«Хитом» банковского сезона-2019 стали телефонные мошенники, похищающие средства с банковских карт. Почему к этим преступлениям оказались не готовы ни жертвы, ни службы безопасности банков, ни полиция?
В июне 2013 года 65-летней английской пенсионерке Дженни Паркинсон позвонил мужчина и представился сотрудником службы безопасности торговой сети Tesco. Он сообщил, что ее банковская карта может быть использована мошенниками. Дама забеспокоилась и рассказала, что счет у нее в банке Santander, мужчина на той стороне линии рекомендовал ей срочно позвонить туда. Как показал впоследствии анализ телефонных соединений, собеседник остался на линии, сеанс не прервался. Когда мисс Паркинсон набрала новый номер и, как ей казалось, позвонила в Santander, она в реальности пообщалась с другим мошенником на том же телефоне. Тот дал ей два номера «защитных» счетов. Под чутким руководством собеседника пенсионерка перевела туда 68 тыс. фунтов сбережений. Расследование показало, что деньги ушли на счета банка Barclays и потом были сняты.
Волна телефонного мошенничества накрыла Великобританию в 2013—2015 годах. Преступники в разговоре по телефону убеждали жертву раскрыть данные, позволяющие получить доступ к счету, или просто перевести деньги на нужный счет. Такое преступление относят к социальной инженерии — группе обманных приемов, заставляющих пользователя выполнять действия, которые могут нанести ему ущерб.
Казалось бы, человек разумный не может стать жертвой такого преступления. Но задачей преступников как раз является поиск слабого звена. Жертвами становятся внушаемые люди, теряющие контроль над ситуацией во время стресса (основная тактика мошенников — запугивание) и недостаточно хорошо понимающие смысл процедур аутентификации и вообще работы банков.
Представитель Службы финансового омбудсмена говорил журналистам в 2015 году, что 80% жертв — люди старше 50 лет. При этом подозрительные звонки, по данным Financial Fraud Action, организации, которая координирует действия по предотвращению финансовых мошенничеств, получили в тот год почти четверть (23%) взрослых британцев.
Дозвонились до России
Глобализация приводит к быстрому распространению не только новых технологий, но и новых видов преступлений. Всплеск «социального» мошенничества в России можно подтвердить лишь косвенно — на это указывают скачок частоты публикаций о них в соцсетях и СМИ, число преступных попыток (одному из авторов этих строк, например, мошенники тоже звонили), предупреждения полицейских сводок и тот факт, что проблемой уже озаботился регулятор.
Ловить мошенников — это, конечно, не задача банкиров. Но и полиция пока явно не готова выполнять эту задачу. «Поймать преступников удается нечасто, — говорит Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-Банка. — Правоохранительным органам не очень нравятся подобные дела, потому что все происходит в электронной среде, на другом конце мошенников выявить сложно. Это предполагает достаточно серьезный комплекс мероприятий, причем высокотехнологичных. Надо понять, кто звонил, как деньги выводили, где выводили. Брать такие дела, очевидно, не очень интересно, потому что это грозит очередным «висяком».
МВД, однако, ищет способы решения проблемы. Куратор ФинЦЕРТ ЦБ Артем Сычев, выступая на конференции «Информационная безопасность финансовой сферы», сказал, что правоохранители понимают: проблема существует, и интенсивно начали заниматься ее решением. «Есть специальные подразделения, техники работы с этим видом преступления, есть задержанные, и я надеюсь, что в ближайшее время будут вполне конкретные судебные процессы с реальными сроками», — сказал Сычев.
В базе судебных актов Право.ру за 2019 год есть всего два дела, связанных с подобными мошенническими действиями. В феврале Мысковский городской суд (Кемеровская область) приговорил гражданина Хлыстова В. А. к двум годам лишения свободы. В деле есть несколько эпизодов, когда Хлыстов убеждал потерпевших, что путем нехитрых манипуляций с банкоматом Сбербанка они получат деньги за продаваемые ими предметы мебели. На самом деле они переводили ему эти суммы на счет мобильного телефона. В июне 2019 года Арский народный суд (Татарстан) приговорил гражданина Хабибуллина к двум годам двум месяцам лишения свободы. Подсудимый, находясь в колонии, уговорил потерпевшего Ибатуллина продиктовать ему данные своей банковской карты, чтобы Хабибуллин якобы смог перечислить ему деньги за аренду отбойного молотка.
