Эксперты поделились информацией и дали прогноз.
В последние два года белорусы то и дело сталкиваются с новыми волнами банковского мошенничества. Злоумышленники звонят своим жертвам, иногда и в вайбере, представляются работниками банков, Ассоциации белорусских банков, даже ОБЭП — и обманом выведывают у них данные их карточек или интернет-банка. Об этой опасности регулярно предупреждают и Нацбанк, и МВД. Откуда мошенники узнают данные клиентов банков? Почему нельзя отменить денежный перевод злоумышленнику? Насколько сложно найти мошенников?
Портал tut.by попросил экспертов ответить на эти вопросы, а заодно рассказать об основных тенденциях мошенничества с карточками в 2020 году и сделать прогноз на 2021-й.
Банковский процессинговый центр о мошенничестве с карточками в 2020 году
Банковский процессинговый центр (БПЦ) — специализированный центр по информационно-технологическому обеспечению безналичных расчетов с использованием банковских платежных карточек системы БЕЛКАРТ, международных систем VISA, MasterCard, UnionPay, American Express, платежной системы МИР, действующих на территории Беларуси. К БПЦ подключены Беларусбанк, Белагропромбанк, Белинвестбанк, БПС-Сбербанк, Паритетбанк, Банк Решение, БНБ Банк, БТА Банк, БСБ Банк, Франсабанк, Цептер Банк.
В отчете о тенденциях и случаях мошенничества в сфере платежных инструментов и сервисов за 2020 год, опубликованном на сайте БПЦ, приводятся три основные тенденции прошлого года в Беларуси: это мошенничество с банковскими карточками без присутствия карточки, мошенничество с использованием методов социальной инженерии и рост числа случаев установки скиммингового оборудования. Правда, в абсолютных цифрах говорить о какой-то особой распространенности скиммеров не приходится: в 2020 году таких случаев было 9 (в 2019 году — 1, в 2018 году — 6).
— В июне 2020 года был зафиксирован первый случай установки скиммингового устройства на банкомате в Могилеве. По информации от правоохранительных органов, мошенники были задержаны на месте преступления, утечки карточных данных не было. В 3-м квартале 2020 года было выявлено 8 случаев установки скимминговых устройств на банкоматах в Минске. Мошенник обналичивал денежные средства по поддельным карточкам после компрометации магнитной полосы также в банкоматах Минска, при этом были зафиксированы случаи использования поддельных карточек в Канаде и Перу. Злоумышленник был задержан правоохранительными органами 6 сентября 2020 года. В результате массовой компрометации карточных данных общий подтвержденный ущерб составил порядка 18 120 белорусских рублей.
Эксперты БПЦ отмечают, что в 2020 году число случаев мошенничества по поддельным карточкам по сравнению с 2019 годом уменьшилось в четыре раза. В основном мошенники используют только реквизиты карт (71% случаев мошенничества по карточкам банков, которые обслуживаются в БПЦ, в прошлом году) либо осуществляют перехват счета (29% незаконных операций). Функция 3D Secure, которая всегда считалась дополнительным способом обезопасить свою карту, для мошенников больше не преграда. Среди всех случаев мошенничества с реквизитами карт у 85% операций были признаки использования технологии 3D Secure.
— Мошенники научились различными методами выманивать все необходимые для осуществления платежей/переводов реквизиты, в том числе и пароли 3D Secure, — констатируют эксперты.
Если говорить о мошенничестве с использованием реквизитов карточки, то здесь эксперты выделяют такие направления, как социальная инженерия, которая используется в том числе для получения логинов и паролей от интернет- и мобильных банков, мошеннические звонки после утечки данных в маркетплейсе Joom в марте 2020 года, рассылку уведомлений о выигрышах с фишинговыми ссылками, увеличение мошеннических операций на онлайн-сервисах, которые продают компьютерные программы и игры (например, взлом аккаунта Google и последующая оплата различных сервисов Google).
Тем не менее, подытоживают эксперты БПЦ, говорить о каком-то большом количестве мошеннических операций в любом случае не приходится.
— В целом уровень мошенничества в эквайринговой сети банков, подключенных к БПЦ, можно охарактеризовать как стабильно низкий, доля мошеннических операций к общему объему операций составляет всего около 0,000063%.
Что говорят о мошенничестве с картами в 2020 году банки и провайдер электронных платежей
По словам директора компании-провайдера электронных платежей Assist Вячеслава Сенина, за прошлый год рост случаев мошенничества с карточками составил 20%.
— Самыми популярными видами мошенничества были вишинг и фишинг. Вишинг — это телефонное мошенничество, фишинг — создание поддельных сайтов, куда люди вводят карточные данные. А вот установка скиммеров и шиммеров почти сошла на нет, — отмечает Вячеслав Сенин. — Скорее всего, это связано с ограничением по перемещениям между странами из-за ковида. Как правило, если такие мошенники и появляются, то они приезжают из ближнего зарубежья.
Еще одна «новинка», связанная с коронавирусом, — это новые схемы, которыми пользовались мошенники. Они рассылали письма со ссылками на фишинговые сайты, предлагающие купить некий товар, например маски, пожертвовать деньги на помощь в борьбе с пандемией и так далее.
— Несмотря на новое содержание, сами схемы существенно не изменились. Они рассчитаны на доверчивость покупателя, его наивность. В конечном итоге все упирается в финансовую грамотность. Сейчас банки проводят хорошую работу в плане информирования, но тем не менее люди все равно попадаются и сообщают незнакомым людям лишние данные. Мы же закрываем дверь, выходя из дома! Такое же отношение должно быть и к банковским карточкам, — проводит аналогию Вячеслав Сенин.
В МТБанке также сообщают, что активность мошенников в 2020 году значительно выросла.
— Увы, эта тенденция характерна не только для стран СНГ, в том числе Беларуси, но и в целом в мире. 2020 год можно назвать годом всплеска кибермошенничества. В Беларуси количество атак уже превысило несколько тысяч случаев. Главным фактором, повлиявшим на рост количества атак мошенников, была эпидемиологическая ситуация и выросшее количество безналичных переводов и платежей, — комментируют в МТБанке. — В нашем банке в течение прошедшего года мы сталкивались как с вишингом и фишингом, так и с другими, менее популярными видами мошенничества. При этом доля вишинга составила более 60%, остальные случаи — фишинг. В 2020 году мы предотвратили попыток хищений более чем на 300 тысяч белорусских рублей. В этом нам помогли наши клиенты, которые стали более ответственно соблюдать правила цифровой безопасности и сообщать нам о звонках мошенников.
— Еще в начале года мы сталкивались со следующими видами мошенничества: компрометация реквизитов карт в интернете, утечка данных из аккаунтов, компрометация реквизитов в супермаркетах, кафе и так далее, банкоматное мошенничество (установка скиммеров на банкоматы, в основном в странах Азии, Южной Америки), — говорит Александр Вдовиченко, директор департамента розничных рисков Альфа-Банка. — К концу 2020-го уже более 90% мошеннических схем были связаны с методами социальной инженерии. По сути это набор манипуляций, когда мошенник представляется сотрудником банка и вынуждает назвать клиента данные карты, пароли и прочее.
С тем, что самый популярный способ мошенничества сейчас — это социальная инженерия, согласны и в Беларусбанке. Там приводят несколько распространенных способов, которыми в прошлом году пользовались злоумышленники.
— Например, с продавцом товаров на различных интернет-площадках связываются мошенники под видом заинтересованного покупателя. Далее говорят, что лично товар забрать не могут, а предлагают сделать перевод на карточку продавца и переслать товар через почтовую службу доставки (присылая при этом ссылку на поддельную страницу), либо сделать перевод с карты на карту (также присылая поддельную ссылку на сервис переводов или страницу интернет-банкинга). В дополнение к реквизитам карточки клиенты также вводят пароль 3D Secure, который мошенниками представляется как код подтверждения получения перевода. Отметим, что для получения перевода на свою карточку не нужны никакие реквизиты, кроме номера карточки, — комментируют в Беларусбанке.
Следующий популярный способ — звонок от якобы сотрудников банка с информацией о том, что по карточке совершаются подозрительные платежи или переводы с карты на карту.
— При этом мошенники могут называть конкретные суммы, даты и время операций, хотя на самом деле таких операций по карточке нет, а также контактные данные получателя перевода. Суть звонков заключается в том, чтобы выведать у граждан конфиденциальные данные: полный номер карточки, срок действия, трехзначный код с оборотной стороны карточки, одноразовые СМС-коды, направляемые банком, — поясняют в Беларусбанке. — Еще один вид мошенничества — вход в систему интернет-банкинга по фишинговой ссылке. Владелец счета набирает в поисковой системе запросы вида «интернет-банкинг беларусбанка» и переходит по ссылкам, которые зачастую являются похожими на официальную страницу. Далее клиент, вводя данные для входа в личный кабинет (логин, пароль, код с карты кодов, либо одноразовый СМС-код, высылаемый банком), сам того не подозревая, передает конфиденциальные данные мошенникам, которые и входят в последующем в настоящий личный кабинет интернет-банкинга.
Также мошенники все еще взламывают соцсети и рассылают друзьям жертвы сообщения с просьбой отправить или принять деньги. Есть, по словам специалистов Беларусбанка, и новая схема, которая сейчас набирает обороты: мошенники просят установить на мобильный телефон средство удаленного управления и получают доступ к любым приложениям и данным.
