Регулирование / Статьи
информбезопасность технологии
25.8.2022

Приморозить банковских мошенников

Как Центробанк собирается бороться с хищениями средств с банковских карт

Банк России предлагает возвращать клиентам деньги, похищенные мошенниками. Но только если средства были переведены на подозрительный счет, содержащийся в специальной базе, которую ведет ЦБ. Эксперты, опрошенные RSpectr, приветствуют инициативу, однако видят в ней лазейки, которые могут привести к появлению новых способов мошенничества. В ЦБ заверяют, что это исключено.

БОРОТЬСЯ ПО-НОВОМУ

Российские банки могут обязать возвращать клиентам средства, которые они перевели мошенникам, если подозрительный счет содержался в базе данных ЦБ. Об этом в интервью РИА «Новости» сообщил глава департамента информационной безопасности регулятора Вадим Уваров. По его словам, соответствующую поправку в закон о национальной платежной системе предложил Банк России.

Согласно предлагаемым изменениям, кредитные организации, исполнившие перевод на мошеннический счет, должны будут вернуть клиенту всю сумму в течение 30 дней с момента получения от него заявления.

По трансграничным переводам срок составит 60 дней. Кроме того, ЦБ предложил на 2 дня приостанавливать перевод средств по счету, информация о котором есть в базе данных.

Вадим Уваров пояснил, что законопроект об информационном обмене подразумевает подключение МВД к автоматизированной системе ФинЦЕРТ. Туда поступает информация о переводах или попытках перевода денег мошенникам. Это позволит силовикам практически в онлайн-режиме получать информацию о мошеннических операциях при соблюдении всех норм о банковской тайне.

Пока только один банк – ВТБ – отреагировал на инициативу ЦБ и поддержал ее. Финорганизация считает, что если дроппер (граждане и компании, на счета которых выводятся украденные деньги) попал в базу данных ЦБ, нужно не только заблокировать его дистанционные каналы обслуживания, но и ограничить возможность снять деньги через отделения банков. Это позволит предотвратить их дальнейшее обналичивание, сказали в пресс-службе банка.

ДЛИННЫЙ РЯД ВОПРОСОВ

Сейчас распространены телефонные аферы, из-за которых россияне добровольно переводят свои средства мошенникам. То, что это обман, выясняется уже поздно, когда невозможно отозвать операцию и вернуть деньги, рассказал RSpectr заместитель руководителя Центра предотвращения киберугроз CyberART ГК Innostage Максим Акимов. Поэтому

предложение обязать банки вернуть деньги, переведенные мошенникам, – интересное, но вызывает ряд вопросов

Кроме того, по его словам, пока не ясны механизмы возврата – кто именно возьмет на себя эти риски. К примеру, большой вопрос, кто будет осуществлять перевод, если деньги уже были выведены со счета мошенников. Тут есть три варианта: банк отправителя (жертвы), банк получателя (мошенника) или страховая компания. К тому же, говорит Максим Акимов, мошенники могут использовать эту опцию для нового обмана – условно, переводить деньги на другой счет, снимать их и после заявлять об обмане и просить вернуть средства. Он считает, что, вероятно, будет наблюдаться рост издержек банка, которые в конечном счете будут переложены на клиентов. Максим Акимов добавил, что в целом инициатива сможет работать при достаточно большом проценте своевременных обращений потерпевших в правоохранительные органы для поддержания базы ЦБ в актуальном состоянии.

Эксперт заявил, что

более действенной кажется идея по введению периода hold, когда деньги некоторое время «висят» между счетами

Однако нужно быть готовым к тому, что это «противоядие» может лишить россиян привычной системы быстрых переводов, рассуждает Акимов. Сейчас деньги зачисляются на счет адресата мгновенно. Если ЦБ обяжет банк-плательщик приостанавливать зачисление денег на счет, это может вызвать некоторые задержки, считает эксперт. По его мнению, здесь целесообразно оттолкнуться от идеи формирования доверенных счетов, а все прочие рассматривать как подозрительные.

Максим Акимов, ГК Innostage:

– Только этот инструмент может не остановить мошенников. Используя методы социальной инженерии, они могут придумать, как обойти это условие. Поэтому введение такой радикальной меры, как заморозка переводов, не может не повлиять на работу системы быстрых платежей. Чтобы обезопасить граждан от мошенников, придется от чего-то отказаться.

