— Cогласно данным Банка России, в прошлом году количество хищений с карт населения сократилось. В 2016 году тренд сохранился?
- Сейчас наблюдается некоторое затишье, количество покушений на средства граждан немного сократилось. Связано это с несколькими факторами. Во-первых, с сезонным: летом и в начале осени мошенники традиционно менее активны.
Во-вторых, раньше злоумышленниками применялся такой вид мошенничества, как скимминг. Это вид мошенничества, при котором на банкоматы или терминалы устанавливается специальное техническое устройство, которое считывает информацию о банковской карте, что в дальнейшем позволяет преступникам снять с нее деньги.
Однако после того как в силу вступило требование Банка России о запрете выпуска платежных карт без чипа, количество мошенничеств такого плана резко сократилось.
Кроме того, появление в УК РФ отдельной статьи, устанавливающей уголовное наказание за скимминг, привело к тому, что желающих «полакомиться» таким легким способом стало существенно меньше. Кроме того, в начале года правоохранительными органами был задержан ряд злоумышленников, что в результате привело к снижению активности преступников.
— На что сейчас мошенники стали переключаться?
— Активность злоумышленников сейчас в большей степени направлена на корреспондентские счета банков (счет, по которому проводятся операции между кредитными организациями. — «МК»). За последний квартал 2015-го и I квартал 2016 года потери банков превысили 2 млрд рублей. Еще около 1,5 млрд рублей правоохранительным органам при содействии Банка России удалось спасти, кибератаки были пресечены. Для того чтобы взломать информационную систему банка, хакеры запускают вредоносное программное обеспечение. С его помощью они узнают информацию обо всех операциях, которые проводит кредитная организация. В частности, заполучают ключи электронной подписи, с помощью которых формируются фальшивые документы о списании средств с корсчета. После этого средства обналичиваются.
— Почему злоумышленники поменяли свои приоритеты?
— Для того чтобы получить хороший куш, мошенникам необходимо прилагать значительные усилия, а их задача — затратить меньше, а получить больше. Сумма, которую они могут «заработать» при атаке на банк, больше, чем если бы они ограбили физическое или юридическое лицо. При этом стоимость атаки будет ниже. Так, например, только вредоносное программное обеспечение стоит до 50 тыс. долларов за программу. Однако это не повод расслабляться гражданам, потому что мошенники периодически придумывают что-то новое и, как правило, активизируются ближе к концу года.
— Почему именно к концу года?
— Дело в том, что в основе атак на счета кредитных организаций или счета граждан лежит стремление преступного сообщества к личному обогащению. Естественно, что это обогащение также имеет сезонность: мошенникам тоже хочется подарков к Новому году… Кроме того, к этому времени количество работ всегда возрастает, и внимание как сотрудников банков, так и их клиентов ослабевает. Другими словами, это золотое время для злоумышленников.
— Кто входит в состав преступных группировок?
— Разрабатывают вредоносные программы, как правило, уроженцы России, Украины, Китая, Индии. География киберпреступности — трансграничная. В состав преступной группировки могут входить граждане разных государств, находящиеся на территории разных стран. Нередко это граждане бывших республик СССР, которые сейчас проживают за границей. Это, собственно, и затрудняет работу правоохранительных органов по оперативному задержанию киберпреступников.
— Какие способы хищения средств у населения распространены среди злоумышленников?
— Классическая схема обмана, когда человеку приходит смс-сообщение, в котором говорится: «Ваша карта заблокирована! Служба безопасности Банка России». Тут же указан номер телефона, по которому предлагают позвонить. Надо понимать, что Банк России не является банком в классическом понимании этого слова: он осуществляет надзор и регулирование на финансовом рынке и не работает напрямую с физическими лицами, не рассылает подобного рода смс. В случае получения такого сообщения нельзя звонить по номеру, указанному в нем: подобные смс направлены как раз на то, чтобы человек позвонил по нему. Дальше преступник начинает использовать схемы вербального воздействия на человека, чтобы вынудить его подойти к банкомату и совершить операцию. Имейте в виду, что если жертва проводит транзакции самостоятельно, то банк деньги ей не вернет! В данной ситуации есть только один вариант — написать заявление в полицию, которая, может быть, найдет злоумышленников.
Как правило, такие смс-рассылки носят массовый характер и совершаются лицами, которые находятся в местах лишения свободы. Формально им предъявить претензии крайне сложно. Причем жертвами таких преступников становятся незащищенные слои населения: пенсионеры, люди с низким достатком… Важно, чтобы взрослые дети объяснили своим пожилым родителям, что не стоит идти на поводу у мошенников. Если у вас возникают какие-то вопросы относительно состояния вашего счета или карты, позвоните по номеру телефона вашего банка, который указан на оборотной стороне карты, и задайте их.
