сентября
«Хитом» банковского сезона-2019 стали телефонные мошенники, похищающие средства с банковских карт. Почему к этим преступлениям оказались не готовы ни жертвы, ни службы безопасности банков, ни полиция?
В июне 2013 года 65-летней английской пенсионерке Дженни Паркинсон позвонил мужчина и представился сотрудником службы безопасности торговой сети Tesco. Он сообщил, что ее банковская карта может быть использована мошенниками. Дама забеспокоилась и рассказала, что счет у нее в банке Santander, мужчина на той стороне линии рекомендовал ей срочно позвонить туда. Как показал впоследствии анализ телефонных соединений, собеседник остался на линии, сеанс не прервался. Когда мисс Паркинсон набрала новый номер и, как ей казалось, позвонила в Santander, она в реальности пообщалась с другим мошенником на том же телефоне. Тот дал ей два номера «защитных» счетов. Под чутким руководством собеседника пенсионерка перевела туда 68 тыс. фунтов сбережений. Расследование показало, что деньги ушли на счета банка Barclays и потом были сняты.
Волна телефонного мошенничества накрыла Великобританию в 2013—2015 годах. Преступники в разговоре по телефону убеждали жертву раскрыть данные, позволяющие получить доступ к счету, или просто перевести деньги на нужный счет. Такое преступление относят к социальной инженерии — группе обманных приемов, заставляющих пользователя выполнять действия, которые могут нанести ему ущерб.
Действуем по программе
23-летней жительнице города Пыть-Яха позвонила неизвестная и, представившись сотрудником Сбербанка, сообщила о попытке подозрительного перевода денежных средств во Владивосток. Операция якобы была приостановила, а звонок преследовал цель предупредить клиентку о раскрытии ее персональных данных. В ходе разговора девушка сообщила звонившей о наличии у нее еще одной карты — банка «Открытие». Через некоторое время «сотрудник» этого банка связался с ней. В целях безопасности неизвестный порекомендовал установить специальную программу. Девушка, пользуясь инструкциями собеседника, установила на своем телефоне приложение совместного доступа TeamViewer и предоставила данные, которые позволили мошеннику получить доступ к сотовому телефону. Итог — потеря 250 тыс. рублей.
Казалось бы, человек разумный не может стать жертвой такого преступления. Но задачей преступников как раз является поиск слабого звена. Жертвами становятся внушаемые люди, теряющие контроль над ситуацией во время стресса (основная тактика мошенников — запугивание) и недостаточно хорошо понимающие смысл процедур аутентификации и вообще работы банков.
Представитель Службы финансового омбудсмена говорил журналистам в 2015 году, что 80% жертв — люди старше 50 лет. При этом подозрительные звонки, по данным Financial Fraud Action, организации, которая координирует действия по предотвращению финансовых мошенничеств, получили в тот год почти четверть (23%) взрослых британцев.
Дозвонились до России
Глобализация приводит к быстрому распространению не только новых технологий, но и новых видов преступлений. Всплеск «социального» мошенничества в России можно подтвердить лишь косвенно — на это указывают скачок частоты публикаций о них в соцсетях и СМИ, число преступных попыток (одному из авторов этих строк, например, мошенники тоже звонили), предупреждения полицейских сводок и тот факт, что проблемой уже озаботился регулятор.
Ловить мошенников — это, конечно, не задача банкиров. Но и полиция пока явно не готова выполнять эту задачу. «Поймать преступников удается нечасто, — говорит Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-Банка. — Правоохранительным органам не очень нравятся подобные дела, потому что все происходит в электронной среде, на другом конце мошенников выявить сложно. Это предполагает достаточно серьезный комплекс мероприятий, причем высокотехнологичных. Надо понять, кто звонил, как деньги выводили, где выводили. Брать такие дела, очевидно, не очень интересно, потому что это грозит очередным «висяком».
Деньги любят счет
В дежурную часть отдела полиции "Япеева" в Казани обратилась 42-летняя местная жительница с заявлением по факту хищения с ее банковской карты денежных средств в размере 110 тыс. рублей. Женщина рассказала о звонке неизвестного, представившегося сотрудником банка. Он сообщил, что был осуществлен несанкционированный доступ в ее мобильный банк, а для предотвращения списания средств ей необходимо перевести средства на резервный счет. Пользуясь его инструкциями, пострадавшая перевела деньги на указанный счет. Напомним, что точно такой же способ был использован и против английской пенсионерки. В этом случае мошенникам даже не надо узнавать данные банковской карты.