Необходимо понимать, что в случае принятия данной инициативы системы р2р-переводов (англ. person-to-person, переводы от одного человека другому) перестанут работать как возможность осуществления торговых расчетов при товарных сделках, отметил в беседе с RSpectr президент компании IW Group Алексей Синица. Он полагает, что «холодный период» совершенно изменит ситуацию и моментально проводить расчеты уже не получится.

В целом, эксперт положительно оценил меру холдирования до двух дней – у человека появляется возможность обдумать свой поступок. Алексей Синица говорит, что при запасе времени подумать над совершаемыми действиями и возможности отозвать денежный перевод мера по противодействию мошенникам становится действенной.

ДЕНЬГИ, ВЕРНИТЕСЬ

RSpectr обратился в ЦБ РФ, чтобы узнать, каким образом будут решаться вопросы, в которых возникли сомнения. В пресс-службе сообщили, что сейчас по закону клиент банка вправе рассчитывать на возмещение денег в полном размере, если он не нарушил условия договора – не передал злоумышленникам банковские сведения (SMS-код, номер платежной карты и другую информацию). Однако регулятор отмечает, что широкое распространение получает мошенничество, преимущественно телефонное, когда граждане добровольно раскрывают банковские сведения. И в этой ситуации клиент лишается права на возврат средств. Банк России предлагает усовершенствовать механизм возврата похищенных мошенниками средств.

В ЦБ объяснили, что проект изменений предусматривает, что банк отправителя средств обязан будет возместить всю сумму перевода в том случае, если он совершил перевод на счет, несмотря на то, что информация о нем содержалась в базе данных Банка России «О случаях и попытках осуществления переводов денежных средств без согласия клиента». Она формируется на основе сведений, полученных от кредитных организаций и операторов платежных систем: они по закону обязаны противодействовать переводам, которые происходят без согласия клиента. Поэтому передают регулятору информацию обо всех случаях и/или попытках перевода денежных средств, о несогласии с совершением которых заявили клиенты.

В Центробанке уверены, что

появление новых видов мошенничества на фоне этой инициативы исключено

Они объяснили свою позицию тем, что информация о счете с признаками мошеннического дропперского появляется в базе данных Банка России, как только пострадавший обратился в свой банк с заявлением о возврате денег и банк направил эту информацию в «ФинЦЕРТ» ЦБ. Кроме того, как уже было отмечено выше, обязанность для финорганизации возмещать клиенту сумму в полном размере предусматривается только в том случае, если деньги были переведены на счета, информация о которых содержится в базе данных регулятора.

Также в Центробанке уверены, что никаких дополнительных издержек, которые в конечном счете будут переложены на клиентов, у банков не будет.

Банк России, пресс-служба:

– Предлагаемый комплекс мер предусматривает использование базы данных ЦБ, пользователями которой все кредитные организации являются не первый год. Таким образом, реализация мер потребует от банков незначительной донастройки антифрод-процедур.

СЛОЖНОСТИ ВСЕ-ТАКИ ПОЯВЯТСЯ

Начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд сказал RSpectr, что возврат пострадавшим потерянных в результате мошенничества денег можно только приветствовать, но нужно понимать, как будет реализован процесс. Пока непонятно, будет ли осуществлен возврат, если деньги все же ушли по цепочке от мошенника на другие счета, как скоро клиенту нужно сообщить, что совершена операция без его согласия.

При этом, говорит эксперт, законопроект об обмене информацией между ЦБ и МВД ставит одной из целей не допустить быстрое перемещение денег по счетам дропперов (посредников, на счета которых мошенники выводят деньги). В частности, приостановка операций на сомнительный счет до момента, пока клиент не подтвердит операцию, а также ограничение владельцев сомнительных счетов на использование онлайн-сервисов. Алексей Дрозд считает, что такие нововведения создадут сложности законопослушным гражданам, если они по ошибке попадут под подозрение банков.

Ведущий консультант по информационной безопасности AKTIV.CONSULTING (входит в компанию «Актив») Александр Моисеев пояснил RSpectr, что предложенные ЦБ меры направлены на противодействие различным методам социальной инженерии (преимущественно «вишинга» и «фишинга») в отношении физических лиц, причем при одобрении данных поправок они будут иметь достаточно комплексный характер:

Александр Моисеев добавил, что данные в ФинЦЕРТ будут попадать только тогда, когда кто-то первый пострадает, и указанные меры не защитят на 100% от переводов денежных средств без согласия клиента. Но вместе с другими мерами, а также новыми временными ограничениями в два дня, идея ЦБ способна повысить общий уровень защищенности клиентов банков.

