- 27.02.2023
Со счетом или на счете…
Мошенничество
Станет ли 2023 год переломным в борьбе с банковскими мошенничествами?
С начала 2023 года представители российских банковских и профильных структур активно обсуждают неутешительные итоги финансового мошенничества в ушедшем году. Отчёт Банка России о масштабах проблемы, ряд интервью руководителей кредитных структур, наконец, завершившийся 17 февраля уральский форум «Кибербезопасность в финансах», в рамках которого ключевые фигуры сектора сделали ряд громких заявлений, для экспертов стали информационными маркерами – ситуация может измениться. Так ли это? И, если так, когда преступникам будет противопоставлена слаженная и согласованная финансовая политика? Попробуем разобраться.
Недооценённая угроза и её последствия
Государство и крупный бизнес по большому счёту никогда не считали финансовые мошенничества в отношении физических лиц серьёзной проблемой. Ещё какие-то пять лет назад информация о том, сколько средств мошенники украли у граждан, не выносилась в заголовки СМИ и не была поводом для пристального общественного внимания. Просветительская и профилактическая правовая работа с населением считалась не делом финансового сектора и относилась к разряду мероприятий для районных отделов полиции и некоммерческих организаций, которые, как известно, всегда были ближе простому гражданину и его проблемам.
Итоги 2022 года весьма наглядно показали, что дистанционные виды хищения денежных средств стали столь технологичны, что не могут считаться исключительно экзистенциальной угрозой безопасности. Проблемы отдельной личности стали проблемами финансовой системы, а их решение многоуровневой задачей по сохранению её устойчивости. Согласно опубликованному Банком России 14 февраля «Обзору операций, совершенных без согласия клиентов финансовых организаций», объем ущерба по операциям без согласия клиентов в России достиг рекордного значения – почти 14,2 млрд. руб. (на 4% выше, чем в 2021 году). Очевидно, что личные проблемы граждан стали носить стратегическую опасность для государства. Говоря простым языком, экономика и хозяйство России в условиях санкционной политики и оттока средств с внутреннего рынка не могут позволить ежегодные потери 14 млрд. рублей.
Эксперты отмечают, что раньше эти деньги могли вернуться в банки в виде тех или иных инвестиционных вливаний. Сегодня банки стали понимать, что похищают и выводят из страны фактически их денежные средства – кто-то из клиентов не взял ипотеку, кто-то отдал мошенникам накопления с депозитного или инвестиционного счёта, а гражданин, на которого мошенники «повесили» кредит, не сможет его вернуть, потому что неплатёжеспособен.
При этом объем возврата похищенных средств держится на рекордно низком уровне – 618,4 млн. рублей, или 4,4% от всего объема краж. Это сумма сравнима со стоимостью двух-трёх домов в Подмосковье. В 2021 году данный показатель составил 6,8% или 920,5 млн. руб. В 2020 году – 11,3% , а в 2019 году – 14,6%. Банки не скрывают, что отказывают в возврате денег, поскольку «клиенты сами виноваты» – самостоятельно переводят средства злоумышленникам или раскрывают данные.
Эксперты признают, что проблема комплексная – до сих пор не проработаны схемы возврата, не определены условия. Клиент, который добровольно назвал кодовые слова, пароли и перевел деньги, ничем не отличается от сотен других таких же клиентов, совершивших операции в своих интересах. И, действительно, доказать, что деньги получили именно мошенники, а совсем не, скажем, близкие родственники, очень трудно. Впрочем, участники финансового сектора, начали предлагать решения этой проблемы.
Непростая ситуация с финансовым мошенничеством даёт слабую надежду на то, что государство, и все участники рынка смогут оперативно принять нужные решения. Впрочем, пока это лишь надежда на понимание промедления.
«Скорость ключевой фактор – мошенники действуют эффективно и слаженно, а мы медленно», – признала глава Банка России Эльвира Набиуллина, выступая 17 февраля на уральском форуме «Кибербезопасность в финансах». – «Нам удалось избежать прогнозируемого взрывного роста количества атак. Кредитные организации, как и сам регулятор, активно ищут способы противодействия мошенничеству».
