Кибермошенничество в России создает новые вызовы
Широким фродом
Борьба с мошенничеством в финансовой сфере ведется в России несистемно и не по всем фронтам, из-за чего в проигрыше оказываются обыватели и бизнес.
Число мошенничеств с пластиковыми картами и банковскими счетами россиян, именуемое фродом (от англ. fraud), во всем мире стремительно растет. Россия — не исключение. По данным Главного информационно-аналитического центра МВД России, за первые шесть месяцев текущего года количество зарегистрированных фактов мошенничества с электронными платежами резко увеличилось — до 6613 случаев. Это в шесть раз больше, чем за аналогичный период 2018 года. Появляются новые преступные схемы, в которых участвуют помимо хакеров и мошенников еще и банки, и даже представители власти. В пострадавших же оказываются в конечном счете обыватели и бизнес. Не удивительно, что Росфинмониторинг, ЦБ, банковское сообщество, эксперты и правоохранители активно обсуждают пути решения проблемы. Чем эта дискуссия может закончиться? Похоже, созданием… очередного спецведомства, аккумулирующего борьбу с мошенничеством. «Огонек» решил присмотреться к происходящему.
Чудище обло, озорно, огромно…
От того, чтобы стать жертвой фрода, не застрахован никто: даже у одного из бывших руководителей Банка России по информационным технологиям таким образом увели с карты 88 тысяч рублей. Фрод многолик. И с каждым годом появляются все новые схемы.
Так, еще 10 лет назад скимминг (создание «дубликата» пластиковой карты путем воровства данных с магнитной полосы «пластика» и PIN-кода в банкомате) входил в число самых популярных видов мошенничеств. В 2007–2011 годах в Штатах были арестованы более 5 тысяч преступников, замешанных в скимминге, и каждый год, по данным американских властей, появлялись по 20 тысяч новых. Общий же ущерб от деятельности скиммеров еще в 2012 году составил 11,3 млрд долларов. По другую сторону Атлантики — в Великобритании — скиммеры опустошали счета и карты компаний и граждан на 100–170 млн фунтов ежегодно.
С распространением смарт-карт («пластика» с чипами) случаи скимминга, правда, сократились более чем в два раза. На смену ему пришла социальная инженерия. С последней россияне столкнулись в массовом порядке в последние годы: звонки на мобильные телефоны, SMS-сообщения, имеющие одну цель — заполучить личные данные клиента банка с тем, чтобы потом опустошить его счет. Социальная инженерия использует в том числе и таргетированную рекламу: пользователю предлагается поучаствовать в распродаже, лотерее или тестировании, за что обещан приз (подарок, большая скидка), а цель все та же — завладеть данными пользователя карты.
Но и социальная инженерия в топе по мошенническим оборотам не задержалась. Преступники всегда фокусируются на самом слабом звене, а это сегодня — интернет-операции. Они и стали теперь основным «вектором атаки», как утверждают специалисты: уже пару лет назад почти три четверти фрода были зафиксированы при проведении интернет-операций. Согласно отчету Центра мониторинга и реагирования на компьютерные атаки (ФинЦЕРТ), созданного Банком России, два года назад с пластиковых карт россиян были похищены 961 млн рублей (на 10 процентов больше, чем годом ранее), а в 2018 году воровство только усилилось — сумма потерь составила 1,3 млрд рублей.
Конечно, защитные технологии тоже не стоят на месте, и производители интернет-браузеров регулярно добавляют в свои решения элементы защиты от фрода (например, предупреждают пользователя о переходе на подозрительный сайт, используют технологии 3D-secure, в которых для проведения операции требуется ввод дополнительного кода, получаемого в отделении банка, через банкомат, по SMS или с помощью аппаратного генератора кодов). Но и при этом преступность часто оказывается на шаг впереди.
