Мошенники используют новую схему для похищения денег с банковских карт граждан и организаций. Банк России собирается обязать кредитные организации получать предварительное согласие клиентов в режиме онлайн на проведение любой операции.
В России появился новый вид мошенничества, направленный на воровство сведений о банковских картах клиентов при помощи внешних интерактивных голосовых ответов (IVR). Обычно сервис IVR, представляющий собой запись голоса робота, применяется для ответа на входящие звонки для приветствия абонентов ("Спасибо за звонок в нашу компанию. Если Вы знаете внутренний номер сотрудника, наберите номер прямо сейчас"). Однако мошенники начали использовать IVR для исходящих звонков. Клиентам банков звонят не сами злоумышленники, а запрограммированные роботы. Они узнают необходимую информацию о банковских картах и счетах - CVV- и PIN-коды, логины и пароли для входа в интернет-банк. Об этом газете "Известия" рассказали в компании Zecurion, которая специализируется на вопросах безопасности дистанционного банковского обслуживания.
Новая мошенническая схема достаточно специфична, но эффективна. Жертвы мало знают о том, что роботы могут звонить. Сталкиваясь с нестандартной ситуацией, банковские клиенты теряются - это первое, что нужно злоумышленникам. Дальше обрабатывать человека гораздо легче. Во-вторых, автоответчик вызывает доверие: в представлении людей подобные системы используют крупные компании; также робот не обладает интеллектом, чтобы обманывать. Но при этом граждане, которые становятся мишенью мошенников, забывают, что настраивают систему живые люди.
С апреля 2015 года по апрель 2016 года от этой схемы успели пострадать многие россияне. С их банковских карт было похищено около 6 млн рублей. Эксперты ожидают, что такая схема будет набирать обороты, и по итогам 2016 года объем похищенных средств с помощью роботов денежных средств может вырасти на 40-50%.
Для защиты от мошеннических действий с электронными платежами и переводами Центробанк РФ давно собирается ужесточить требования к безопасности в работе банков. О таких планах финансового регулятора еще в конце 2015 года рассказывал на на форуме Finnopolis 2015 заместитель начальника главного управления безопасности и защиты информации ЦБ Артем Сычев.
Мы внесем изменения в положение 382-П, чтобы сделать обязательным принцип разделения контуров, где формируется платежное поручение и где оно подтверждается. Чтобы у мошенников не было возможности, захватив один канал, завершить трансакцию.
Таким образом, банки будут обязаны получать согласие клиентов с помощью специального кода. В настоящее время многие банки именно так работают по системе интернет-банкинга с клиентами-физлицами. У корпоративных клиентов, как правило есть специальные средства защиты, представляющие собой сложную систему электронных ключей. Однако нововведение затронет как граждан, так и организации. И если для большинства граждан, по сути ничего не поменяется, то юридическим лицам придется совершать дополнительные действия, чтобы подтвердить платежи.
По словам представителя Центробанка, регулятор не будет навязывать банкам каких-либо готовых решений проблемы. Он собирается только обозначить новые требования и разработать технологическое обеспечение. Способ выполнения таких требований банки будут выбирать самостоятельно. Существует немало средств позволяющих наладить обмен информацией с клиентом в момент совершения платежа в онлайн-режиме. Наиболее простой и дешевый из них - SMS-сообщения.
Но и на такой способ банкам придется потратить немало денег. По подсчетам банкиров, для каждой кредитной организации новые требования обойдутся минимум в несколько десятков тысяч долларов. Однако необходимость таких трат признают и сами банкиры. Так, недавно Центробанк предупреждал о том, что стали появляться случаи мошенничества не только в отношении клиентов банков, но и в отношении самих кредитных организаций. За август 2015 года FinCERT (Центр мониторинга и реагирования на киберугрозы в финансовой сфере) разбирал три серьезных случая кибератак, и все они оказались атаками исключительно на банки. Подобные атаки могут стать для некоторых кредитных учреждений фатальными, поскольку объемы хищений кибер-мошенников могут превышать половину дневного оборота банка.
Страдают от мошенников и крупные корпоративные клиенты. За 2014 год Центробанком зафиксировано почти 5 тысяч попыток несанкционированного доступа через ДБО на общую сумму 1,64 млрд рублей. 80% этих попыток оказались успешными и клиенты банков потеряли в результате этого 700 млн рублей. Примечательно, что эти цифры могут не отражать всей картины, поскольку банки предпочитают не информировать о таких ситуациях ЦБ РФ и решать проблемы своими силами.
Сейчас участились случаи совершения мошеннических действий в отношении клиентов крупных банков — пользователей систем дистанционного банковского обслуживания, это касается как физических, так и юрлиц.
Таким образом, при росте мошенничества с электронными платежами на 40-60% в год, меры по пресечению таких действий очевидно необходимы. Однако насколько эффективными окажутся старания финансового регулятора обеспечить информированность клиентов о совершаемых платежах, сказать пока сложно. Эксперты уверены, что это даст только кратковременный эффект.
Может пригодиться:
