Безопасность ваших данных - под угрозой A− A= A+
Как уберечься от финансовых мошенников?
«Усы, лапы и хвост – вот мои документы», – гордо говорил кот Матроскин в популярном советском мультфильме. Когда-то это вызывало у зрителей здоровый смех. Сегодня, после начала массового сбора банками биометрии россиян, смеяться уже, пожалуй, и не над чем.
Зато все чаще звучат опасения – а не украдут ли эти данные и не окажутся ли они на черном рынке? Ведь потеря биометрических данных станет буквально катастрофой для человека. Тем более что статистика кражи «обычных» персональных данных и их использования мошенниками не дает повода для оптимизма.
В СМИ регулярно появляются сообщения о продаже больших баз персональных данных россиян, в том числе - данных банковских клиентов. Причем речь идет не о данных клиентов небольших частных банков, а крупнейших банков, в том числе находящихся под контролем государства. Подобные утечки данных допускали и Сбербанк, и ВТБ, и Альфа банк и многие другие. Очевидно, что речь идет не о нескольких случайных случаях, а о серьезной проблеме.
Посмотрим, какие данные нам сообщает сам Центробанк, департамент информационной безопасности которого ведет учет официально зарегистрированных компьютерных атак. Только за первое полугодие 2019 года специалисты регулятора обнаружили в открытом доступе 1,5 тысячи объявлений о продаже банковских баз данных. Последний отчет Центробанка за период с сентября 2018 по август 2019 года содержит немало любопытного.
Объем несанкционированных операций с использованием платежных карт российских банков в 2018 году составил 1,4 млрд. рублей, увеличившись на 40% в сравнении с 2017 и 2016 годами. Удельный вес таких операций в общем объеме операций с использованием платежных карт пока невелик – примерно 2 копейки на 1 тыс. рублей переводов. Но пострадавшим от мошенников от этого, конечно, не легче. В последние годы произошло смещение внимания преступников с мошенничеств с использованием банкоматов и терминалов к мошенничеству с использованием других систем дистанционного банковского обслуживания.
Важный канал утечки данных клиентов банков по мнению Центробанка - получение мошенниками доступа к сайтам интернет-магазинов или сайтам платных услуг, оплата которых производилась банковскими картами. При оформлении заказов клиенты сообщают о себе данные, достаточные для их дальнейшей идентификации мошенниками. Иногда номера банковских карт, использованных для оплаты, получают в результате скрытого встраивания в код сайтов магазинов компьютерного вируса, передающего данные взломщикам.
Еще один важный канал утечки данных клиентов - крупные торговые площадки, например, Авито. Данные платежных карт их участники обычно сообщают мошенникам в переписке или по телефону. Они сопоставляются с информацией из утекших ранее баз данных налогоплательщиков, владельцев автомобилей, недвижимости, а также с данными из социальных сетей.
Важный канал утечки данных – фишинговые домены, когда мошенниками создаются сайты, похожие на настоящие сайты компаний и банков. Все чаще используется заражение компьютеров и смартфонов пользователей вирусами с помощью рассылки писем с зараженными файлами, ссылками на зараженные сайты или через установку пиратских аналогов программ и приложений на компьютеры и смартфоны.
Недостающие для кражи денег сведения либо выясняются мошенником у самого клиента в процессе разговора с ним, либо разговор строится на имеющихся неполных данных.
В 2019 году в арсенале злоумышленников появился новый способ обмана жертв - технология подмены исходящего телефонного номера на номера колл-центров банков. Это позволяет мошенникам легко выдавать себя за сотрудников служб безопасности банков и под видом блокировки подозрительных транзакций совершать хищения средств своих жертв.
Повышение защищенности информационных систем банков привело к тому, что фокус внимания преступников сместился на атаки на клиентов банков. Специалисты Центробанка подчеркивают, что в 2018 году более 97% хищений со счетов физлиц и 39% хищений со счетов юрлиц было совершено с использованием приемов социальной инженерии. Для этого мошенникам достаточно владеть информацией о фамилии, имени и отчестве, а также о номере телефона своей жертвы. Обладая персональными данными, мошенники по заранее разработанным алгоритмам легко имитируют диалог с сотрудником банка или страховой компании.
Жертва поддается на обман, сообщая контрольные слова, коды подтверждений и другую информацию, предоставляющую мошенникам возможность вывести с подконтрольных клиенту счетов денежные средства. Но чтобы завершить платеж, мошенникам нужно получить CVC- и CVV-коды и одноразовый пароль для подтверждения операции. Мошенник пытается убедить жертву выдать эту информацию во время телефонного разговора с жертвой, создавая стрессовую ситуацию – причем не обязательно негативную, но и радостную, например, сообщая о выигрыше в конкурсе или в лотерею.