Антифрод круглый год
Чтобы разобраться в направлениях и способах борьбы с финансовыми мошенничествами, следует, в первую очередь, понять, как устроена преступная система.
Среди каналов мошенничества, по данным ЦБ, первое место занимает телефонное и смс-мошенничества – 60%, 12% – мессенджеры, 10 % – соцсети, 9% – электронные письма, 7% – поддельные сайты, 2% –поддельные приложения банков.
Зампред Сбера Станислав Кузнецов, выступая на уральском форуме, заявил, что в настоящее время клиенты банка практически перестали получать звонки из российских мест лишения свободы. На это положительно повлияло ограничение для операторов телефонной связи свободной продажи телефонных номеров.
«92–95% всех звонков в формате телефонного мошенничества совершается с территории Украины», – отметил Кузнецов. – «На Украине действуют 800–900 call-центров».
По сведениям Сбера в марте 2022 года количество звонков от мошенников упало со ста тысяч до нуля. В апреле ситуация вернулась к прежним показателям. Телефонные мошенники использовали самые работоспособные схемы, приносящие максимальную прибыль, соединяя современные методы социальной инженерии с высокотехнологичными операциями. Персонал, как и прежде, постоянно перемещается из одного call-центра в другой, обмениваясь опытом и повышая эффективность работы.
Участники рынка отмечают, что в конце 2022 года доля социальной инженерии снизилась, уступив значительный процент фишингу. Мошенники запустили тиражируемую атаку на клиентов банков с применением технических средств – вредоносного ПО, доступа к личным данным, подмены клонами популярных интернет-магазинов и платёжных сервисов. По информации «Известий», эксперты центра реагирования на инциденты Group-IB в 2022 году выявили более 20 тыс. фишинговых доменов в зонах .ru и .рф. За предшествующий год было зафиксировано лишь 15,4 тыс. доменов.
Массированные атаки на клиентов, общий рост числа трансакций, разрыв устоявшихся финансовых цепочек и поиск новых, использование непроверенных и случайных решений и сервисов по переводу денег в Казахстан, Грузию и другие страны, финансовые сборы на военные цели – все эти факторы, по мнению специалистов, объясняют рост средней суммы одного хищения и увеличение объема украденных денег мошенниками во второй половине 2022 года. А они огромны.
По данным ЦБ, в четвертом квартале 2022 года объем несанкционированных операций превысил 4 млрд. руб. Это второй результат за всю историю исследований. При этом, кварталом ранее, результат был около 3 млрд. рублей. Банки, противодействуя атакам, активно задействовали систему антифрода. Им удалось сократить количество операций на 15% по итогам года, что является лучшим результатом за последние 7 лет. Очевидно, этого было недостаточно.
В схемах вывода средств мошенники всё чаще стали привлекать дропов – подставных лиц, личные данные которых они используют, чтобы остаться анонимными.
По одной из схем, дропы обналичивают перевод через отделение банка или банкомат. Затем деньги без предъявления паспорта поступают на криптобиржу, превращаются в биткоины и переводятся на Украину, где уже их обналичивают в любой валюте. В сентябре Сбер зафиксировал объём пополнения криптобирж на 500 млн. руб.
«Сбер выявил 520 тысяч дропов», – заявил Станислав Кузнецов. – «Кто-то из них действует сознательно за небольшой процент от перевода, кто-то используется «вслепую». Число таких звеньев в цепочке порой доходит до 100 человек и более. Сбер поставил задачу разработать программу по борьбе с дропами».
По словам Кузнецова, в Сбере провели эксперимент. За один раз заблокировали 119 тысяч банковских карт дропов. Попадание было 100 %. Ни по одному из этих счетов не поступило жалоб на незаконную блокировку. В последующем все фамилии дропов внесли в черный список.
Два «кита» преступного базиса мошенников
Технологии работы с гражданами и перевода денежных средств – только вершины преступной системы. Без преувеличения уже десяток лет она базируется на застарелых проблемах российской системы управления – каждое ведомство либо экономический сектор отвечает исключительно за себя. Именно поэтому покупка и использование российских номеров, а так же кража и продажа клиентских баз данных, не только коммерческих, но и государственных, стали фундаментом мошеннической пирамиды. Каждому из нас звонят мошенники с номера «900», которые знают о нас всё – начиная с имени и фамилии, заканчивая последними операциями по счёту. Кто виноват в этом? Всегда ли клиент банка?
