Банк России вступился за пострадавших от «социальной инженерии»

Технологии

Банк России вступился за пострадавших от «социальной инженерии»

Уверенность банковского клиента в том, что любые похищенные средства будут возвращены, имеет и оборотную сторону.

У россиян, счета которых опустошили мошенники, появилась надежда вернуть похищенное быстро и просто. Их убытки возместит банк. Но только лишь в случае, если он не выполнил определенные рекомендации ЦБ РФ. С такой инициативой выступил мегарегулятор. Правда, вступит ли она в действие и когда — пока неизвестно.

К настоящему времени, кажется, не осталось ни одного россиянина, который не столкнулся бы с «социальными инженерами» — кибермошенниками, использующими психологические и социологические методы и технологии для получения конфиденциальной информации у своих потенциальных жертв. И если одним удалось «выйти сухими из воды», проигнорировав все их уловки, то другие не только потеряли все накопления со своих банковских счетов, но и залезли в кредитные долги, порой непомерные, средства которых перевели на счета вымогателей.

По данным Банка России, за весь 2019 г. мошенники совершили более 570 тыс. незаконных операций по банковским счетам россиян, похитив 5,7 млрд руб. В течение первых 9-ти месяцев 2021 г. клиенты российских банков потеряли от действий кибер-злоумышленников сумму в 9 млрд руб. Для сравнения – за аналогичный период годом ранее эта сумма была в 1,3 раза меньше. Только в III квартале 2021 г. число операций, проведенных без согласия клиента, увеличилось на 40% и достигло 256 тыс., а их объем превысил 3,2 млрд рублей.

Как считают эксперты, в большинстве всех этих случаев жертвы добровольно сообщали мошенникам данные своих банковских карт и коды доступа к системам онлайн-банкинга. И это неудивительно. Злоумышленники умело манипулируют людьми, представляясь сотрудниками банков, компаний-производителей ПО, организаторов розыгрышей призов и лотереи, представителями закона, ФНС и самого ЦБ РФ. Потенциальных жертв обманывают, запугивают, предлагают участие в неких «следственных действиях по поимке банковских мошенников», заставляют установить вредоносное ПО на свои гаджеты или пройти по вредоносным ссылкам, обещая что-то из актуальной повестки – от повышенной ставки по депозиту или дефицитного лекарства от COVID-19, до угрозы заблокировать банковскую карту. Все эти уловки, в конечном итоге, сводятся к одному – к выманиванию критичных данных, дающих доступ к банковскому счету.

Однако вернуть свои деньги, потерянные в результате атаки мошенников, удается лишь малой доле пострадавших. Рассчитывать на полный возврат может только тот клиент, который не нарушил условия договора — не передал злоумышленникам банковские сведения (СМС-код, номер платежной карты и др.), и чьи конфиденциальные данные были украдены не по его вине. Но таких – подавляющее меньшинство. Например, в третьем квартале 2021 г. доля средств, которые банки вернули пострадавшим, составила всего 7,7% от общей суммы похищенного. И это почти в два раза меньше, чем в 2020 г.

Проблема защиты потерпевших от атак кибер-злоумышленников волнует и Центробанк, и банковское сообщество. Доверие клиентов к банковской системе, и к системам дистанционного банковского обслуживания, на фоне и без того непростых пандемийных времен, падает. Участники кредитно-финансового сектора, как и сам мегарегулятор, разрабатывают инициативы, которые позволили бы в той или иной степени защитить вкладчиков.

Например, в прошедшем 2021 г. ЦБ РФ выступил с инициативой — установить размер суммы, которую банк обязан возвратить клиенту, пострадавшему от мошенников. Речь шла о физических лицах, а означенную сумму, размер которой должен был определить мегарегулятор, предлагалось возвращать в упрощенном порядке.

В письмах от имени главы департамента информационной безопасности ЦБ РФ Вадима Уварова, на которые ссылаются информированные СМИ, отмечается, что клиент, ставший жертвой кибер-жуликов, должен будет обратиться в свой банк с заявлением о мошенничестве в течение первых же суток после инцидента. Однако, какая сумма предусматривалась обязательной к возврату, так и не стало известным. Отмечалось лишь, что она «будет посчитана, исходя из целевого возврата денежных средств гражданам в среднем в 80–90% всех случаев социальной инженерии». Предполагалось также, что механизм возврата будет обязателен для всех участников отечественного кредитно-финансового сектора. Но тем банкам, в которых уровень защиты от хищений недостаточно высок, пришлось бы платить больше.

Еще в 2019 г., Ассоциация банков России разработала поправки в закон «О национальной платежной системе» и «антиотмывочный» закон. Они предполагали, что средства, поступившие на счет получателя в результате мошеннических действий (перевод, имеющий признаки мошеннического) или же по ошибке, банк сможет заблокировать в оперативном порядке на 30 дней. В случае, если банк получает подтверждение легитимности операции, то тотчас же может возобновить ее проведение. Затем с участниками рынка обсуждались уточнения – сокращение срока блокировки или ограничение суммы, которую можно заблокировать.

Но, как комментировал в СМИ вице-президент ассоциации Алексей Войлуков, департамент информбезопасности ЦБ РФ не поддержал эту инициативу, считая, что она требует серьезной доработки. Одна из причин – необходимость раскрывать персональные данные без согласия их владельца, что запрещено законом. Например, для того, чтобы подать заявление в правоохранительные органы, нужно знать, как зовут получателя мошеннического или ошибочно совершенного перевода и номер его банковского счета.

Другие называли эту идею бесперспективной. Как прокомментировал в СМИ глава Национального совета финансового рынка (НСФР) Андрей Емелин, приостановление операции без решения суда или госоргана на столь длительный срок породит очевидные риски убытков при ошибках, которые никто не будет покрывать, а позже научится использовать против конкурентов.

Инициатива, которая предусматривает ответные действия со стороны банков больше, чем в минуты, обречена на провал — средства, списанные со счета жертвы, сразу же многократно переводятся другим получателям, считает директор технического департамента RTM Group Федор Музалевский.

О последней инициативе рассказал директор департамента информационной безопасности ЦБ РФ Вадим Уваров в ходе Национального форума информационной безопасности «Инфофорум-2022». Мегарегулятор предложил возвращать жертвам мошенников всю сумму, похищенную у них с помощью методов социальной инженерии. Но есть одно условие – это произойдет только в том случае, если банк плательщика не учел рекомендаций регулятора в своих бизнес-процессах. Одна из таких рекомендаций — использование банком дополнительного параметра проверки. Например, цифрового кода, который установил клиент.

Пока инициатива обсуждается всеми заинтересованными сторонами. О предполагаемых сроках ее внедрения еще не известно. Ряд экспертов, отмечая необходимость изменений и готовность общества позитивно принять их, считает, что и здесь могут возникнуть проблемы.

Это идея долгожданна, заявил в СМИ директор Национального центра финансовой грамотности Андрей Федяев. Но, учитывая недостаточно высокий уровень финансовой грамотности соотечественников, единственный путь к сокращению числа подобных преступлений, который видится эксперту — изучение базовых правил взаимодействия с финансовой инфраструктурой.

Уверенность банковского клиента в том, что любые похищенные средства будут возвращены, имеет и оборотную сторону. Он должен обеспечить собственную безопасности в цифровом мире, но его внимательность теперь будет снижена, — считает эксперт Национального центра финансовой грамотности Елена Бобкова.

Источник

Оцените статью
Добавить комментарий