Что будет происходить с карточным мошенничеством? Прогноз экспертов на 2021-й
В Банковском процессинговом центре констатируют, что в Беларуси, как и во всем мире, тенденции одинаковы: это смещение в электронную коммерцию и рост мошенничества с использованием социальной инженерии. С учетом этого в нынешнем году мошенники, скорее всего, будут пользоваться следующими способами:
Социальная инженерия. Она, по мнению экспертов, будет существовать до тех пор, пока «держатели сами не начнут проявлять осознанность и с разумной осторожностью относиться к любым сообщениям и входящим звонкам».
Перехват доступа к системам дистанционного банковского обслуживания (СДБО) и межбанковской системе идентификации (МСИ). В этом случае мошенники смогут получить контроль над всеми карточками и счетами держателей и смогут открывать кредитные линии.
Атаки шифровальщиков. Речь идет о вирусах-вымогателях, которые блокируют доступ к данным и требуют за них выкуп. При этом мошенники угрожают разгласить ценную информацию, если жертва не выплатит определенную сумму.
Атаки на удаленных сотрудников. Из-за пандемии коронавируса многие перешли на удаленную работу, а защита систем вне корпоративной сети легче поддается взлому. Поэтому, считают эксперты, количество атак мошенников на работников на «удаленке» будет расти.
Искусственный интеллект. Его мошенники станут использовать чаще. Сейчас искусственный интеллект уже используется для создания так называемых дипфейков (изображений, синтезированных искусственным интеллектом) и механизмов обхода CAPTCHA, подбора паролей, анализа массива данных и извлечения из него данных карточек. Специалисты считают, что в перспективе мошенники все активнее будут использовать искусственный интеллект.
Опрошенные нами эксперты банков также согласны с тем, что основным инструментом мошенников будет оставаться социальная инженерия.
— В 2021 году специалисты ожидают рост числа преступлений с использованием социальной инженерии. Прогнозы дело неблагодарное, но ожидания специалистов из других стран варьируются от 15% до 30%, — комментируют в МТБанке. — Телефонное мошенничество и поддельные сайты будут актуальны в текущем году так же, как и в прошлом. Данные виды мошенничества не требуют сложной технической подготовки. Узнав только номер телефона потенциальной жертвы и его ФИО, злоумышленник пытается ввести человека в заблуждение и в случае успеха получить всю необходимую информацию. Вероятно, также стоит ожидать распространение фейковых рассылок и звонков о вакцинах, выигрышах, компенсациях. Возможно внедрение технологий подделки голоса (уже был один такой случай). Сценарии будут модифицироваться исходя из тех или иных событий, но механика останется прежней: психологическое давление для того, чтобы создать впечатление об угрозе накоплениям, манипуляции, игра на невнимательности с целью выманить конфиденциальную информацию и затем деньги. Клиентам важно помнить об основных правилах цифровой безопасности и быть максимально бдительными. Всю информацию, что необходима сотруднику банка, он и так видит в базе данных банка.
— Клиентам стоит соблюдать правила безопасности при использовании платежных карт и систем дистанционного банковского обслуживания: не передавать реквизиты карт и данные для доступа в интернет- и мобильный банк третьим лицам, не вводить платежные реквизиты на сомнительных ресурсах, — напоминает Александр Вдовиченко из Альфа-Банка.
По мнению Вячеслава Сенина из компании-провайдера электронных платежей Assist, в ближайшее время возможен возврат к некоторым старым мошенническим схемам.
— Со снятием барьеров на перемещение мошенники будут пытаться вернуться к схемам с продажами авиабилетов, туров по заманчивым ценам и так далее. На самом деле под этими предложениями скрываются фишинговые сайты или даже специально созданные организации, цель которых — принять как можно больше платежей, а потом, используя возможности юридического лица, вывести деньги куда-то за границу. Главный совет здесь — не вестись на супердешевые туры и перелеты, подозрительно большие скидки и акции, — советует Вячеслав Сенин.
Также, по мнению эксперта, мошенники будут чаще стараться использовать уязвимости в информационной безопасности различных организаций.
— Злоумышленники ищут слабые места, через которые можно проникнуть в корпоративные сети и заразить системы вирусом, заблокировать их работу, попытаться каким-то образом потребовать выплаты. Один из самых распространенных способов сделать это — рассылка письма с вложением, содержащим вирус. Но здесь вопрос касается не столько финансовой грамотности отдельных людей, сколько IT-безопасности самих организаций: регулярной сменяемости паролей, использования лицензионного ПО и антивирусов, обучение персонала — словом, профилактические меры.
Откуда к мошенникам попадают личные данные клиентов банков?
Нередко мошенники, звонящие своим жертвам, знают намного больше, чем просто номер телефона: например, имя, номер карты, а иногда даже некоторые паспортные данные. Некоторые винят в утечках данных банки, однако Вячеслав Сенин с этим не согласен.