МВД, однако, ищет способы решения проблемы. Куратор ФинЦЕРТ ЦБ Артем Сычев, выступая на конференции «Информационная безопасность финансовой сферы», сказал, что правоохранители понимают: проблема существует, и интенсивно начали заниматься ее решением. «Есть специальные подразделения, техники работы с этим видом преступления, есть задержанные, и я надеюсь, что в ближайшее время будут вполне конкретные судебные процессы с реальными сроками», — сказал Сычев.
В базе судебных актов Право.ру за 2019 год есть всего два дела, связанных с подобными мошенническими действиями. В феврале Мысковский городской суд (Кемеровская область) приговорил гражданина Хлыстова В. А. к двум годам лишения свободы. В деле есть несколько эпизодов, когда Хлыстов убеждал потерпевших, что путем нехитрых манипуляций с банкоматом Сбербанка они получат деньги за продаваемые ими предметы мебели. На самом деле они переводили ему эти суммы на счет мобильного телефона. В июне 2019 года Арский народный суд (Татарстан) приговорил гражданина Хабибуллина к двум годам двум месяцам лишения свободы. Подсудимый, находясь в колонии, уговорил потерпевшего Ибатуллина продиктовать ему данные своей банковской карты, чтобы Хабибуллин якобы смог перечислить ему деньги за аренду отбойного молотка.
Как ловят социальных инженеров за рубежом
Дальше всех, похоже, в деле борьбы с телефонными мошенниками продвинулась Великобритания. Здесь еще в 2002 году было создано специализированное подразделение по борьбе с финансовыми преступлениями (Dedicated Card and Payment Crime Unit), в 2017 году оно, по собственным оценкам, предотвратило потерю каждых 2 из 3 фунтов, на которые покушались мошенники. Общая сумма сохраненного с 2002 по 2018 год — более 500 млн фунтов. К сожалению, британская статистика не выделяет телефонных мошенников. Как впрочем, этого не делают и в США. По данным The FBI’s Internet Crime Complaint Centre, в 2018 году 26 379 человек потеряли от действий мошенников, использовавших методы социальной инженерии, 48,2 млн долларов. Но какие из этих хищений были организованы с помощью фишинговых сайтов, а какие — с помощью телефонных звонков, неизвестно. Интересно, что специализированное британское подразделение спонсируется вполне официально финансовыми компаниями, заинтересованными в раскрытии такого рода преступлений. В марте 2018 года для ускорения реакции на совершение преступлений стал действовать так называемый The Banking Protocol. Это схема быстрого реагирования полиции конкретно на этот вид преступлений, когда следственные действия начинаются без формальностей по звонку специально обученных взаимодействию с полицией представителей в банках.
Разошлись в вопросах блокировки
Сейчас у банков практически нет законной возможности остановить перевод мошеннику, даже если его жертва сообщила о своей ошибке в считаные минуты. Банк-получатель заблокировать сумму, которая уже поступила на счет его клиента, не может по Гражданскому кодексу. В теории банк может остановить перечисление средств, если они еще находятся на корреспондентском счете, но не отдебетованы на конечный счет получателя. В таком случае банк-отправитель, узнавший от своего клиента о мошенничестве, подает запрос на приостановку платежа через ФинЦЕРТ, но последний не всегда может среагировать оперативно из-за большого количества обрабатываемой информации.
«Сейчас банки — получатели платежей, явно видя мошенничество, не могут его остановить. Подобный механизм есть в 115-ФЗ и ПОД/ФТ. Можно было бы этот механизм распространить и на мошенничество», — считает начальник управления противодействия электронному мошенничеству и угрозам информационной безопасности Росбанка Николай Перемышленников.
Код Шрёдингера
52-летней жительнице Бежицкого района Брянской области позвонил мужчина, который заявил, что из-за ошибки в системе ее счет оказался заблокирован. Добавил, что нужно как можно быстрее ввести «код разблокировки», иначе процесс станет необратимым и она долгое время не сможет воспользоваться своими деньгами. Напуганная женщина передала псевдоспециалисту данные карты и пришедший в СМС-сообщении код. Счет был обнулен, пропали почти 50 тыс. рублей.