— А какие сейчас новые схемы мошенничества существуют?
— Сейчас распространена ситуация, когда злоумышленники стремятся получить доступ к устройству жертвы — компьютеру, мобильному телефону, планшету, «умному» телевизору и т.д. — и завладеть его управлением. Для этого рассылается вредоносное программное обеспечение на электронные адреса граждан либо используются ссылки на вредоносные ресурсы. Преступники также активно используют социальные сети для рассылки вредоносного программного обеспечения и ссылок.
— Как в такой ситуации людям защитить свои средства?
- При работе с планшетами, смартфонами и другими устройствами нужно придерживаться «правил электронной гигиены». То есть не нужно скачивать игры и программы неизвестных производителей с неизвестных ресурсов.
Не стоит также бездумно переходить по рекламным ссылкам. Нарушая эти правила, вы рискуете скачать вредоносное программное обеспечение и в результате потерять деньги. Нужно соблюдать элементарные нормы безопасности: скачивать программы только официальных производителей, устанавливать антивирусы, не заходить на сайты с сомнительным содержанием…
— Как Банк России намерен дальше противодействовать кибермошенничеству?
- Для того чтобы выстроить систему противодействия мошенническим операциям, были предложены поправки в ряд законов. В частности, планируется законодательно утвердить нормы, которые позволят банкам приостанавливать транзакции в том случае, если возникают подозрения, что они осуществляются без ведома владельца денег.
Кроме того, планируется существенно ужесточить наказания за киберпреступления — увеличить максимальный срок лишения свободы. Сейчас эти правки прошли стадию общественных обсуждений, получили одобрение в федеральных ведомствах, и в эту осеннюю сессию будут внесены на рассмотрение в Государственную думу.
Кроме этого, в структуре Банка России более года работает Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере — FinCERT. Это подразделение собирает, анализирует данные о кибератаках на российские банки, формирует для банков бюллетени с рекомендациями по тому, как избежать атак.
Уже сейчас более 300 банков и других финансовых организаций делятся информацией о кибератаках с этим подразделением. Кредитные организации понимают, что очень важно знать, через кого деньги выводятся. Имея возможность оперативного обмена, банки могут приостанавливать платежи, которые являются нелегитимными.
— Как законодательные новации отразятся на владельцах банковских карт?
- Смысл этих новаций как раз и заключается в том, чтобы сохранить деньги на банковских картах людей. Конечно, это при определенных обстоятельствах может привести к некоторой задержке при прохождении платежа. Но на одной чаше весов — сохранность средств гражданина, на другой — время прохождения платежа. Первое, на мой взгляд, гораздо важнее, и думаю, что большинство граждан со мной согласятся.
Возврат денег, которые были выведены со счета, может являться проблемой и для банка, и для клиента. Причем, как ни странно, чаще всего виноват сам клиент, не соблюдающий элементарных правил безопасности. Как показывает практика, граждане самостоятельно передают данные своих карт мошенникам — опять же позвонив по телефону, указанному в смс-сообщении. Еще одна распространенная ошибка наших соотечественников — это хранить информацию о карте (ПИН-код) вместе с картой…
— По каким критериям банки будут причислять ту или иную операцию к несанкционированной?
- Для начала давайте дадим определение несанкционированной транзакции. Это операция, которая была совершена по карте не только без согласия ее держателя, но и без его участия. Сам же законопроект предусматривает двухуровневую схему признания транзакции несанкционированной. Базовые правила формулирует Банк России. Но при их разработке он, безусловно, опирается на опыт кредитных организаций.
Второй уровень формируют каждый банк и каждый оператор по переводу средств самостоятельно, исходя из классического поведения своего клиента. Например, если держатель карты на протяжении долгого времени совершает платежи в пользу определенного лица, но вдруг, оказавшись за границей, начинает переводить деньги на счет юридического лица в совершенно другом регионе России — такая ситуация должна насторожить банк, и он должен получить подтверждении операции.
— Каким способом кредитные организации будут подтверждать операции?
— Решение остается за каждым конкретным банком. Вариантов много: звонок по телефону, смс-сообщение, через электронную почту и так далее.
— Станут ли банки за такую услугу взимать со своих клиентов дополнительную комиссию?
— Нет, дополнительные деньги за это банки брать не должны. Впрочем, даже если в конце концов вы за это удобство заплатите 10 рублей, то сравните с теми деньгами, которые вы сохраните. Соотнесите уровень риска с тем, что вы можете потерять. Проще говоря, наши соотечественники должны понять, что не только банки должны нести ответственность за сохранность денег, но и сами их владельцы.