  • превентивные (профилактические) меры антифрода через канал межведомственного обмена сведениями об угрозах, создающие эшелонированную оборону на каждой стадии атаки, в том числе начиная с «подмены номеров» в каналах связи;
  • меры активного реагирования на уже совершенный инцидент путем возврата списанных со счетов клиента денежных средств в случаях, если банк пропустил платеж в обход предупреждений Банка России. Кстати, кредитным организациям необходимо будет учитывать подобные операционные риски в своей деятельности.

Идея ЦБ правильная и принесет результат, однако есть непонятные формулировки, например, «подозрительный счет в базе данных ЦБ», отмечает Алексей Синица. Во всех банках уже давно используется отлаженный механизм противодействия легализации доходов, полученных преступным путем и терроризму. От правоохранительных органов РФ в банки поступают так называемые черные списки, в них находится информация о физических лицах, в адрес которых нельзя открывать счета и осуществлять переводы денежных средств.

Алексей Синица, IW Group:

– Не нужно придумывать ничего нового, можно вполне эффективно использовать действующий механизм, добавляя в него данные о физлицах, скомпрометировавших себя мошенническими действиями. Естественно, данные должны появляться в списках после завершения судебных разбирательств в адрес конкретного лица.

Эксперт напомнил и про развитие технологии прозрачных расчетов, таких как блокчейн и цифровой рубль, который скоро станет реальностью экономической системы РФ. Эти технологии позволяют сочетать онлайн-переводы, отслеживать всю цепочку движения денежных средств, есть возможность их блокирования и возврата законному владельцу. Он уверен, что

количество, а, следовательно, и суммы подлежащих возврату переводов будут внушительными

Ведущий инженер CorpSoft24 Михаил Сергеев пока сомневается в том, что инициатива ЦБ не приведет к появлению новых видов мошенничества. Он сказал RSpectr, что главное, чтобы не пострадали обычные продавцы. Сейчас очень много услуг оплачивается переводом. И если, получив услугу или товар, деньги можно будет вернуть, это породит новый способ обмана, полагает Михаил Сергеев.

Он считает, что необходимо достигнуть 100% возвратов. Для этого, говорит эксперт, если счет мошенника находится в базе ЦБ, нужно просто запретить перевод на него. Также необходимо, чтобы правоохранительные органы лучше занимались этой категорией граждан, ведь при желании отследить движение средств вплоть до банкомата не составляет особого труда. По мнению Михаила Сергеева, это бы снизило количество желающих заниматься противоправными действиями.

Эксперт также добавил, что мошенничество с переводами даже в условиях жесткой конкуренции очень рентабельно, поэтому «давно пора навести порядок и сделать этот вид деятельности бессмысленным или невозможным».

Между тем, по последним данным ЦБ, количество случаев хищения денежных средств во II квартале 2022 года снизилось по сравнению с аналогичным периодом прошлого года на 10,8%, до 211,2 тыс. рублей. Общий размер ущерба, нанесенный злоумышленниками, сократился на 5,5%, до 2,8 млрд. В банке объяснили, что такая динамика объясняется снижением активности кибермошенников в отношении граждан с конца февраля и по апрель включительно. При этом с мая вновь наблюдается рост количества звонков и рассылок от злоумышленников.

Автор: Екатерина Шокурова

Изображение: RSpectr, Adobe Stock

Еще по теме

Каких поставщиков услуг хостинга выбрало государство для своих информсистем

Регуляторы и производители поспорили о стоимости отечественного ПО

Готовы ли бизнес и госсектор к выполнению требований президента об импортозамещении ПО

Эксперты обсудили идею введения штрафов за сбор избыточных персональных сведений

Эксперты отрасли оценили предложенный Минтрудом профстандарт ИБ-специалиста по защите КИИ

Как добиться максимальной компенсации в суде при защите персданных

Как институт уполномоченных операторов персданных поможет бизнесу

Как новый закон об обезличивании персданных повлияет на бизнес

Почему расследованием инцидентов с персональными данными должны заняться цифровые криминалисты

При каких условиях в организации может начаться проверка защиты персданных

Помогут ли механизмы самоконтроля операторов в защите личной информации граждан

Нужен ли ИТ-рынку национальный стандарт доверенной среды исполнения

Почему ограничения в размещении базовых станций угрожают развитию сетей связи

Поможет ли риск-ориентированная модель безопасному обороту персональных данных

Нужна ли правосубъектность искусственному интеллекту