Первое звено преступного базиса – утечка персональных данных, которая в 2022 году в России побила все рекорды и отразила самый глубокий провал систем безопасности российских компаний за всю историю. По данным аналитического отчёта компании Group-IB, в 2022 году в открытый доступ попала личная информация около 100 млн. россиян – две трети граждан страны. Это в 40 раз больше, чем годом ранее.
Эксперты отмечают, что главным фактором роста утечек стало прямое финансирование хакеров, включившихся в кибервойну весной 2022 года. По данным «Известий», пик «вербовки в хакеры» пришелся на апрель 2022 года, когда на теневых форумах было опубликовано порядка 10 тысяч соответствующих сообщений. Чтобы стать участником хакерского нападения новичкам не требовались знания или умения, достаточно было установить определенное ПО, которое позволяет использовать мощности компьютера как бота для DDoS атак какого-либо ресурса.
В 2022 году в сеть утекли базы данных службы доставки СДЭК (февраль), «Яндекс Еда» (февраль), «Гемотест» (май), Delivery Club (июнь), «Почта России» (июнь), сервис Tutu.ru (август), интернет-магазина DNS (ноябрь). Это миллионы записей. Получая доступ к личной информации человека, мошенники оценивают её, применяют различные способы её детализации и интеграции в собственные базы. Если, скажем, у преступников есть данные клиента того или иного сервиса, на номер его мобильного телефона или почту могут быть присланы вредоносные сообщения-письма, отклик на которые продолжит сбор информации. Более того, от имени этих компаний, мошенники могут связываться с клиентом и получать его личные данные, либо непосредственно применять схемы по хищению денежных средств.
Эксперты ожидают заметного увеличения числа киберугроз в 2023 году. Российский рынок кибербезопасности готов серьёзно ответить на эти угрозы увеличением разработок программного обеспечения и финансирования инфраструктурных объектов. К 2026 году объём рынка увеличится в 2,5 раза, достигнув отметки в 469 млрд. рублей. Эксперты так же отмечают, что 80% всех утечек можно было бы предотвратить, если бы компании более эффективно практиковали цифровую гигиену и проводили качественное обучение сотрудников.
«Основная задача, которая сейчас решается в отрасли – это выбор общесистемного программного обеспечения, независимого от внешних факторов», – заявил в ноябре 2022 года «Парламентской газете» директор департамента информационной безопасности Банка России Вадим Уваров. – «С прикладным отечественным ПО в российских банках все более-менее в порядке, а вот вопросы создания общесистемного ПО требуют ещё проработки».
Частично решить проблемы с утечками персональных данных поможет вступивший в силу 14 июля 2022 года ФЗ № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», который обязывает операторов незамедлительно информировать об инцидентах с принадлежащими им базами. Так же, если услугу можно оказать, не собирая персональные данные, то отказ в услуге гражданину, будет запрещён. Анализа практики применения этих норм пока нет. Так же как и широко неизвестно о случаях, когда лица, ответственные за хранение личных сведений понесли заслуженное суровое наказание за их халатную утрату или прямую продажу.
Слышишь звон – не бери телефон…
Второе звено преступного базиса – звонки с подменных номеров. В 2022 году Банк России направил операторам связи с целью принятия соответствующих мер реагирования 756 072 номера телефона, используемые злоумышленниками для хищения средств у граждан. При этом, количество номеров, с которых россиянам звонят мошенники, неуклонно растет. Согласно данным Банка России за третий квартал 2022 года их количество выросло более чем в 30 раз.
2 июля 2021 года были приняты поправки к закону «О связи», которые обязали операторов блокировать звонки и СМС-сообщения с подменных номеров. Вся информация о таких действиях сегодня передаётся системе, созданной Роскомнадзором. Доступ к ней имеют так же Минцифры, правоохранительные органы, другие операторы связи.
Эти действия, а так же строгий запрет продажи сим-карт не авторизованным клиентам уже доказали свою эффективность.
