Бревно в глазу A− A= A+
Массовый мошеннические атаки на банковских клиентов не могут быть успешными без доступа к внутренней информации банков.
После небольшого перерыва вновь активизировались мошенники, похищающие деньги с банковских карт. Их атакам подверглись клиенты целого ряда крупных банков. По понятным причинам в банках предпочитают не афишировать эту информацию, однако, например, Юникредит-банк и Райффайзенбанк официально уведомили своих клиентов о росте подобного риска. В соцсетях упоминались и другие банки. Довольно широко разошлась история о краже 90 тысяч рублей, находившихся на счете в Альфа-банке у телеведущей Марии Командной. В банке подчеркнули, что она стала жертвой «сложного многоэтапного мошенничества, основанного на социальной инженерии с техническими приемами».
Технический этот прием заключается в подмене телефонного номера, с которого мошенники звонят своей жертве, на реальный номер колл-центра банка. Клиент уверен, что общается с банковским сотрудником, его «переключают» на специалистов или даже на специального робота, которому нужно продиктовать ту или иную информацию. Результат один – выполнив все требования, человек остается без денег. Ранее – в январе этого года – с подобными атаками массово столкнулись клиенты Сбербанка. Я объяснял, почему использование приемов социальной инженерии может быть успешными и даже записал на эту тему видео, однако никак не мог понять, почему люди так охотно идут на поводу мошенников.
Но, как стало известно позднее, первые инциденты со звонками с подмененных номеров происходили еще в декабре 2018 года, но преступники не достигали успеха потому что не обладали достаточной информацией, чтобы выдавать себя за сотрудников Сбербанка и вынуждать клиентов к необходимым им действиям.
Январские же атаки стали успешными именно потому, что их жертвы были уверены, что общаются с реальными сотрудниками банка, что было бы невозможно без инсайдерской информации о клиентах. «Массовый повтор таких инцидентов в конце января уже включал использование преступниками полных паспортных данных, а также информации об остатках на картах клиентов банка. Кроме того, по свидетельствам пострадавших, после блокировки карты атаки немедленно прекращались, что также свидетельствует о доступе мошенников к информации о картхолдерах, причем в режиме реального времени», – отмечают в компании Devicelock. При этом сами атаки злоумышленников хотя и были массовыми, но длились не более трёх дней. Очевидно, что их прекращение было вызвано действиями службы внутренней безопасности банка, вычислившей источник и прекратившей дальнейшую утечку данных.
В связи с этими обстоятельствами совсем по-другому смотрятся формулировки банков об использовании «сложнейшей социальной инженерии». Ничего сложного нет, если у «сотрудника» криминального колл-центра имеется вся информация о клиенте и его банковском счете. Причем, обходятся эти данные совсем недорого. Если учесть потенциально возможную «прибыль». Как писал «КоммерсантЪ», узнать о наличии счета в банке стоит 99 рублей, в 6 тысяч обойдутся паспортные данные клиента, 2 тысячи – выписка операций по карте за месяц. Мошенники не «били по площадям», а совершали точечные звонки конкретным людям, заинтересовавшим их с финансовой точки зрения.
При этом эксперты предупреждают, что с учетом того, что криминальная группа, реализовавшая эту атаку не выявлена, стоит ожидать, что и в дальнейшем утечки информации из Сбербанка и других крупных банковских структур будут использованы, в первую очередь, для организации аналогичных атак на их клиентов. «В такой ситуации пользователям стоит игнорировать любые входящие коммуникации по вопросам безопасности и стараться связываться с банками через каналы с проверкой подлинности – например, встроенные в банковские приложения мессенджеры», – советуют в Devicelock.
Те, кто поддался на уловки преступников (им сложно было что-то противопоставить), лишились своих денег почти со 100%-ной вероятностью. Дело в том, что согласно профильному закону «О национальной платежной системе», банки не возместят им потери от «социальной инженерии». Может быть, внутренняя безопасность и выстроена в банках не на должном уровне, но уж юридические департаменты, дойдя дело до суда, легко докажут, что виноват сам клиент. Достаточно всего одной статьи упомянутого закона, в которой прямо прописано, что «оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента – физического лица». Докажут, даже не сомневайтесь. Тем более что операции эти, хоть и проводились в пользу мошенников, но осуществлялись клиентом самостоятельно.
По официальным данным ЦБ в прошлом году основной причиной несанкционированных операций по банковским картам стало именно нарушение порядка их использования. На неё пришлось 97% случаев. Нетрудно подсчитать, что шанс вернуть своё составляет не более 3%. И то, если повезет. Кстати, знаете, чем в ЦБ объясняли наблюдаемый существенный прирост мошеннических операций – на 31% по итогам прошлого года? Не поверите – улучшением систем антифрода (противодействия мошенничеству). Это позволило добиться повышения выявляемости подобных преступлений. Думаю, что клиенты банков этому очень рады.
Впрочем, рост числа подобных случаев (или рост их фиксации), действительно, может стать благом для нас – банковских клиентов. По крайней мере, эту проблему уже не получится замолчать, не обращать на неё внимания. Она вышла на уровень регулятора, который будет вынужден принимать меры. Но пока расплачиваться за утечку персональных данных приходится не банкам, а их клиентам.