Москва: +7 495 234 4959 Санкт-Петербург: +7 812 740 5823 Лондон: +44 (0) 7384 418877

Комментарий Станислава Данилова о способах защиты банковских клиентов от мошенничества

Выступая 11 марта в Ассоциации российских банков, первый заместитель руководителя департамента информационной безопасности ЦБ Артем Сычев сообщил, что ЦБ прорабатывает вопрос о наделении клиентов банка правом ограничивать дистанционный доступ к своим счетам, исполнение которого будет для банков обязательным. Причина тому — рост атак на физлиц в 2020 году, когда целью злоумышленников были вклады пенсионеров или предодобренные банками кредиты. Кроме того, в Банке России намерены снижать количество преступлений против граждан с помощью масштабных информационных кампаний.

Подводя на онлайн-встрече в АРБ итоги 2020 года по объемам операций, совершенных без согласия клиента, первый заместитель руководителя ДИБ ЦБ Артем Сычев назвал общую сумму хищений за 2020 год — 9 млрд руб. Год назад, по данным ЦБ, таких операций было менее чем на 6 млрд руб. В ЦБ «Деньгам» сообщили, что рост связан с увеличением среднего чека, число атак тоже выросло, но рост не пропорционален объему хищений.

По словам экспертов по информационной безопасности, «рост среднего чека» стал возможен благодаря смене тактики злоумышленников.

Выводим чужие, не свои

Еще пару лет назад злоумышленники предпочитали действовать по принципу «ковровых бомбардировок», когда с подменой телефонного номера банка мошеннические колл-центры звонили всем подряд и рассказывали о переводе суммы в несколько тысяч рублей физлицу. И целью этой атаки были именно средства на счете или банковской карте человека. «Однако информированность населения о мошеннических схемах благодаря стараниям ЦБ и банков повысилась»,— уверяет Артем Сычев. В итоге население меньше верит злоумышленникам, результативность ниже, плюс на карте жертвы может не оказаться существенной суммы. И потому вектор сместился в сторону атак, целью которых являлись предодобренные кредиты клиентам банков.

«В 2020 году рынок столкнулся с ростом случаев хищения кредитов: мошенники получают доступ к онлайн-банку, в считанные минуты оформляют кредит на жертву и снимают полученные средства»,— рассказывает руководитель отдела информационной безопасности Райффайзенбанка Денис Камзеев. «Единичные подобные атаки фиксировались в конце 2019 года, и к марту 2020 года получили широчайшее распространение»,— рассказывает руководитель направления противодействия мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов. В ВТБ «Деньгам» сообщили, что, например, в апреле в период самоизоляции количество сообщений клиентов о попытках подобных мошенничеств в их адрес выросло в 2,5 раза в сравнении с более ранними периодами. В Банке России «Деньгам» подтвердили актуальность подобных атак.

«В 2021 году подобные атаки все еще актуальны, при этом злоумышленников интересуют не только кредиты наличными, но и при получении доступа к дистанционному банковскому обслуживанию это могут быть и оформленные цифровые кредитные карты»,— указывает управляющий RTM Group Евгений Царев. «Даже при почти нулевом балансе карты у большинства клиентов банков есть предодобренный кредит, порой несколько сотен или даже миллионов рублей, которые можно было за несколько минут получить на карту и потом вывести»,— указывает Алексей Сизов.

При таких атаках обычно было два сценария. В первом случае злоумышленники сами стремились получить доступ к ДБО жертвы. Во втором — убеждали, что от ее имени была уже подана заявка в банк на кредит. И, чтобы защитить средства от хищения, необходимо подать заявку на ту же сумму и после перевести средства на специальный защищенный счет.

«В итоге банки в спешном порядке дорабатывали свои антифрод-системы, в том числе нацеливая на кредитный конвейер, чтобы не дать злоумышленникам возможности сразу выводить средства,— рассказывает Алексей Сизов.— Ряд банков даже ввел ограничения, препятствующие выводу заемных средств».

Инвестируйте ваш вклад

Атаки на пенсионеров всегда были популярны у злоумышленников. Особенностью же 2020 года и начала следующего стал переход злоумышленников к более близкому общению с потенциальной жертвой в процессе охоты за ее вкладами.

«Изначально схема была такова — потенциальной жертве звонят от некоей финансовой организации с предложением серьезных инвестиций, убеждают досрочно закрыть вклад и оперативно через дистанционное банковское обслуживание (ДБО) перевести средства в другой банк для вложения,— рассказывает директор по безопасности Почта-банка Станислав Павлунин.— Но антифрод-системы банков стали выявлять и блокировать подобные трансакции». Далее, по словам господина Павлунина, схема несколько трансформировалась — пенсионеров убеждали приехать в офис и снять средства со вклада наличными, чтобы тут же внести их через банкомат и направить в некий инвестиционный фонд или иную организацию. Антифрод-система научилась пресекать и такие операции, уверяет эксперт. «И теперь злоумышленники настраивают клиентов банка снять средства лично наличными и привезти их к ним в офис»,— отмечает господин Павлунин.

