«Средний чек» одной такой кражи составил 10-15 тысяч рублей. Об этом, а также о том, откуда мошенники берут информацию о клиентах банков, кто находится в зоне наибольшего риска и как бороться с такими звонками, рассказал в интервью «Российской газете» замдиректора департамента Банка России по информационной безопасности Артем Сычев.
<!—
—>
Артем Михайлович, кажется, что телефонные звонки злоумышленников из псевдобанков уже вытеснили все другие виды мошенничеств. Так ли это?
Артем Сычев: Мы вынуждены признать, что наши прогнозы сбылись: телефонные звонки из псевдобанков с использованием социальной инженерии (выманивание конфиденциальной информации у жертв. — «РГ») стали основным видом мошенничества с банковскими счетами граждан. В структуре потерянных клиентами и банками денег большая часть — это средства, похищенные с помощью таких обзвонов.
Причин распространения такого вида мошенничества несколько. Во-первых, криминал точно так же, как и бизнес, хорошо умеет считать прибыль и убытки. А цена «входного билета» для организации подобной преступной схемы невысока, там не требуется особых затрат.
Второй фактор — относительно легкий доступ к сведениям, которые нужны изначально мошенникам для того, чтобы начать «обработку» потенциальной жертвы. По сути, для завязки разговора всего-то нужно знать номер телефона и фамилию, имя, отчество. Основной сценарий, который используют злоумышленники, кстати, не предполагает, что они знают, в каком банке у клиента открыт счет. Дальше начинается раскрутка человека для того, чтобы он сам рассказал, в каком банке обслуживается, какие у него счета, какие операции он совершает, чтобы он назвал злоумышленнику номер карты, подтвердил, что ему пришла эсэмэска с паролем. На данный момент нам известно о 15 различных мошеннических сценариях.
Для завязки разговора всего-то нужно знать номер телефона и ФИО. Все остальное злоумышленникам сообщит сама жертва
Третий фактор — излишняя доверчивость. Ведь злоумышленники либо играют на чувстве страха потерять деньги, либо убеждают в том, что сейчас можно быстро получить легкие деньги. Это может быть якобы компенсация, плата участие в опросе и т.д. Задача злоумышленника сделать так, чтобы клиент принял решение здесь и сейчас, не дать ему опомниться, сообразить, что так, как ему объясняют на том конце провода, на самом деле не бывает.
Часто мошенники знают о клиенте гораздо больше, чем ФИО и номер телефона. То есть утечки из различных баз данных, в том числе банковских, очевидно, все-таки происходят. Насколько остро, по мнению Банка России, стоит вопрос сохранности персональных данных в банках?
Артем Сычев: Утечки баз данных, к сожалению, действительно есть. Но информация о клиентах, утекшая из банков, — это капля в море по сравнению с тем количеством людей, которые подвергаются обзвону мошенников.
Откуда злоумышленники берут основной объем информации для обзвона?
Артем Сычев: А остальное берется из других баз данных: мы оставляем много информации о себе в интернет-магазинах, в соцсетях, в обычных магазинах, когда оформляем дисконтную карту или карту лояльности, много информации уходит через фишинговые сайты.
Что касается зоны ответственности Центрального банка, то есть два положения, которые касаются требований к обеспечению безопасности в финансовой сфере и распространяются на кредитные и некредитные организации. В этих документах заложены достаточно серьезные нормы.
<!—
—>
Дело в том, что сам факт утечки информации из банка привлекает огромное внимание общественности. Хотя, как показывает практика, масштабы утечек по факту оказываются гораздо меньше, чем это преподносится. Например, в даркнете некто предлагает продать базу данных якобы с миллионами клиентов банков, в подтверждение своих слов публикует «пробник» с информацией о нескольких сотнях клиентов. В итоге выясняется, что опубликованные сведения — это, по сути, и есть вся или почти вся информация, которая имеется в распоряжении злоумышленника. А «свежие» базы данных, появляющиеся в Сети, как правило, являются компиляциями данных, распространяемых ранее. Информация о банковских реквизитах клиентов появляется в этих базах еще и потому, что мошенники, например, в процессе разговора с человеком выясняют у него его банковские реквизиты, включают эти реквизиты в имеющуюся у них базу и перепродают дальше. А тому, кому ее предлагают купить, преподносят это как «свежую, эксклюзивную» информацию прямиком из банка. По сути, все это сводится к тому, что один мошенник хочет обмануть другого мошенника.
Банки смогут сверять информацию, которую предоставляют о себе их клиенты, с данными, которые есть у операторов связи
Что Банк России готов предложить для борьбы с телефонными мошенниками, кроме совета повесить трубку и перезвонить по номеру, указанному на обратной стороне банковской карты?
Артем Сычев: Мы понимаем, что есть несколько направлений, которые должны быть нами совершенно точно отработаны. Первое. Сейчас ко второму чтению в Госдуме готовится законопроект об обмене информацией между финансовыми организациями и телеком-операторами. Планируется, что банки смогут сверять информацию, которую предоставляют о себе их клиенты, с данными, которые есть у операторов связи. Так, в одной из схем мошенничества без ведома владельца телефонного номера злоумышленник меняет сим-карту, и все сообщения о совершаемых операциях по счету и коды приходят не истинному владельцу телефона и счета, а злоумышленнику. Плюс это дополнительный фактор контроля над тем, что операция действительно совершается клиентом, которому принадлежат деньги.