Например, по данным банка «Ак Барс», чаще всего жертвами мошенников становятся россияне старше 50 лет (60%) и от 18 до 50 лет (30%). Причем фокус смещается с россиян старшего возраста, которых проще обмануть, на россиян 25-40 лет из числа среднего класса, у которых на банковских счетах больше денег.
Самые популярные способы кражи денег частных клиентов банков – звонок от имени службы безопасности банка (56%) и звонок от фальшивого «покупателя» товара с сайтов объявлений (30%). На взлом соцсетей, фишинговые сайты и СМС-рассылки примерно поровну разделились оставшиеся 14% краж.
Для предотвращения хищения персональных данных клиентов у компаний – участников финансового рынка специалисты Центробанка выдвигают довольно жесткие требования к качеству систем защиты информации, обязательные для исполнения банками и финансовыми компаниями.
Беда в том, что в излишнем усилении защиты банковских операций не заинтересованы ни банки, ни сами клиенты. Усложнение проведения платежей через мобильный и интернет банк приведет к излишним затратам банка на доработку программного обеспечения, доказать необходимость которых руководству сотрудники банков не всегда в состоянии.
Более того! Если система защиты в одном банке станет более сложной и изощренной в сравнении с системами других банков, то это вызовет недовольство многих клиентов и их уход к банкам-конкурентам.
Суды в большинстве случаев встают на сторону банков, у которых и юристы лучше, и договоры на ДБО составлены тщательно. Главный аргумент банков в случае хищения средств с помощью социальной инженерии – жертва добровольно сообщила мошенникам свои секретные данные и таким образом по сути сама отдала им деньги, нарушив условия договора банковского обслуживания.
Надеяться на скорое изменение законодательства в пользу пострадавших от мошенников – дело, думаю, пустое. На внезапные успехи МВД в борьбе с высокотехнологичным воровством денег тоже надеяться не стоит. Искать таких мошенников очень трудно, найти удается редко, а сумма украденных денег в каждом отдельном случае сравнительно невелика. Карьеру на таких делах вряд ли построишь, а вот куча нераскрытых «висяков» радует мало кого из сотрудников МВД.
В такой ситуации клиентам банков и прочих компаний финрынка остается надеяться только на себя.
Важно помнить, что сотрудник банка никогда не станет сам вам звонить и требовать совершить какие-то подозрительные действия с банковской картой, банковскими счетами или самим смартфоном. Во всех случаях подобных звонков лучше сразу повесить трубку и набрать колл-центр банка по телефону, напечатанному на банковской карте. Повесить трубку и перезвонить по заранее сохраненному в памяти смартфона номеру следует и при поступлении подобных звонков не только из банка, но и из пенсионного фонда и любых других компаний финансового рынка, в которых вы являетесь клиентом.
При использовании интернет и мобильного банкинга нужно пользоваться только официальным сайтом банка и банковским приложением.
Если вашим компьютером или планшетом пользуются и другие члены семьи, например, ваши дети, то лучше выделить для управления банковскими операциями отдельный ноутбук или планшет, на которых не будут установлены никакие лишние приложения и программы.
Кроме того, крайне полезно установить лимиты на максимальный размер операций в интернет и мобильном банке. Лучше всего иметь для оплаты товаров и услуг в интернете отдельную банковскую карту, средства на которую переводить в объеме планируемых расходов. Слишком часто проблемы возникают из-за того, что россияне используют свою единственную зарплатную карту для всех платежей.
Ну, и следует помнить, что банковские карты предназначены в первую очередь для платежей. Для хранения крупных сумм денег безопаснее и выгоднее использовать банковские депозиты, которые можно открыть на любой удобный срок.
Если вы храните на депозитах крупные суммы, то можете вообще не подключать такие счета к системам ДБО и проводить операции по-старинке, в отделении банка, в котором вас хорошо знают в лицо. Хотя такой регресс в удобстве, безусловно, не может радовать.
Внимательно относитесь к своим персональным данным в соцсетях, не выкладывайте в общий доступ номера телефонов, и тем более – сканы паспорта, водительских прав, СНИЛС и прочих подобных документов, а также сканы банковских карт. Несанкционированное использование данных соцсетей не только мошенниками, но и сотрудничающими с соцсетями сторонними компаниями стало массовым явлением – достаточно вспомнить хотя бы последние крупные скандалы вокруг соцсети Facebook.
Кстати, если вы оставляете свою квартиру пустой, например, на новогодние каникулы – то всем вашим друзьям в соцсетях тоже необязательно знать об этом. Полезно помнить, что, несмотря на огромную популярность краж денег с использованием систем ДБО, «физические» ограбления квартир пока еще не ушли в прошлое.
Ну, и всегда следует помнить, что кроме собственной осторожности и внимательности иного способа сохранить свои деньги, имущество и спокойствие на сегодня просто нет.