Во-первых, статистика спам-звонков за 2022 год от мобильных операторов показывает, что использование технологии big-data снизило количество рекламных прозвонов более чем в 2,5 раза. Звонков стало больше, но из 4 млрд. звонков, большая четвёрка операторов заблокировала 2,1 млрд. Очевидно, что часть из них содержала откровенно мошеннический контент.
Во-вторых, стратегия защиты российского трафика привела к тому, что мошенники начали менять номера телефонов на международные, иностранные, схожие с российскими. Этот процесс получил мощное развитие осень 2022 года. Мошенники использовали около десятка кодов, маскирующихся под российские. По данным «Лаборатории Касперского», наибольшее количество нежелательных звонков поступало с номерами Турции, Казахстана и Ирана. К декабрю операторы смогли свести их количество к минимуму. В январе 2023 года чаще всего блокировали номера с кодом +423 – Лихтенштейн, маскирующийся под код Приморского края, +905 – Турция, якобы мобильная нумерация, +472 – Норвегия, номер похож на код Белгородской области.
Несмотря на положительный эффект поправок в закон «О связи», эксперты говорят о необходимости создания единой системы по блокировке подменных номеров не только в России, но и в других странах. Идеальным вариантом было бы создание универсального международного механизма работы такой системы и быстрого присоединения к ней новых участников.
Я плачу́ и пла́чу – пла́чу и плачу́
Признания главы Банка России Эльвиры Набиуллиной медленной реакции рынка на угрозы, говорит о том, что банковские структуры пока не готовы в полной мере нести ответственность за финансовые потери клиентов. Нерешённость проблем противодействия двум «китам» преступного базиса мошенников – подделке номеров и утечке баз данных, не позволяют банковскому сообществу выработать необходимые единые стандарты кибербезопасности.
Справедливости ради, необходимо отметить, что проблемы, связанные с мошенничеством в таком масштабе, не стояли ещё ни перед одной финансовой системой мира. Сбер и ВТБ выступают локомотивами в их решении, предлагая разработать общую для всего рынка систему антифрод-мониторинга. Фактически объединить множество систем в единую. Её суть заключается в отслеживании информации о подозрительных трансакциях и передаче её всем участникам в режиме онлайн.
«Банкам необходимо в режиме реального времени взаимодействие по линии противодействия мошенникам» – считает зампред Сбера Станислав Кузнецов. – «Нужно расширить полномочия по блокировке нежелательных операций. Сбер готов инвестировать средства в систему противодействия мошенничеству и делиться наработками со всеми участниками рынка».
Эксперты уверены, что создание подобной системы в России возможно при условии помощи малым и средним банкам.
Ещё одна принципиальная несогласованность – возврат клиентам переведённых мошенникам денег. Глава Банка России Эльвира Набиуллина считает, что банки в любом случае должны компенсировать ущерб гражданам, пострадавшим от мошенников, так как это, в том числе, будет стимулировать сами банки активнее заниматься противодействием мошенничеству.
«Должна быть личная ответственность», – не согласен с главой ЦБ председатель ПАО «Национальная система платежных карт МИР» Владимир Комлев. – «Компенсировать можно, но так, чтобы это не навредило рынку, чтобы гражданин не думал, что сколько бы он не перевел мошенникам, банк ему возместит всю сумму».
С ним солидарен председатель правления ПАО «Банк ВТБ» Вадим Кулик.
«Если мы отработали меры по защите клиента от мошенников – многократно предупредили, что при переводе вы потеряете свои средства, а клиент не воспользовался нашими рекомендациями, то вопрос о возмещении ставить странно. В данной ситуации, если мы возместим ущерб, то выступим в качестве социальной организации, что противоречит смыслу кредитной организации», – считает Кулик.
Несколько иной подход практикует Сбер.
Станислав Кузнецов уверен в том, что даже, если клиент сам отдал деньги мошенникам, банки имеют возможности помочь вернуть их. Сбер, в соответствии со ФЗ №115, использует механизм заморозки операций по счёту на 10 суток, в течение которых помогает клиенту вернуть деньги.
Эльвира Набиуллина настаивает на более оперативном для всех участников рынка подходе.