В 2018 году, например, эксперты отметили «хит сезона»: одним из самых популярных видов фрода стал рекламный — это когда мошенники обманывают компании, размещающие рекламу в интернете, например путем «накручивания» счетчика просмотров. Согласно интернет-статистике, 22 процента рекламного трафика в США и Канаде были сгенерированы мошенниками, в Евросоюзе — 17,64 процента, а в России и странах СНГ — 39,10 процента. По оценке компании Juniper Research, в нынешнем году рынок мобильной, inn-app и онлайн-рекламы потеряет 42 млрд долларов из-за фрода, а еще через 4 года мошенники отберут у рекламодателей 100 млрд долларов.
Фроды разные важны
Все вышеперечисленное — так называемый «внешний фрод», когда в роли мошенника выступает некое стороннее лицо или организация. Но есть и «внутренний фрод» — когда компания с помощью противозаконных схем выводит свои средства за рубеж. Не всякий отток капитала из страны есть фрод, а лишь тот, где нарушен закон. В 2017-м Росфинмониторинг, курирующий борьбу с отмыванием средств, насчитал 78 млрд рублей ушедших за рубеж средств, имеющих признаки внутреннего фрода. Но это выявленные эпизоды, а сколько осталось невыявленных — тайна, покрытая мраком. Казалось бы, что обывателям с того, какие махинации проводит бизнес, пытающийся уйти от налогов?
На самом деле связь есть и самая что ни на есть прямая. Особенно когда в роли мошенников выступают банки. Ведь из страны утекают не личные сбережения банкиров, а средства с депозитов граждан и со счетов компаний. Образующиеся в этом случае финансовые прорехи приходится «штопать», как правило, из бюджетных средств. Так, на оздоровление только трех банков («Открытие», Бинбанк и Промсвязьбанк), пострадавших от внутреннего фрода, ЦБ пришлось затратить 2,8 трлн рублей. А ведь случаются и прямые потери для физлиц из числа клиентов банка. Так, например, фрод в Мособлбанке был проведен путем ложных транзакций со счетов клиентов банка, замаскированных под деловые операции. Потери клиентов составили 70 млрд рублей (1,4 млрд долларов по тогдашнему курсу). Только по этому эпизоду ущерб сопоставим с объемом потерь от краж с банковских карт (1,3 млрд рублей), о котором отчитывался ЦБ.
Проблема в том, что внутренний фрод становится все сложнее отделить от внешнего — слишком часто эти виды мошенничества соседствуют друг с другом и даже переплетаются. Эксперты указывают на высокую вероятность того, что, боясь быть уличенными во внутреннем фроде, компании и банки будут маскировать проблему под фрод внешний, благо сделать это несложно: банкам, например, достаточно сымитировать или даже осуществить хакерскую атаку на собственную систему, чтобы потом доказывать ЦБ и Росфинмониторингу, что это сделали сторонние лица.
Бороться не искать
Фрод — явление многоликое, но у отечественных борцов с этой напастью даже полной статистики под рукой нет, ее в России просто не существует. Часть данных есть у МВД, но они касаются официальных заявлений граждан по фактам мошенничества. Но как часто россияне идут в полицию? Часть статистики — у банков, но тут другая проблема: каждый банк ведет ее сам, не делясь информацией с другими игроками на рынке. К статистике ЦБ у экспертов также есть вопросы: не ясна методика сбора данных, репрезентативность выборки, критерии оценки.
А без точной картины происходящего — числа эпизодов, основных схем и методов мошенничества, выявления всей цепочки от момента увода денег до их отмывания и обналичивания — невозможно адекватно выбрать оружие, способное нейтрализовать зло. Не удивительно, что власти пытаются сегодня бить «из всех пушек», дабы усложнить процесс отмывания денег, но некоторые меры накрывают площадями всю «бизнес-поляну». Именно такой эффект дала последняя инициатива Ассоциации банков России по блокировке поступивших на счет средств, если есть подозрения в том, что это часть мошеннической цепочки.