В конце августа в СМИ появилась информация, что Ассоциация банков России предложила блокировать счета предполагаемого мошенника на срок до 30 дней при сомнительной операции. Однако, по словам Алексея Голенищева, идею неверно интерпретировали, и на самом деле обсуждается лишь холдирование суммы сомнительной трансакции, а не всех средств.
«Блокировать все счета, все средства получателя подозрительного перевода незаконно. Они могут не иметь отношения к данному переводу, который оспаривается», — отмечает Алексей Голенищев.
В Сбербанке считают полезной инициативу ввести юридические основания для остановки операции при подозрении на мошенничество. В кредитной организации подчеркивают, что пострадавшему нужно дать возможность вернуть средства, а банку — понятные правила работы с похищенными деньгами.
Идентификация уперлась в потолок
Возможно, защитить клиента от так называемых социальных инженеров могли бы усложненные процедуры идентификации. Однако банки большого смысла в этом не видят. «Ведь, когда клиент сам отключает все средства защиты банка, он остается с социальными инженерами один на один и часто поддается на их уловки», — отмечают в Сбербанке.
Почем коляски?
В Урванском районе Кабардино-Балкарии в полицию обратилась за помощью 44-летняя жительница города Нарткалы. За несколько дней до этого женщина разместила в Интернете объявление о продаже инвалидной коляски. В тот же день ей позвонил предполагаемый покупатель и, уточнив, что он не может перевести деньги на банковскую карту, попросил ее дойти до ближайшего банкомата. Оказавшись у терминала, женщина, следуя его инструкциям, набрала на клавиатуре продиктованную «покупателем» комбинацию цифр, после чего с ее счета исчезли почти 184 тыс. рублей.
Технологий усиленной идентификации сегодня существует множество: от дополнительных кодов до биометрии. «Однако выбор их применения должен строиться исходя из ситуации: насколько нехарактерная операция сейчас проводится клиентом, каковы оценки его поведения на странице или в приложении, есть ли маркеры использования вредоносного ПО или удаленного управления», — поясняет начальник отдела по противодействию мошенничеству центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов. Усложнение технологий идентификации, по его словам, приведет к «тяжелым» и медленным процедурам.
Антифрод vs социальные инженеры
Современные антифрод-системы способны отследить некоторые виды атак с использованием социальной инженерии. Например, тот случай, когда мошенник выведывает банковские реквизиты жертвы по телефону и затем регистрируется от его имени в интернет-банке на стороннем устройстве. «Новая сессия с нового устройства при новой геолокации на территории России — безусловно, настораживающий сигнал», — отмечает руководитель направления Kaspersky fraud Prevention Максим Федюшкин.
Однако наиболее распространены схемы, когда перевод осуществляется с устройства и руками самой жертвы под руководством мошенника. Злоумышленник может убедить клиента скачать на свое устройство программу удаленного управления, например TeamViewer. «Только на некоторых участках работы сессии непосредственно участвует мошенник: что-то кликает, вводит номер счета, на который он хочет получить деньги. Часть действий делает пользователь, часть — мошенник. Отличить одно от другого достаточно сложно», — рассказывает глава направления Secure Bank в Group-IB Павел Крылов. И в таком случае трансакционные антифрод-системы бесполезны, здесь более эффективен поведенческий сессионный анализ, указывает он.
Новейшие технологии сессионного антифрода позволяют отслеживать все, что делает пользователь: как он печатает, какие комбинации клавиш использует и как водит мышкой, в какой руке держит телефон, с какой силой и в какие части элементов нажимает. «Система не собирает информацию о том, что ввел пользователь, только метаинформацию о том, как он это делал», — уточняет Павел Крылов. Эти данные позволяют создать «профиль» клиента с его привычками работы в приложении и интернет-банке.
Определить подозрительное поведение жертвы можно, даже если все действия клиент совершает самостоятельно, утверждает Алексей Голенищев. «Социальные мошенники давят на жертву, действия клиента будут отличаться от обычной практики. Например, он не под тем углом держит телефон», — объясняет он. Правда, оговаривается эксперт, таких систем, реально работающих, единицы.
Какой бы продвинутой ни была антифрод-система, она не может на 100% защитить пользователя, в этом сходятся большинство экспертов по информационной безопасности. Решать проблему нужно комплексно: повышать финансовую грамотность населения, организовать массовую кампанию по информированию о мошенничестве, наладить взаимодействие между банками, операторами мобильной связи и регулятором и активизировать мероприятия по поиску и поимке мошенников.
