, которые определяют спам и номера, на которые люди чаще всего жалуются в Интернете, и не отвечайте на такие звонки. При возникновении любых сомнений относительно сохранности денег на вашем банковском счете самостоятельно позвоните в свой банк по номеру, указанному на его официальном сайте или на оборотной стороне банковской карты. Не перезванивайте на сомнительные номера, поскольку может случиться что угодно — от попытки обмана до автоматического списания денег со счета.
— А какие мошеннические схемы применяются чаще всего?
— Очень часто в основе обмана лежат громкие новостные поводы. Так было и во время пандемии: помните, тогда люди получали сообщения о том, что якобы нарушили условия карантина и должны оплатить штраф? Мошенники звонили людям под видом сотрудников поликлиник и сообщали об обнаружении у них вируса, а затем продавали напуганным «пациентам» пищевые добавки, выдавая их за дорогие лекарства, собирали деньги на разработку вакцины от лица Всемирной организации здравоохранения, предлагали «компенсации» за отмененные авиарейсы в обмен на секретные данные банковской карты. Сейчас их тактика не изменилась — вся тревожная информация, актуальная в текущей ситуации, ложится в основу мошеннических легенд и сценариев.
Например, преступники придумали, как использовать ажиотаж вокруг ухода из России популярных брендов. Они представляются в соцсетях сотрудниками закрывающихся компаний и предлагают людям оформить заказы со скидками. А на самом деле крадут деньги и данные карт. Поводом для массовой мошеннической атаки стала финальная распродажа крупной компании по продаже мебели и товаров для дома. Сайт компании не справлялся с потоком заказов, и «на помощь» покупателям тут же пришли махинаторы.
Аферисты писали пользователям в соцсетях и мессенджерах и предлагали оформить заказ без очереди и со скидкой. Якобы, работникам компании дают особые бонусы за объемы продаж, поэтому они заинтересованы в привлечении покупателей и используют для этого свои корпоративные скидки.
Мошенники просили клиентов компании прислать страницу ее официального сайта с описанием нужного товара либо просто его название или фото. Затем присылали ссылку на корзину с уже сниженной ценой и предлагали закончить оформление заказа. На самом деле ссылка вела на фишинговый сайт, адрес которого отличался от настоящего парой символов. На первый взгляд, его страница очень похожа на оригинальную, но когда человек переходит на нее и вводит реквизиты своей карты, то деньги и данные попадают к преступникам. И затем они полностью обнуляют счет.
Впереди, кстати, различные предпраздничные распродажи. В такие дни мошенники всегда активизируются и создают новые фишинговые сайты, маскирующиеся под магазины популярных брендов, торговые сети и маркетплейсы. Мошеннические ресурсы завлекают покупателей огромными скидками. Чаще всего обманщики выдают себя за продавцов электроники, бытовой техники, а также одежды и обуви ушедших из России брендов. Свои «сверхвыгодные» предложения аферисты рассылают по электронной почте и в мессенджерах, рекламируют в соцсетях и мобильных приложениях.
Если человек попадает в такие мошеннические схемы и теряет деньги, вернуть их практически невозможно ведь владелец карты сам передал секретные сведения злоумышленникам, а банк в таких случаях ничего не компенсирует.
Могу привести еще один пример. Человек регулярно пользуется маркетплейсом, собирается сделать очередную покупку, оформляет ее, но ему приходит уведомление о том, что заказ отменен. Сразу после этого с ним напрямую связывается продавец и обещает отправить товар с другого склада, а в мессенджере присылает ссылку для оплаты. Есть целые группы пострадавших от такой схемы мошенничества. Люди провели оплату товара на сторонних ресурсах и никаких товаров не дождались.
Эта схема строится на хорошей репутации маркетплейса. Человек доверяет сайту сервиса, а значит, и продавцу, так как считает, что площадка уже его проверила. На самом деле, вычислить недобросовестного поставщика, который пытается организовать покупку за ее пределами, удается не сразу. Фейковые магазины-однодневки нередко успевают выманить деньги у нескольких клиентов, пока торговая площадка не распознает обман и не заблокирует мошенника. А маркетплейс в такой ситуации никаких гарантий не дает и за сохранность данных карты не отвечает.
А как обезопасить себя?
— При покупке товаров онлайн нужно помнить о правилах кибербезопасности ― особенно в дни распродаж, когда желание сэкономить может усыпить бдительность. Нельзя переходить по ссылкам из писем и сообщений от неизвестных отправителей. Даже если предложение пришло от знакомого магазина, лучше самостоятельно зайти на его официальный сайт. Внимательно проверяйте название сайта в адресной строке.
Как Банк России защищает потребителя финансовых услуг от всякого рода финансовых мошенничеств?
В прошлом году вступил в силу закон, который позволяет во внесудебном порядке по инициативе Банка России блокировать интернет-ресурсы, используемые злоумышленниками для кражи денег у граждан. Если до этого на процедуру блокировки уходило несколько недель, то сейчас достаточно двух-трех дней.
Оперативное ограничение доступа к сайтам нелегальных организаций способствует снижению рисков для потребителей финансовых услуг, сокращению количества граждан, пострадавших от действий злоумышленников. В первом полугодии регулятор обнаружил и инициировал блокировку около 2600 интернет-ресурсов, в том числе поддельных страниц финансовых организаций и сайтов финансовых пирамид. Это на 6% больше, чем в тот же период 2021 года.