Вроде бы заманчивое предложение, но никто не рассчитывал на «эксцесс исполнителя»: к настоящему моменту заблокирован уже миллион счетов физических и юридических лиц (см. «Огонек» №36), и число блокировок будет только множиться, поскольку банки больше опасаются карательных мер со стороны Центробанка или Росфинмониторинга (в случае выявления халатности в отслеживании нарушителей), чем реакции клиентов, а МВД озабочено только процентом раскрываемости дел, а не объемом перевернутой при этом «породы».
Приоритетом ЦБ является мониторинг ситуации, чтобы на основании собираемых данных рассчитывать риски для банков и, не исключено, в будущем менять требования по формированию их резервов. Все это хорошо, но как реально помочь людям, пострадавшим от фрода?
Силовые методы, даже не столь радикальные, как блокировки счетов или переводов, как показывает практика, не всегда эффективны. Можно, конечно, разыскивать и арестовывать конечных бенефициаров call-центров, которые сегодня активно используются для «фишинга» личных данных (эффект дает, но картины не меняет: если накрыли один криминальный call-центр, тут же возникает новый и, как правило, уже за рубежом, а с этим справиться намного сложнее). Еще можно страховать риски, но и эту меру трудно назвать действенной для всего спектра мошеннических операций. Так что максимум, на что сегодня могут рассчитывать пострадавшие,— на возвращение украденного.
Закон «О национальной платежной системе» обязывает банк вернуть похищенные с карты клиента средства. Правда, при условии, что клиент сообщил о краже в течение суток после получения от банка уведомления об операции и компрометация данных карты произошла не по вине клиента.
Надо ли говорить, что выполнить первое и доказать второе непросто? По словам финансового омбудсмена Павла Медведева, вернуть деньги удается редко — банки успешно доказывают вину клиента в компрометации карты. Год назад ЦБ обязал банки отчитываться о выполнении требований клиентов компенсировать им украденное, но результаты отчетов широкой общественности пока неизвестны.
Один за всех
На этом фоне в экспертном сообществе вызревает консенсус: эффективность мер можно серьезно повысить, если в стране появится единая структура, ответственная за борьбу с мошенничеством как внутренним, так и внешним. Только единый центр принятия решения и анализа информации способен оперативно реагировать на меняющуюся ситуацию, подстраиваться под новые условия и даже выстраивать взаимодействие со своими западными аналогами.
Такие структуры за рубежом уже создаются. Первые шаги в этом направлении сделаны в Индии, ОАЭ и Сингапуре. Пока закладывается фундамент — строятся так называемые KYC-бюро (Know Your Customer — «Знай своего клиента»). В Сингапуре, правда, реализацию проекта сейчас слегка притормозили, оценив затраты и осознав, на сколько они могут превысить ожидаемый результат. Так что не нужно особо задействовать воображение, чтобы представить, как растут сметы в России и в какую сумму это может вылиться здесь. Но альтернатива просто не просматривается, тем более что процесс создания суперведомства можно удешевить, если такая структура возникнет на базе одного из ведомств, сегодня курирующих проблему фрода,— Центробанка, МВД или Росфинмониторинга.
Чтобы такая структура заработала эффективно, потребуется мощная цифровая информационная платформа для анализа миллионов транзакций, способная в дальнейшем выявлять новые схемы мошенничества. Речь идет о гигантских объемах данных, где не обойтись без инструментов искусственного интеллекта, предиктивной аналитики и роботизации. Гипотетическому «нацбюро» потребуется «видеть» клиента со всеми его связями и бизнес-активностями, для чего нужно будет интегрировать информационную платформу с данными целого ряда министерств и ведомств (ФНС, МВД, ФТС и т.д.). Затраты на создание такой системы будут измеряться в миллиардах рублей, но в России они окупят себя быстро, если принимать во внимание даже те масштабы проблемы, о которых известно сегодня.