В ситуациях, когда у вкладчика пенсионного возраста во вкладе несколько миллионов, представители таких «инвестиционных компаний» готовы были сопровождать своего потенциального инвестора и в отделение банка.

В ЦБ подтвердили, что атаки на пенсионеров вплоть до физического сопровождения в отделения банка были своего рода трендом 2020 года. Так, в начале 2021 года в отделение крупного банка пришла клиентка старше 70 лет, чтобы забрать вклад на сумму 2,4 млн руб. Ее сопровождали представители некоего «Международного потребительского общества», обещавшего ей до 500 тыс. руб. дохода в год с ее 2,4 млн. Сотрудники банка объяснили ей про потерю процентов при досрочном закрытии вклада и убедили клиентку позвонить сыну, он приехал и увез мать домой. А сотрудники МПО беспрепятственно покинули банк: заявлений в правоохранительные органы на них нет, ЦБ они неподнадзорны, факт мошенничества не доказан.

По словам Дениса Камзеева, мошенники внедряют сложные психологические манипуляции, а если речь идет о серьезных деньгах, буквально борются за клиентов и придумывают невероятно изощренные уловки. Так, в одном крупном банке рассказали «Деньгам», что последним трендом 2021 года является охота за вкладами пенсионеров, недавно потерявших родных и в связи с этом находящихся в подавленном эмоциональном состоянии. В банке было уже несколько случаев с попыткой мошенничества в отношении людей, которые похоронили своих детей или супругов менее месяца назад. «Подобные совпадения наводят на мысль, что сведения о потенциальных жертвах были получены злоумышленниками из тех же похоронных агентств или других органов, ведущих учет смертей»,— сетует собеседник «Денег».

Тонкости психологических атак

Эксперты по информационной безопасности отметили, что были в 2020 году и другие особенности и необычные мошеннические схемы. Так, Евгений Царев указал, что именно в 2020 году наметился тренд «кустовой» работы злоумышленников — в течение 2–3 месяцев шли атаки на клиентов конкретного банка, далее злоумышленники переключались на клиентов другого банка.

В 2020 году было очевидно, что злоумышленники отлично подготовлены и отлично проинформированы относительно методов работы службы безопасности и других подразделений конкретной организации»,— соглашается Алексей Сизов.

«Возможно, имели место утечки информации, так как злоумышленники обладали достаточно полной информацией»,— предположил Евгений Царев.

Собеседник, знакомый с ситуацией в ЦБ, подтвердил «Деньгам» подобный «кустовой» характер работы злоумышленников, и это, по его словам, связано действительно с утечками, но не из банков — утечки были из двух страховых компаний. Еще в августе 2020 года ЦБ сообщал об утечке данных 55 тыс. карт клиентов маркетплейса Joom. В базе есть данные первых шести и последних четырех цифр номеров карт, сроки их действия, ФИО, телефоны и адреса проживания. В том числе эти данные, по словам собеседника «Денег», дали возможность целенаправленно «бомбить» клиентов определенных банков.

Второй тренд — повторные атаки. По словам Алексея Сизова, звонки были именно тем гражданам, которым раньше уже звонили в попытке вывести средства (неважно, успешно или неуспешно). Злоумышленник заявлял, что расследует предыдущий инцидент, знал подробности того звонка, отдельные детали. «Тем самым мошенник входил в доверие к потенциальной жертве и получал от нее сведения, необходимые для хищения денежных средств»,— указывает Алексей Сизов. Эксперты указывают, что часто повторно звонящий представлялся сотрудником правоохранительных органов. При этом в 2020 году действительно имел место прозвон жертв мошенников сотрудниками правоохранительных органов, что сделало мошеннический скрипт максимально правдоподобным.

Как защитить пенсионеров

Для банков пенсионеры — клиенты из зоны риска. По словам Станислава Павлунина, сотрудников отделений особо инструктируют по поводу работы с клиентами 60+, причем инструкции обновляются раз в две недели минимум. Однако все, что есть у сотрудников банка — сила убеждения: отказать в выдаче вклада, даже если очевидны мошеннические действия в адрес клиента, но он настаивает, банк не может.

По словам партнера коллегии адвокатов Pen & Paper Станислава Данилова, банк в отношении своего клиента не вправе выполнять никакую регуляторную функцию. Отношения клиента и банка заключаются в том, что первый приносит свои деньги, а второй хранит эти деньги и по требованию клиента выдает или перечисляет их третьему лицу. Банк не может проверять расходы клиента и, тем более, оценивать их обоснованность, указывает эксперт, он не вправе отказывать клиенту, даже если сотруднику банка показалось, что снятие наличных является неразумным.

«С трудом могу себе представить ситуацию, когда на банк были бы возложены функции перепроверки того, действует ли его клиент по понуждению или в состоянии аффекта»,— рассуждает Станислав Данилов. Поэтому противодействие мошенникам не задача и не компетенция банков — для этого есть суды и полиция, а отказ в выдаче собственных средств абсолютно незаконен, считает эксперт.