«Необходимо принять поправки в ФЗ №161», – уверена глава ЦБ. – «В настоящее время они на рассмотрении. Если гражданин отправляет на мошеннический счёт деньги, у нас появится возможность заблокировать перевод на двое суток. Это даст человеку время остыть и вернуть свои деньги. Но если человек настаивает на том, что ему нужно перевести деньги на счёт, который по информации ЦБ принадлежит мошенникам, нужно не давать ему думать двое суток, а сразу блокировать такой счёт».
В этом случае, вопрос снятия блокировки добросовестного участника рынка и восстановления его нарушенных прав должен решаться в кратчайшие сроки. Впрочем, уже сегодня применяемые методы анализа больших данных, минимизируют риск допущения подобных ошибок. Опыт блокировки дропов Сбером это наглядно подтверждает.
Сбер поддерживает регулятора и уже в мае, не дожидаясь законодательных изменений, запустит проект по возврату переведенных мошенникам денег. Он заключается в упрощении и ускорении судебной процедуры, которую Сбер обкатал на практике и стандартизировал. Сейчас срок возврата удалось сократить до одного месяца – планируется до нескольких недель.
Напомним, Сберб в 2022 году предотвратил хищения денежных средств клиентов на сумму 154 млрд. руб.
Обещанного 30 дней ждут
Так удастся ли российской финансовой системе противодействия мошенничеству качественно измениться и сократить ущерб гражданам? Да, и свой собственный, в конечном итоге? Многое указывает на то, что это вопрос не только к технологиям и работе законодательной системы, но и, прежде всего, к мотивации. Бизнес-подразделения кредитных организаций преобладают над подразделениями безопасности и задачи по извлечению прибыли ставят на первое место. Отказаться от этой пагубной и, в конечном счёте, не всегда выгодной идеологии, очень трудно.
Уже долгое время общество ждало возможности самозапрета онлайн-кредитования. Если человек не придёт в офис, он не сможет взять кредит, а так же на него никто не сможет его «повесить». Фонд поддержки пострадавших от преступлений активно выступал за применение данной меры. Известно, что мошенники очень часто, помимо хищения денежных средств, брали кредиты на обманутых граждан. В числе потерпевших, обратившихся в Фонд, есть такие граждане. С октября 2022 года, в соответствии с указанием Банка России такой самозапрет онлайн-операций стал возможен, в том числе на отдельные услуги, например переводы, онлайн-кредиты, максимальную сумму одной транзакции или на все операции.
Воспользоваться бесплатным сервисом просто – достаточно написать заявление в офисе банка. При этом отменить запрет или изменить параметры онлайн-операций клиент банка может в любое время без ограничений.
Так кто из граждан знает об этой возможности? Какие СМИ написали об этом? Кто-нибудь видел социальную рекламу, посвящённую тому, как грамотно воспользоваться этой услугой? Решение ЦБ было принято своевременно, в самый «горячий» для мошенников период – конец 2022 года – наиболее убыточный для граждан. Если бы банковские структуры донесли до клиентов информацию, то не было бы рекордных финансовых потерь граждан. Но банкам невыгодно ограничивать онлайн-кредитование и прибыли.
В ноябре 2022 года регулятор направил запросы в банки о реализации инициативы. Банки ответили, что услуга пользуется низким спросом. В то же время волонтеры проекта «Народного фронта» «За права заемщиков» посетили офисы 10-топ банков России. Ни в одном из крупнейших банков добровольцам не удалось получить этой услуги.
Это позорнейшее нарушение прав клиентов банковскими структурами должно получить официальную правовую оценку, учитывая, что совсем скоро на федеральном уровне будет принят закон о самозапрете на получение кредитов и займов любым способом в любых кредитных организациях, в том числе микрофинансовых. 24 января 2023 года Центробанк сообщил, что законопроект прошел межведомственное согласование и готовится к внесению в Госдуму. Предполагается, что установить и отменить самозапрет можно будет через сервис на портале «Госуслуги». Банки и МФО перед обращением клиента должны будут проверять наличие такого самоограничения в Бюро кредитных историй. Его введение и снятие будет бесплатным и неограниченным по числу обращений.
Эксперты опасаются, что изменения вызовут волну атак на портал «Гослуги». Впрочем, необходимо отметить, что данный ресурс находится под постоянными атаками хакеров и мошенников и в подавляющем большинстве случаев успешно справляется с ними, не прекращая совершенствовать свою систему безопасности.