Уже сейчас специалисты прогнозируют новые «слабые места» мировой финансовой системы — финтехи. Речь о компаниях, предоставляющих нетрадиционные сервисы. Ряд финтехов уже стали суперкорпорациями, способными составить серьезную конкуренцию банкам. Например, Alibaba или тот же Apple — настоящие империи, запускающие внутренние системы расчетов и имеющие миллиардную клиентскую базу. Весь вопрос в том, когда фрод перестроится на работу с ними — завтра, послезавтра, а может, уже сегодня? И в этом случае число потенциальных жертв мошенничества возрастет в разы, достаточно сравнить число клиентов Alibaba и среднего российского банка. Словом, времени на раздумья остается все меньше.
***
Схем фрода — десятки. Представляем основные
Скимминг — мошенники копируют даннные с магнитной полосы чужой карты и переносят на другой «пластик». Для этого используется специальное устройство для считывания данных магнитной полосы пластиковых банковских карт. В большинстве случаев они крепятся непосредственно к банкомату, а именно к его принимающему слоту картоприемника. При этом заметить наличие скиммера сможет лишь хорошо обученный и наблюдательный человек, у большей части граждан он не вызовет никаких опасений. Создав дубликат карты, скиммеры расплачиваются ею в режиме онлайн (в устройствах, читающих магнитную полосу), в режиме офлайн (подлимитные операции) или в режиме fallback (при невозможности читать чип, который заранее выводится из строя, устройство проводит операцию по магнитной полосе). Ответственность за такой фрод ложится на банк — эмитент карточки или на эквайера.
Кардинг — вид мошенничества, при котором операция производится с использованием реквизитов платежной карты (ФИО владельца, номер, срок годности, CVV). Реквизиты берут со взломанных серверов интернет-магазинов, платежных и расчетных систем, а также с персональных компьютеров (непосредственно или через вирусные программы). Также мошенник может вступить в сговор с лицами, имеющими доступ к картам, например с официантом или кассиром. Данные могут быть сфотографированы или восстановлены из видеозаписи.
Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности. В частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учетные данные, пароли. Цель фишинга — получение доступа к конфиденциальным данным пользователей — логинам и паролям. Есть масса способов сыграть на доверии пользователя. Причин, по которым онлайн-мошенничество работает, на самом деле достаточно. Преступники умело играют на психологии своих жертв и обещание халявы — самый простой и эффективный способ заполучить массу жертв. Также можно сыграть на ажиотаже, возникшем вокруг какой-то темы. Хорошим примером в этом отношении может служить целая эпидемия сетевого мошенничества, связанная с чемпионатом мира по футболу. Летом 2014 года был обнаружен фишинговый сайт, имитировавший сайт FIFA, на котором пользователю предлагалось подписать петицию в защиту Луиса Альберто Суареса, нападающего национальной сборной Уругвая. Чтобы подписать петицию, надо было заполнить форму, введя в нее имя, страну проживания, номер мобильного телефона и адрес электронной почты. Другой мошеннический сайт предлагал посетителям скачать электронный билет на чемпионат. На самом деле вместо билета пользователь получал вирус «троян», который, пробравшись в систему, перехватывал личные данные, прежде всего финансового характера.
Вишинг — голосовой фишинг. Вид социальной инженерии, когда данные банковских карт или личные данные пользователя получают путем имитации звонка из банка или в банк. В случае вишинга это может быть не звонок, а письмо на электронную почту якобы от банка владельца карты, в котором содержится требование урегулировать некие проблемы и дается телефон. Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые предписывают необходимость ввести номер своего счета и PIN-код. Но вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера. В конечном счете человека также попросят сообщить его учетные данные.
Смишинг — SMS-фишинг. Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт,— входя на него и вводя свои личные данные, жертва аналогичным образом передает их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определенному номеру для решения «возникших проблем».
Фарминг — мошенничество путем перенаправления пользователя на сторонние сайты. При фарминге настоящий сайт, например online-banking пользователя, подменяется его копией, или это может быть сайт известной торговой площадки. После подмены злоумышленнику остается только дождаться, когда клиент будет авторизоваться на определенном ресурсе, и собрать все его данные. Вирус активирует свою деятельность только в момент перехода на интересующую страницу. Зачастую это касается онлайн-банкингов или иных платежных систем, через которые осуществляются денежные транзакции.