Кроме того, в первом полугодии Банк России рекомендовал операторам связи заблокировать около 207 тысяч мобильных и городских телефонных номеров, которые использовали финансовые мошенники. Год назад этот показатель был почти в 12 раз меньше тогда удалось выявить примерно 18 тысяч номеров.
Всего в первом полугодии 2022 года зафиксировано около полумиллиона не санкционированных операций. Чаще всего люди теряли деньги при оплате товаров и услуг на фишинговых страницах. Нередко кражи происходили через мобильные и онлайн-банки, банкоматы и терминалы. Практически каждая вторая кража проходила с помощью методов социальной инженерии. Люди сами выдавали аферистам секретные банковские данные и открывали доступ к своим счетам.
Чтобы обезопасить клиентов финансовых организаций, с 1 октября Банк России ввел новые правила дистанционного обслуживания ― теперь люди могут самостоятельно ограничить свои онлайн-операции, установить полный запрет на переводы и выдачу онлайн-кредитов либо определить лимит на сумму операции или время ее проведения.
— Но ведь и раньше это можно было сделать в своем онлайн-банке?
-Действительно, некоторые банки уже давали клиентам возможность вводить подобные ограничения для защиты денег от хищений. Но с 1 октября это стало обязательным для всех кредитных организаций. Банки обязаны бесплатно предоставлять такую опцию клиентам, чтобы снизить риски несанкционированного списания денег с их банковских счетов. Также в обязанность банков теперь войдет идентификация устройств, которые их клиенты используют для входа в интернет- и мобильные банки и для онлайн-операций.
Если был установлен полный запрет на дистанционные операции, мошенникам станет значительно сложнее оформить онлайн-кредит или похитить деньги. При этом можно в любое время отменить запрет или изменить параметры онлайн-операций, например, если вам понадобится взять онлайн-заем.
— А если у гражданина счета в нескольких банках?
— Ему нужно будет подать заявления об ограничении онлайн-операций в каждом из них. Но помимо этого каждый человек должен знать и соблюдать правила безопасного финансового поведения: не сообщать личные и финансовые данные, что, кстати, прописано в договорах об открытии банковского счета и дистанционном банковском обслуживании, быть бдительным и перепроверять информацию.
Кем бы ни представился звонящий — сотрудником банка, прокураторы, полиции — нельзя никогда и никому сообщать личные данные и данные вашей карты, в том числе трехзначный код с оборотной стороны или СМС-коды от банка. Лучшим решением в случае, когда вам кто-то звонит и говорит о деньгах, будет прекратить разговор и самостоятельно позвонить в ваш банк по номеру, указанному на оборотной стороне карты или на официальном сайте кредитной организации. Следуйте этим простым правилам, и ваши деньги будут в безопасности.
— С личной финансовой ответственностью и ограничением онлайн-операций понятно, но, возможно, есть еще какие-то механизмы, которые обезопасят потребителя?
— Помимо нововведения об ограничении онлайн-операций, о котором мы уже поговорили, Банк России инициировал еще несколько мер. Прежде всего, они касаются изменения закона о Национальной платежной системе. В настоящее время правоохранительные органы тратят достаточно много времени на получение в банках информации о счетах, через которые выводили похищаемые средства. Мы считаем особенно важным поддержать меры, направленные на повышение скорости и эффективности расследования уголовных дел.
Для решения этой задачи были разработаны предложения по организации «единого окна» по оперативному, фактически в онлайн-режиме, взаимодействию с МВД России. Предусматривается включение ведомства в перечень участников информационного обмена с Банком России. В этом случае МВД будет получать информацию о случаях и попытках осуществления переводов денежных средств без согласия клиентов из базы данных Банка России на порядок быстрее.
Закон об информационном взаимодействии Банка России и МВД, который дает возможность автоматизированного обмена данными между ведомствами, был подписан в конце октября. Он вступит в силу 21 октября 2023 года, а пока регулятор и министерство должны будут интегрировать информационные системы и урегулировать другие вопросы.
Еще одна возможная новация касается ответственности банков. Сейчас все кредитные организации имеют доступ к базе данных регулятора и получают от нас информацию о случаях и попытках перевода денежных средств без согласия клиента. Если банк — отправитель платежа не учел эту информацию в своих бизнес-процессах и из-за этого пострадали клиенты, то он будет должен вернуть все похищенные средства.
Кроме того, банки будут обязаны приостанавливать на два дня переводы на счета, которые мошенники уже использовали для снятия и вывода денег клиентов. Вычислить такие счета не
сложно, если информация о них уже есть в базе регулятора. Двухдневный «период охлаждения» повысит вероятность возврата денег законному владельцу. За это время человек может понять, что совершил ошибку и стал жертвой мошенников.
Сейчас банк, получив соответствующий запрос от клиента, обязан осуществить перевод денежных средств в течение трех дней. Но в наше высокотехнологичное время это обычно происходит намного быстрее, из-за чего вернуть деньги становится невозможно, если клиент сам нарушил правила безопасного использования карты или онлайн-банкинга.
Сейчас в законе не прописан механизм, который позволял бы отозвать перевод из-за того, что клиент находился под влиянием методов социальной инженерии и не осознавал, что переводит деньги преступникам, либо сам предоставил им доступ к своим счетам.
Именно поэтому важно соблюдать правила кибергигиены, не оставлять свои данные на подозрительных сайтах и не распространять их в социальных сетях. Чтобы у мошенников было еще меньше шансов, можно воспользоваться новым механизмом и установить себе запрет, например, на онлайн-кредитование или дистанционные переводы крупных сумм.