Попытка защитить клиента может обернуться серьезными проблемами для банка. Так, в крупном банке недавно был показательный случай. Пожилой клиент хотел онлайн закрыть крупный вклад досрочно и перевести средства на карту. Банк счел операцию сомнительной и заблокировал ДБО. Клиент пришел в отделение банка, но и там ему отказали. Клиент решил проконсультироваться с племянником, как действовать. В банке решили, что клиента «ведут» мошенники, вызвали полицию. Оказалось, что пенсионер действовал без подсказок мошенников, он опытный инвестор и просто задумал вложить средства в акции. Теперь он намерен подать на банк в суд с требованием получить компенсацию морального ущерба за дискриминацию.

Предупрежден, значит — вооружен

Решать проблему хищений у клиентов банков в ЦБ намерены, действуя сразу по двум направлениям. Первая — повышение информированности клиентов банков о мошенничествах. Недавно Банк России выпустил методические рекомендации по усилению информационной работы с клиентами в целях защиты их от мошенничеств, в которых настоятельно рекомендовал банкам рассылать клиентам СМС, выпускать листовки, радио и наружную рекламу, посты в социальных сетях и иным способом информировать клиентов банков о возможных мошеннических атаках. При этом в документе указано, что охват должен быть не менее 80% клиентов.

«Выход рекомендаций связан с тем, что банки, по мнению ЦБ, недостаточно активно информируют своих клиентов о рисках мошенничества и способах защиты от него,— подчеркнули в пресс-службе ЦБ.— В этом документе мы определили возможные каналы и способы коммуникаций, однако банки могут сами определять конкретные пути реализации рекомендаций. Если банки активно подключатся к разъяснительной работе, деньги многих клиентов можно будет уберечь». Собеседник «Денег», знакомый с ситуацией в ЦБ, отметил, что эффективность разъяснительной работы регулятор планирует измерять не только по информированию, но и показателями количества атак в адрес клиента банка. При эффективной разъяснительной работе их число должно падать.

Банк России со своей стороны, отметили в пресс-службе ЦБ, через все доступные каналы коммуникации постоянно разъясняет людям, какие схемы используют финансовые мошенники и как от них защититься, как безопасно пользоваться современными платежными инструментами. Информацию о том, как распознать мошенников и что делать, если вы стали их жертвой, можно найти на специальном сайте ЦБ в разделе «Грабли», где разбираются различные близкие к реальным ситуации, в которые могут попасть люди. Там даются практические советы, как быть в том или ином случае. Совместно с МВД России и органами прокуратуры Банк России размещал информационные материалы по тематике противодействия операциям без согласия клиента на рекламных билбордах и объектах транспортной инфраструктуры Москвы и ряда субъектов Российской Федерации.

Самоограничения спасут

Впрочем, широкая информационная кампания — не единственная инициатива ЦБ, направленная на защиту средств граждан от хищений. Как подтвердили «Деньгам» в пресс-службе Банка России, сейчас у регулятора в проработке находится инициатива обязать банки по желанию клиента ограничивать ему ряд операций. Технологически такой функционал уже реализован у ряда банков. Мера действенна в случаях, когда клиента финансовой организации провоцируют дистанционно совершить действия с депозитными счетами в пользу злоумышленников.

Собеседник «Денег» в крупном банке сообщил, что подобный функционал изначально был реализован в качестве пилота в крупном банке. На настройку систем потребовалось несколько месяцев, но в итоге результат устроил и кредитную организацию, и регулятора.

Со схожей инициативой выступал ранее проект «За права заемщиков». Там настаивали, что данная мера должна защитить именно пожилых людей от мошеннических действий. В частности, предлагали давать возможность клиентам банков письменно и полностью в добровольном порядке отказаться от совершения исходящих переводов и оплат в сети интернет со своих счетов, оставив лишь опции по оплате в торгово-сервисной сети, снятию наличных и получение переводов.

В ЦБ решили пойти дальше. В пресс-службе ЦБ считают, что предложенная новация должна распространяться на всех клиентов банков. На совещании в Ассоциации российских банков (АРБ) Артем Сычев подчеркнул, что, возможно, потребуются изменения в законодательстве. В Банке России понимают, что кроме технических доработок потребуется изменять и маркетинговую политику по продвижению финансовых продуктов.

Спасение утопающих

Регуляторы и участники рынка сходятся в одном — никто не защитит граждан от мошенников лучше их самих. Хотя банки готовы внедрять новые антифрод-системы, вести широкую просветительскую работу, а ЦБ готов править законодательство, но именно граждане в большинстве случаев добровольно переводят свои кредиты на «защищенный счет» или снимают вклады и отдают неустановленным лицам по договору займа. Поэтому Банк России рекомендует гражданам проявлять бдительность и не реагировать на сомнительные предложения незнакомых лиц. Если вам звонят якобы представители Банка России, коммерческого банка или правоохранительных органов и под любым предлогом просят перевести куда бы то ни было деньги, выманивают данные банковской карты и пароли из СМС, необходимо прервать разговор. Если же у вас возникли какие-то сомнения или вопросы, необходимо самостоятельно перезвонить в свой банк по номеру телефона, который всегда есть на банковской карте или официальном сайте кредитной организации.

Никита Кобылкин

Источник