За минувший год количество операций, совершенных без согласия клиентов банков, выросло на 34% до 773 008, денег украли в полтора раза больше — 9,7 млрд руб., отчитался Банк России. Из украденной суммы 8,7 млрд руб. приходится на граждан. Средняя сумма одной операции без согласия клиента по счетам граждан в 2020 г. составила 11 400 руб., юридических лиц — 347 800 руб.
Рост мошеннических операций связан с пандемией, рассказал журналистам директор департамента информационной безопасности ЦБ Вадим Уваров. Она, во-первых, привела к росту операций через интернет (это главный канал мошеннических операций), во-вторых, повлияла на действия мошенников, позволяя им изобретать новые сценарии хищения денег, и, в-третьих, вынужденный режим самоизоляции привел к тому, что интернет и телефон стали основным каналом общений клиентов банков.
Операции, совершенные без согласия клиента с использованием электронных средств платежа, ЦБ делит на три типа:
- операции через банкоматы, терминалы и импринтеры;
- оплата товаров и услуг в интернете (CNP-транзакции);
- операции через дистанционное банковское обслуживание.
В основном мошенники крадут деньги с использованием методов социальной инженерии (введение в заблуждение путем обмана или злоупотребления доверием) для получения прямого доступа к электронному платежному средству либо побуждения клиента самостоятельно совершить перевод мошенникам. Злоумышленники не взламывали компьютер или телефон клиентов — «они взламывали сознание людей, били по самым болевым точкам», прокомментировал Уваров.
Доля операций, совершенных таким способом, снизилась в 2020 г. с 68,6% до 61,8%. Ее сокращение регулятор связывает с эффективностью работы по повышению осведомленности граждан о правилах безопасного использования электронных средств платежа.
Гражданам банки в 2020 г. вернули всего 11,3% похищенных средств (1,1 млрд руб.). Этот показатель сократился в процентном соотношении — в 2019 г. доля возврата составляла 14,6% (936 млн руб.). Столь низкая доля вызвана тем, что банки не возвращают средства, если клиент нарушил условия договора и сообщил мошенникам конфиденциальные платежные данные. Например, когда клиент назвал пин-код/cvc-код и пр.
Ситуация может улучшиться, если будет расти качество антифрод-процедур банков, рассказал Уваров. К примеру, принятие закона об обмене информацией между банками и сотовыми операторами. Плюс ЦБ хочет на законодательном уровне изменить процедуру возможности возврата денег. Но, по словам Уварова, это непростая история с точки зрения юридических аспектов и о конкретике здесь пока говорить рано.
Как и годом ранее, в 2020 г., больше всего операций без согласия клиентов-физлиц пришлось на оплату товаров и услуг онлайн. Клиенты банков сообщили о 585 300 таких транзакций, 61,5% из которых (359 700) — результат применения методов социальной инженерии. Сумма ущерба составила 4,2 млрд руб. и за год выросла в 1,4 раза, при этом банки возместили клиентам 19,2% похищенных денежных средств (813,4 млн руб.).
Личные кабинеты граждан становились мишенью мошенников 136 100 раз, однако доля социальной инженерии в их общем числе максимальная — порядка 80%. Это объясняется целевым характером атак, который обусловлен потенциально более высоким «доходом» злоумышленника (размер остатка на клиентских счетах, доступных в кабинете, может существенно превышать размер средней сделки в интернете). Всего через дистанционные каналы мошенники похитили порядка 3,8 млрд руб., что выше аналогичного показателя 2019 г. в 1,7 раз, при этом банки вернули клиентам всего 136,5 млн руб. (в 2019 г. — 162,3 млн руб.).
В 2020 г. ЦБ зафиксировал 48 700 случаев, когда мошенники использовали платежные карты (кроме предоплаченных) клиентов в банкомате или терминале. Из них 15,8% операций проведены в результате использования злоумышленниками приемов социальной инженерии. Общая сумма ущерба по хищениям через банкоматы и терминалы выросла на 40,3% по сравнению с 2019 г. и составила свыше 740,4 млн руб., при этом банки вернули клиентам 9,0% похищенных средств (66,4 млн руб.).
Почему люди попадаются в ловушки
Успешность применения методов социальной инженерии обусловлена в том числе нелегальным оборотом персональных данных, которые используются для организации массовых звонков клиентам банков. Источниками таких данных в большинстве случаев являются не столько банки, сколько иные операторы — торгово-сервисные предприятия, некоммерческие организации и т. д.
Реализовать успешную атаку несложно: достаточно иметь немного информации о клиенте банка (например, ФИО и номер телефона). Злоумышленники приобретают базы данных, содержащие персональные данные клиентов, и осуществляют звонок клиенту якобы от имени сотрудника финансовой организации:
- Под предлогом остановки операции, совершаемой без согласия клиента, злоумышленники выпытывают у жертвы данные карт, коды из sms-сообщений и другую информацию, необходимую для хищения средств.
- Сообщают об ошибочном переводе денежных средств, просят снять деньги в банкомате и после этого перевести их на безопасный, по заявлениям злоумышленников, счет банка.
- Сообщают о компрометации личного кабинета в банке, под предлогом безопасной смены пароля просят продиктовать код из sms, необходимый для входа в личный кабинет для хищения средств.
- Под предлогом компрометации мобильного устройства просят установить на телефон якобы безопасное приложение, которое впоследствии позволит злоумышленнику удаленно подключиться к мобильному телефону жертвы и похитить деньги.
После успешного перевода денег со счета клиента злоумышленники обычно снимают похищенные средства за очень короткий промежуток времени.
Наряду со схемами хищений, имитирующими онлайн-оплату товаров и услуг, а также вывод средств со счетов через дистанционные каналы, в 2020 г. Банк России зафиксировал значительный рост числа инцидентов, связанных с хищением кредитных средств, то есть когда под влиянием мошенников граждане оформляют на свое имя кредит, а затем переводят деньги мошенникам. Успешная реализация таких атак приводит к хищению у клиентов не только собственных, но и кредитных денег, за использование которых банк начисляет проценты.
Кроме того, мошенники сейчас изменили тактику и нацелились и на депозитные счета, рассказал Уваров, например, когда клиенту предлагают перевести средства с депозита на «защищенный» счет или легенда о том, что за клиента оформили закрытие счета, а мошенники сейчас его «спасут». Депозиты позволяют злоумышленникам получить за один раз большую сумму. Уваров отметил, что подобные сценарии будут развиваться дальше, поэтому для отрасли важно продолжать обмен информацией в системе ЦБ «Фид-антифрод».