Разошлись в вопросах блокировки
Сейчас у банков практически нет законной возможности остановить перевод мошеннику, даже если его жертва сообщила о своей ошибке в считаные минуты. Банк-получатель заблокировать сумму, которая уже поступила на счет его клиента, не может по Гражданскому кодексу. В теории банк может остановить перечисление средств, если они еще находятся на корреспондентском счете, но не отдебетованы на конечный счет получателя. В таком случае банк-отправитель, узнавший от своего клиента о мошенничестве, подает запрос на приостановку платежа через ФинЦЕРТ, но последний не всегда может среагировать оперативно из-за большого количества обрабатываемой информации.
«Сейчас банки — получатели платежей, явно видя мошенничество, не могут его остановить. Подобный механизм есть в 115-ФЗ и ПОД/ФТ. Можно было бы этот механизм распространить и на мошенничество», — считает начальник управления противодействия электронному мошенничеству и угрозам информационной безопасности Росбанка Николай Перемышленников.
В конце августа в СМИ появилась информация, что Ассоциация банков России предложила блокировать счета предполагаемого мошенника на срок до 30 дней при сомнительной операции. Однако, по словам Алексея Голенищева, идею неверно интерпретировали, и на самом деле обсуждается лишь холдирование суммы сомнительной трансакции, а не всех средств.
«Блокировать все счета, все средства получателя подозрительного перевода незаконно. Они могут не иметь отношения к данному переводу, который оспаривается», — отмечает Алексей Голенищев.
В Сбербанке считают полезной инициативу ввести юридические основания для остановки операции при подозрении на мошенничество. В кредитной организации подчеркивают, что пострадавшему нужно дать возможность вернуть средства, а банку — понятные правила работы с похищенными деньгами.
Идентификация уперлась в потолок
Возможно, защитить клиента от так называемых социальных инженеров могли бы усложненные процедуры идентификации. Однако банки большого смысла в этом не видят. «Ведь, когда клиент сам отключает все средства защиты банка, он остается с социальными инженерами один на один и часто поддается на их уловки», — отмечают в Сбербанке.
Технологий усиленной идентификации сегодня существует множество: от дополнительных кодов до биометрии. «Однако выбор их применения должен строиться исходя из ситуации: насколько нехарактерная операция сейчас проводится клиентом, каковы оценки его поведения на странице или в приложении, есть ли маркеры использования вредоносного ПО или удаленного управления», — поясняет начальник отдела по противодействию мошенничеству центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов. Усложнение технологий идентификации, по его словам, приведет к «тяжелым» и медленным процедурам.
Антифрод vs социальные инженеры
Современные антифрод-системы способны отследить некоторые виды атак с использованием социальной инженерии. Например, тот случай, когда мошенник выведывает банковские реквизиты жертвы по телефону и затем регистрируется от его имени в интернет-банке на стороннем устройстве. «Новая сессия с нового устройства при новой геолокации на территории России — безусловно, настораживающий сигнал», — отмечает руководитель направления Kaspersky fraud Prevention Максим Федюшкин.
Однако наиболее распространены схемы, когда перевод осуществляется с устройства и руками самой жертвы под руководством мошенника. Злоумышленник может убедить клиента скачать на свое устройство программу удаленного управления, например TeamViewer. «Только на некоторых участках работы сессии непосредственно участвует мошенник: что-то кликает, вводит номер счета, на который он хочет получить деньги. Часть действий делает пользователь, часть — мошенник. Отличить одно от другого достаточно сложно», — рассказывает глава направления Secure Bank в Group-IB Павел Крылов. И в таком случае трансакционные антифрод-системы бесполезны, здесь более эффективен поведенческий сессионный анализ, указывает он.
Новейшие технологии сессионного антифрода позволяют отслеживать все, что делает пользователь: как он печатает, какие комбинации клавиш использует и как водит мышкой, в какой руке держит телефон, с какой силой и в какие части элементов нажимает. «Система не собирает информацию о том, что ввел пользователь, только метаинформацию о том, как он это делал», — уточняет Павел Крылов. Эти данные позволяют создать «профиль» клиента с его привычками работы в приложении и интернет-банке.
Определить подозрительное поведение жертвы можно, даже если все действия клиент совершает самостоятельно, утверждает Алексей Голенищев. «Социальные мошенники давят на жертву, действия клиента будут отличаться от обычной практики. Например, он не под тем углом держит телефон», — объясняет он. Правда, оговаривается эксперт, таких систем, реально работающих, единицы.
Какой бы продвинутой ни была антифрод-система, она не может на 100% защитить пользователя, в этом сходятся большинство экспертов по информационной безопасности. Решать проблему нужно комплексно: повышать финансовую грамотность населения, организовать массовую кампанию по информированию о мошенничестве, наладить взаимодействие между банками, операторами мобильной связи и регулятором и активизировать мероприятия по поиску и поимке мошенников.
Сергей КАШИН, Евгения ОГУРЦОВА, Banki.ru