Вернуть украденное будет ещё сложнее — придётся доказать, что ты не лох
Банк России предложил возвращать клиентам банков всю сумму, которую у них похитили мошенники, пользуясь методами социальной инженерии. При одном только «но»: деньги пострадавшему клиенту вернут полностью, если его банк не учёл рекомендации регулятора и не выполнил требования по обеспечению безопасности. Поэтому не стоит расслабляться — если окажется, что банк выполнил все требования ЦБ РФ, а вы «клюнули на удочку» мошенников, украденную сумму вам банк не возместит. Предложения об изменении порядка возвращения похищенных средств ЦБ РФ начал готовить в прошлом году.
«Первое, что мы предложили сделать, это изменить механизм возврата похищенных средств. Для случаев, когда банк плательщика не учёл нашу информацию в своих бизнес-процессах, а человек передал свои финансовые личные данные под влиянием злоумышленников, нами был предложен вариант возврата клиенту всей похищенной суммы», — заявил директор департамента информационной безопасности Банка России Вадим Уваров, выступая на «Инфофоруме».
По словам представителя ЦБ, ежегодно от мошенников страдают сотни тысяч россиян. В подавляющем большинстве случаев преступники связываются со своими жертвами по телефону и используют методы социальной инженерии. Службы безопасности регулятора и банков вводят всё новые и новые условия, внедряют новые механизмы, препятствующие разного рода мошенничеству в этой сфере.
Например, Банк России решил усовершенствовать механизм взаимодействия банков с бюро кредитных историй (БКИ), поскольку в России распространена схема, когда мошенники убеждают своих жертв оформить на себя несколько кредитов, а потом перевести все эти средства им. Так, в прошлом году профессор МГТУ «Станкин» чуть более чем за неделю набрала кредитов на 7,3 миллиона рублей и перечислила все деньги аферистам.
Этого бы не случилось, если бы информация о полученном кредите формировалась и отправлялась в бюро кредитных историй в момент, когда идёт зачисление денег на счёт получателя кредита. Тогда, придя в следующий банк, такой клиент уже не сможет получить дополнительный кредит, потому что его долговая нагрузка будет явно превышена. А сейчас срок обмена данными банков с БКИ доходит до недели.
Также рассматривается предложение в целях дополнительной защиты от мошенников выдавать кредиты пожилым людям после одобрения родственников.
Но сейчас в этой сфере стало явно больше оптимизма. Считается, что граждане в настоящее время вроде как всё меньше и меньше сталкиваются со звонками якобы из службы безопасности банка, когда лжесотрудник уверяет, что средствам на счёте грозит опасность и нужно их срочно спасать. Люди реже верят в эту легенду, и она не приносит большой экономический эффект для мошенников. Однако в департаменте информационной безопасности ЦБ РФ предупреждают, что рост числа случаев мошенничества произойдет — уже в следующем году.
«Злоумышленники смещаются в сторону инструментов, которые не знакомы обычному потребителю, но вызывают у него эйфорию, что он может на этом что-то получить… В качестве примера, схема, которая сейчас активно прёт в гору, эта схема со всякими инвестиционными инструментами от очень крупных компаний. Вот сейчас немного денег проинвестируете и через некоторое время получите большие деньги», — пояснил первый заместитель директора департамента информационной безопасности Центрального банка РФ Артем Сычев.
Может быть телефоны «поостынут». Хотя, пока я работал над этой статьей, мне дважды позвонил «робот-помощник» якобы одного крупного банка и голосом, очень похоже воспроизводящим тембр и интонации знаменитого диктора Юрия Левитана, сообщил, что с моего номера была оставлена заявка на кредит. Дальше я уже не стал слушать, отбил звонок, поскольку никакой заявки от меня не было.
Здесь, кстати, тоже предлагаются новшества, снижающие возможности махинаций. Банк России выявил ряд случаев, когда некоторые кредиторы считают договор заключённым без получения подписи заёмщика. Например, банк без предварительного уведомления направляет человеку кредитную карту по почте, а «подписью» по такому договору признаёт телефонный звонок гражданина об активации карты. В некоторых ситуациях эти карты попадают в чужие руки, что создает риск мошенничества и утечки персональных данных.