Что ещё может измениться?
По мнению депутата Государственной Думы РФ Александра Аксакова в конце 2023 года возможен коренной перелом в борьбе с мошенничеством. Подобный прогноз, мягко говоря, неоправданно оптимистичен. Тем не менее, депутат надеется, что в России с сентября этого года в полную силу заработает система обмена данными между Центробанком и правоохранительными органами. В октябре 2022 года депутаты приняли законопроект по противодействию хищениям с банковских карт граждан (законопроект № 160028-8 «О внесении изменений в статью 26 Федерального закона «О банках и банковской деятельности» и статью 27 Федерального закона «О национальной платежной системе»).
Оперативное взаимодействие Банка России и МВД РФ будет осуществляться во взаимном оперативном двустороннем формате. Полиция будет делиться сведениями о действиях, связанных с попытками перевода денег без согласия клиента, банки будут передавать МВД сведения из базы данных о попытках совершения противоправных операций.
А разве сейчас это не так?
Можно только развести руками, но в настоящее время органы следствия и дознания в общем порядке ждут ответа на запрос в течение 30 дней. А мошенники, если операции не были заблокированы, используя систему дропов, могут вывести деньги в течение нескольких часов. В этом случае, говорить о том, что «система работает медленно» не приходиться. Если учитывать такой ключевой фактор, как время, то системы взаимодействия с правоохранительными органами фактически не существует. Определённые результаты возможны, если деньги остаются в российской юрисдикции.
Безусловно, для потерпевших оперативное взаимодействие полиции и банков кратно сокращает путь от подачи заявления до возвращения денежных средств на счёт.
Вместо заключения
Очевидно, что для эффективного решения проблемы мошенничества всем сторонам, задействованным в процессе, необходимо изменить самое главное – мышление. У неизвестного сетевого автора есть на редкость удачная юмористическая фраза:
«Не понимаю, почему людей, которые звонят клиентам банка и говорят, что с их счетов пытаются вывести средства, а потом эти средства выводят, называют мошенниками? Они ведь честно предупреждают».
В этой шутке только доля шутки. По несчастью или к счастью истина проста – самый лучший способ снизить масштабы мошенничества – это предупредить и недопустить добровольную передачу кому-либо данных карт, пин-кодов и кодов смс-сообщений. Никакие антифрод-программы, законопроекты, самозапреты не смогут помочь, если клиент банка самостоятельно сообщает конфиденциальные данные преступникам и оказывает им полное содействие.
К сожалению, нет сомнений в том, что российские банки не в состоянии разработать программы правового просвещения населения. В 2023 году банки так же не собираются этим заниматься, поскольку в большинстве своём не готовы изменить мышление и бизнес-подходы. Вероятно, эту не такую и сложную задачу должны взять на себя государственные структуры, аккредитованные некоммерческие организации. Программы обязательно должны включать тренинги для всех желающих по общению с мошенниками по телефону и в мессенджерах, потому что те используют исключительно профессиональные психологические схемы давления на человека, в результате которых люди не только отдают все свои накопления, берут кредиты, но и совершают преступления. Все разговоры о том, что психологическому воздействию подвержены исключительно люди недалёкие и необразованные, откровенно смешны и несостоятельны после того, как в 2022 году целый ряд руководителей и топ-менеджеров крупных российских банков передали свои миллионные состояния в руки телефонных аферистов.
В настоящее время Фонд поддержки пострадавших от преступлений одна из немногих российских организаций, которые проводят просветительскую профессиональную бесплатную работу с разными группами населения по предотвращению мошеннических преступлений.
Фонд продолжит и исследовательскую работу. Самое свежее и актуальное исследование Фонда опубликовано в феврале 2023 года и посвящено анализу последних данных по защите прав потерпевших в России: «Доклад «Оценка современного состояния государственной сферы защиты прав потерпевших от преступлений».
Все подробные рекомендации о том, как не стать жертвой мошенников, что делать, если вы пострадали от их действий, даёт юрист Фонда Тимур Чекуев в статье: «Профилактика современных видов мошенничества».
Юрий Голов, Иван Климович, ФПП