Мы также внимательно следим за тем, как банки выполняют требования закона о наличии у себя систем противодействия мошенничеству — так называемых антифрод-систем. Если мы видим в ходе инспекционных проверок, что кто-то пренебрегает такими системами, это является основанием для мер реагирования, чтобы банк все-таки обратил внимание на защиту прав и интересов кредиторов и вкладчиков.
<!—
—>
Отдельное направление — финансовая грамотность. Люди должны знать о тех подводных камнях, которые могут сопровождать использование финансовых продуктов. Мы требуем, чтобы банки обязательно сообщали клиентам такую информацию. Кроме того, финансовым просвещением граждан занимаются волонтеры, с которыми сотрудничает Банк России.
И еще одна тема — взаимодействие с правоохранительными органами, предоставление им необходимой информации и аналитики, чтобы они могли понимать суть таких преступлений и корректировать свою работу для более эффективных действий.
Кроме того, в конце прошлого года Банк России и МВД договорились объединить усилия по информированию граждан об опасностях социальной инженерии. Сейчас готовится план совместных мероприятий.
Чем противодействие злоумышленникам в соцсетях отличается от телефонных звонков?
Артем Сычев: Смысл противодействия в любом случае — в критическом подходе к информации, ее проверке. Мы говорим: не спешите, не принимайте сиюминутных решений. Это относится и к вашим действиям в соцсетях. Нужно перепроверить, что на самом деле стоит за сообщением о просьбе помочь деньгами в Facebook, «ВКонтакте» или в «Одноклассниках». Если, например, это просьба друга, просто перезвоните ему и выясните, действительно ли он размещал такой пост.
97 процентов хищений со счетов физлиц — это результат обмана или злоупотребления доверием, по данным Центра мониторинга и реагирования на компьютерные атаки (ФинЦЕРТ) ЦБ
Повысился ли объем хищений средств физлиц из банков в 2019 году? Пытался ли уже кто-то проникнуть в Систему быстрых платежей (СБП)?
Артем Сычев: Цифры будут выше, чем в 2018 году, но это связано не только с тем, что хищений стало больше, но и с тем, что метод выявления таких случаев стал более точным. У нас поменялась форма статистики, мы конкретизировали, что в эту форму должно попадать и дополнительно подтверждаться потоком информации, которая к нам приходит.
Что касается СБП, там уровень фрода нулевой — действующая система защиты хорошо справляется.
Мошенники вплелись в соцсети
Кому чаще всего звонят мошенники?
Артем Сычев: Будете удивлены, но сейчас основная «клиентура» таких злоумышленников вовсе не пенсионеры, как принято думать, а экономически активная возрастная категория от 28 и до 55 лет.
<!—
—>
Потому что она самая платежеспособная?
Артем Сычев: Она платежеспособная и часто готова тратить деньги, не сильно задумываясь о последствиях. Это в чем-то следствие излишнего доверия к технологиям. И излишнего доверия к тому окружению, в котором они находятся. Ведь один из видов такого обмана — это использование в соцсетях постов якобы от имени друзей или от имени друзей друзей, что нужна помощь, срочно нужны деньги до зарплаты или на какое-то мероприятие или нужна якобы благотворительная помощь. Злоумышленники создают в соцсетях атмосферу доверия и пользуются ее плодами.
Сколько в среднем крадут у клиентов телефонные мошенники?
Артем Сычев: Совсем уж огромных сумм нет. Обычно «средний чек» составляет около 10-15 тысяч рублей. Конечно, встречаются варианты и с миллионами, но это скорее исключение из правил.
Стоит ли ожидать, что мошенники все больше будут мигрировать в соцсетях?
Артем Сычев: Да. Мошенники хорошо понимают, где проводит значительную часть времени их потенциальный клиент. Если сегодня это соцсети, то они идут туда.
Тем временем
Банк России выпустил рекомендации для банков и некредитных финансовых организаций о том, как проверить, принадлежит ли адрес электронной почты клиенту, которому они направляют письмо с конфиденциальной информацией. Это может быть, например, информация о проведенных платежах, выписках по счету, электронные полисы ОСАГО и так далее.
<!—
—>
Прежде всего рекомендуется проверить, действительно ли хранящийся в их базе данных номер телефона принадлежит клиенту, которому собираются направить сообщение, а также убедиться, что электронный адрес, куда планируется отправить сообщение, не дублируется с адресами других клиентов, указывают в ЦБ.
После этого предлагается направить клиенту на электронный адрес уникальную ссылку для верификации и смс-сообщение с паролем, дающим возможность перейти по этой ссылке. Дополнительная мера, которая обезопасит информацию от автоматизированных систем перебора паролей или номеров, — графический код.
Проверки позволят противодействовать схемам, в которых мошенники используют «захваченные» или некорректные адреса электронной почты реальных клиентов, например, для подделки платежных поручений или кражи важной информации. Также это предотвратит случайное получение посторонними людьми конфиденциальной информации клиентов финансовых организаций.