Уберечься от фарминга сложно, так как процесс подмены сайта происходит незаметно. Чтобы защититься, нужно не только научиться узнавать жульнические письма, но и внимательно относиться к установке программного обеспечения. Нужно крайне осторожно подходить как к прочтению писем электронной почты, так и к скачиванию каких-либо программ из сети Интернет, т.к. фарминг-программы могут работать как из кэша браузера, так и непосредственно в виде вируса на вашем ПК.
Источник: Kaspersky.ru, Protectimus.com, Privatbankrf.ru
***
Автор: Светлана Сухова
https://www.kommersant.ru/doc/4097052
***
Приложение. Утечка данных Сбербанка России. Эксперт о рисках для владельцев кредитных карт
После утечки данных Сбербанка России эксперт в области безопасности в финансово-банковской сфере Борис Славин рассказал DW о распространенных видах мошенничества с картами и дал советы пострадавшим.
После того, как в СМИ появилась информация об утечке данных 60 млн кредитных карт Сбербанка России, в самом банке заявили о том, что проводят внутреннее расследование и что похищенная информация "в любом случае никак не угрожает сохранности средств клиентов". Как оказалась возможной столь масштабная кража данных, как устроены системы защиты банков и что делать клиентам, которые опасаются, что их данные появятся в открытом доступе, - эти и другие вопросы DW задала Борису Славину, эксперту по финансовой безопасности автоматизированных систем в финансово-банковской сфере Финансового университета при Правительстве РФ.
Deutsche Welle: - Борис Борисович, как могло получиться, что данные миллионов кредитных карт крупнейшего в России банка оказались в открытом доступе в интернете?
Борис Славин: - К новости о потере данных миллионов карт я бы относился очень осторожно. Вероятность столь масштабной утечки - это что-то из области фантастики. Потому что все операции любого банка отслеживаются его службой кибербезопасности. Потеря данных 60 млн карт означала бы, что эта служба не работает вообще.
- А как она должна работать в идеале?
- Все операции внутри информационной системы банка отслеживаются, и сведения о любой нестандартной операции тут же получают соответствующие службы, которые начинают проверку. Персональные данные - это наиболее чувствительная информация, поэтому она защищается особым образом, особенно когда речь идет о большом количестве данных, связанных с финансами. Даже простое копирование номеров 60 млн карточек - это операция, которая проводится не за одну секунду. Соответственно информацию о ней также получает служба безопасности. А вот копирование номеров небольшого количества карт - да, это возможно.
- Какова вероятность того, что это действительно был внешний взлом?
- Внешние атаки бывают, но там, где это касается банков, они, как правило, невозможны без инсайдеров. Чаще всего такое происходит из-за халатности или нарушения внутренних регламентов работы с данными, допустим, когда часть информации временно копируется на незащищенный носитель. Или же некий инсайдер намеренно копирует эти данные.
- Разрабатывает ли каждый банк особые системы безопасности "под себя" или на рынке есть какой-то универсальный поставщик?
- Сегодня используются оба варианта. С одной стороны, на рынке есть компании, которые разрабатывают программы для защиты информации и ее отслеживания внутри банка.
Помимо этого многие крупные банки, и Сбербанк, наверняка, к ним относится, разрабатывают собственные средства защиты и шифрования. Каждый банк использует свои алгоритмы и сочетания этих защитных средств. Само это уже представляет проблему для злоумышленника, которому предстоит узнать весь набор используемых средств защиты, прежде чем преступить к их взлому.
- Можно ли верить Сбербанку, когда он утверждает, что средства клиентов, несмотря на то, что данные карт оказались в сети, находятся в безопасности?
- Если речь о небольшом количестве карт, то вероятность того, что информация о них действительно была утеряна, есть. В таком случае лучше всего заявить об этом банку и заменить эти карточки. Однако все зависит от того, какая именно информация была утеряна. Если это просто номера карточных счетов, то это, скорее всего, не представляет большой опасности, хотя и требует проведения расследования внутри банка.