Поэтому регулятор уведомил российские банки о том, что «кредитный договор и любые изменения его условий должны быть подписаны собственноручной или электронной подписью заёмщика. Использование других способов подтверждения согласия человека с условиями договора недопустимо».
Но ещё раз, расслабляться всё равно не стоит: мошенники приспосабливаются, придумывают пути обхода новых защитных механизмов, создают свои новые мошеннические схемы…
— Да, рассчитывать, что мошенники бросят своё чёрное дело, не приходится. Поэтому в крупных компаниях есть исследовательские центры. Мы изучаем, как ведут себя злоумышленники, компонуем полученные данные в так называемые техники и разрабатываем методики борьбы с этими техниками, — сообщил эксперт по информационной безопасности Денис Батранков:
— Мы благодарны, в том числе журналистам, информирующим людей, зачастую, основываясь на наших рекомендациях, как распознать мошенников и как обезопасить себя от их действий. И мы здесь не снижаем активность. Сейчас, в частности, идет работа с сотовыми операторами чтобы они не включали роуминг. Например, «Сбербанк» уже договорился со всеми сотовыми операторами, чтобы его номер 900 «не прилетал» с территории Украины. Другие банки тоже работают в этом направлении. То есть, здесь мы видим, чем пользуются злоумышленники и, естественно, все их техники «закрываем». К сожалению, это не просто, но такой тренд идёт. Борьба с подделкой номеров даёт положительные результаты. Хотя, и здесь ещё много работы, много чего надо сделать. Вот, сейчас, например, вам может позвонить любой человек якобы с номера вашей мамы или жены.
«СП»: — То есть, до сих пор такая подмена возможна?
-Увы, да. Можно просто войти в интернет, набрать в поисковике «подделка номера», появится сервис, предлагающий такую услугу. И этим софтом пользуются, кстати, не всегда, так сказать, откровенные воры, а, например, продавцы для продвижения рекламы и продажи своих товаров, услуг. Тут какая история… Скажем, когда назойливый риелтор постоянно звонит вам с вопросами или предложениями со своего номера, система вносит этот номер в «чёрный список», и поэтому он уже не может до вас дозвониться. И прочие маркетологи спотыкаются об эту защиту. Поэтому они вынуждены пользоваться таким софтом, чтобы звонить вам с предложениями своих товаров и услуг с разных номеров. И уж тем более, этот софт по подделке номеров популярен в преступной среде, когда звонят потенциальной жертве от имени, например, сына или другого родственника, используют другие механизмы социальной инженерии.
Мало того, сейчас злоумышленники стали пользоваться техниками подделки голосов, что в сочетании с фальшивым номером кратно увеличивает эффективность мошенничества. Соответственно, мы усиленно работаем над усилением эффективности работы программ по распознаванию поддельных номеров. Как известно, такие программы есть у МТС, у «Касперского» и других компаний. Плюс к этому — исключение роуминга для двойных номеров — всё это значительно уменьшает возможности злоумышленников в телефонии.
Поэтому они активно переходят в интернет. Там, конечно, сложнее. Трудно создать поддельный сайт или взломать существующий сайт, чтобы вставить в него вредоносный контент. Поэтому оптимизм представителей департамента информационно безопасности ЦБ РФ вполне обоснован — подобного рода преступления будут уменьшаться. И Центробанк, и многие крупные банки над этим усиленно работают.
«СП»: — Мошенники активизируются в интернете. Что порекомендуете для защиты от них в этой сфере?
— Главное — обязательно использовать двухфакторную аутентификацию — это такой метод распознавания пользователя для входа в сервис, при котором нужно двумя разными способами подтвердить, что именно вы — хозяин аккаунта. То есть, когда кроме пароля на первом уровне, система требует подтверждение на втором уровне, каким-то другим способом. Чаще всего для этого используется СМС-сообщение, но это, честно говоря, тоже не самый надежный способ защиты. Поэтому появляется всё больше программ для двухфакторной идентификации, которые размещаются в телефоне в виде приложения. То есть, вводите пароль и ещё в приложении подтверждаете — да, это я. К сожалению, мало кто об этом знает, мало тех, кто этим пользуется. А зря — использование второго фактора при входе в почту или в аккаунты социальных сетей внесёт серьезный вклад в развитие интернет-безопасности. Тогда нам с вами куда реже придется беседовать на эту тему.