- Утеря какой информации, в таком случае, представляет реальную опасность?
- Появление в сети только номера карточки нежелательно, но все-таки гораздо менее опасно, чем когда он публикуется вместе с личными данными клиента. Пин-коды на карте не хранятся, поэтому доступа к ним у злоумышленника при краже данных карты не будет. С другой стороны, сейчас есть магазины, которым достаточно номера карты и данных о владельце, чтобы провести оплату покупки. Но и в этом случае еще есть возможность, позвонив в банк, вернуть на счет списанную таким образом сумму.
- Нужно ли при подозрении на утечку личных данных блокировать карту?
- Сам банк, зная, какая информация утеряна, может оценить, насколько это опасно, а потом проинформировать клиента о необходимых мерах. При подозрении, что ваши персональные данные попали в интернет, можно позвонить в банк и попросить проверить, не была ли скомпрометирована (так это официально называется) ваша платежная карта. При этом не нужно давать сотруднику банка, с которым вы общаетесь, никаких личных данных - они у банка и так есть.
Кстати, сегодня данные карт чаще всего "компрометируются" из-за различных интернет-магазинов, потому что взломать их гораздо проще, чем банк. Именно так многие мошенники получают персональные данные пользователей.
- И как же они могут впоследствии ими распорядиться?
- Самый распространенный тип мошенничества - это когда злоумышленник, зная ваши персональные данные, пытается вынудить вас совершить какое-то действие, например перевести кому-то деньги.
Причем некоторые мошенники пользуются этой схемой, даже не зная названия вашего банка, просто звоня наугад и рассчитывая, что наткнутся на клиента Сбербанка, просто потому что очень большой процент населения действительно имеет там счет. При этом мошенники даже умеют делать так, что на экране вашего телефона определится номер вызова, который действительно принадлежит Сбербанку.
Как правило, представляясь сотрудником банка, мошенник рассказывает о том, что со счетом клиента была проведена какая-то нежелательная операция и добивается , чтобы доверчивый клиент совершил нужные ему действия, например назвал какой-то код. Пока случаев такого мошенничества гораздо больше, нежели тех, которые связаны с использованием украденных у банка номеров банковских карт.
- Может ли клиент, данные карты которого оказались в интернете, подать в суд на банк?
- Следует понимать, что ваша карта на самом деле принадлежит не вам, а банку, а вы просто пользуетесь его собственностью. Поэтому думаю, что иск из-за того, что кто-то посторонний увидел данные самой карты, будет невозможен. А вот если из-за этой утечки с использованием карты была проведена какая-то операция, уже вполне можно подавать в суд. В таких ситуациях банки, особенно если они виноваты, как правило, идут навстречу клиенту и сами возмещают убытки, не доводя дело до суда. Но это не касается случаев, когда вы сами передали жуликам свою личную информацию.
- Есть ли отличия в работе систем информационной безопасности российских банков и банков в ЕС?
- В европейских и российских банках действуют примерно одинаковые стандарты в области безопасности и управления рисками. Так что уровень защищенности российских банков примерно тот же, что и в Европе. Хотя многое зависит от самого банка. Чем крупнее банк, тем больше он инвестирует в развитие системы безопасности. Именно поэтому мне кажется столь невероятной новость о том, что в Сбербанке были утеряны данные 60 млн карт.
- То есть, по вашему мнению, кто-то хотел скомпрометировать Сбербанк, распространив о нем заведомо ложную информацию? Кому могло быть это выгодно?
- Возможно, самим журналистам, гоняющимся за красивыми, "жареными" новостями (смеется. - Ред.). Если бы это был какой-то другой банк, то это можно было бы списать на конкурентную борьбу. Однако Сбербанк у нас находится вне конкуренции, поэтому такое предположение кажется маловероятным.
Автор: Елена Гункель
https://p.dw.com/p/3QgeM