— Теоретически утечки из банков возможны: например, злоупотребление со стороны какого-то из сотрудников, у кого есть доступ к данным клиентов. Но мне этот вариант кажется наименее вероятным, поскольку банки серьезно относятся к своей безопасности. Наши личные данные есть много где: это интернет-магазины, мобильные операторы, почтовые операторы, страховые компании и так далее. Источников утечек информации может быть множество, но статистика показывает, что чаще всего это все-таки интернет-магазины, — комментирует Вячеслав Сенин.
— Учитывая ограниченность информации, которой оперируют мошенники, едва ли это утечки из банков, — добавляет Александр Вдовиченко. — В банках хранится гораздо больше данных, при этом злоумышленники часто ошибаются, когда звонят клиентам и представляются сотрудниками финорганизаций. У банков довольно серьезная система защита от утечек данных, чего нельзя сказать о сервисах, где необходимо заводить аккаунт с указанием персональных данных.
— В подавляющем большинстве случаев информацию в базы для обзвонов мошенники собирают из открытых источников: в социальных сетях, интернет-магазинах, данных фитнес-клубов и других подобных ресурсах, — перечисляют потенциальные источники такой информации в МТБанке. — Все это может и будет использоваться мошенниками, важно всем об этом помнить. Зная телефон и полные ФИО, хотя зачастую злоумышленники не знают даже имени, преступники могут придумать любую историю, начиная с того, что они покупатели, и заканчивая тем, что они сотрудники банка и заметили подозрительную активность по карте клиента. После чего в ход идет все красноречие злоумышленника. Безусловно, часть информации может попадать к мошенникам другими способами, например с рынка нелегальной информации, связанной с персональными данными. Однако это гораздо труднее и дороже, чем компилировать данные из тех же соцсетей.
В Беларусбанке подчеркивают, что «факта утечки конфиденциальных данных из банка не установлено».
— Информация о гражданах может быть взята мошенниками из различных общедоступных источников в интернете: это социальные сети, популярные торговые площадки, информационные ресурсы, при регистрации на которых запрашивается персональная информация, недобросовестные сайты по продаже различных баз данных и так далее, — говорят в Беларусбанке.
— Предположительно, мошенниками базы клиентов могут составляться с использованием как доступных источников получения информации (соцсети), так и, возможно, данных, которые могут аккумулировать различные предприятия торговли, находящиеся также за пределами страны (интернет-магазины), — комментируют в БПС-Сбербанке. — Для мошенников достаточно получить номер телефона, имя и отчество. Остальную информацию мошенники получат в процессе общения с клиентом.
Неужели нельзя отменить перевод, когда стало понятно, что это мошенники? И что вообще делать в такой ситуации?
— В соответствии с правилами платежных систем операции перевода с карточки на карточку не подлежат отмене и обязательны к выставлению в расчеты между банками, — комментируют в Беларусбанке. — В соответствии с Инструкцией о банковском переводе денежные средства, ошибочно зачисленные на счет бенефициара, подлежат возврату бенефициаром или в судебном порядке. Таким образом, банк не имеет полномочий произвести отмену подобных операций.
Нередко деньги, перечисленные мошенникам, отправляются за границу. В таком случае вернуть их тоже затруднительно.
— Если деньги переведены на зарубежный счет или электронный кошелек, то шансов практически нет, — говорит Александр Вдовиченко. — При этом банк всегда пытается связаться с организацией, которая является получателем платежа. Если перевод произведен внутри страны, то вероятность вернуть деньги выше, так как они могут быть заблокированы организацией-получателем. В любом случае необходимо обращаться в правоохранительные органы: чаще всего возврат производится только в рамках судебных процедур.
— Отменить перевод денежных средств невозможно без согласия получателя. К сожалению, когда этим получателем является мошенник, шансы на такую отмену равны нулю. В случае если клиент попал в такую ситуацию, рекомендуем сразу же обратиться в свой банк, проинформировать о переводе, заблокировать карту и/или интернет-банк, сведения о которых стали известны мошенникам. После чего обратиться в органы внутренних дел с заявлением о мошенничестве. Если мошенника задержат, ему можно будет предъявить претензию в судебном порядке с требованием о компенсации ущерба, — рекомендую алгоритм действий в МТБанке.
Почему банковских мошенников так сложно поймать?
Вячеслав Сенин обращает внимание на то, что банковские мошенники чаще всего работают из-за границы, в основном из России. Чтобы обезвредить их, нужно обратиться за помощью к правоохранителям другой страны.
— Серьезные группы банковских мошенников в разных странах прорабатывает даже Интерпол. Но надо понимать, что помимо таких организованных группировок есть и отдельные люди, которые начитаются новостей и решат, что это легкие деньги. Но это, как правило, горе-мошенники: суммы ущерба от них не такие значительные, а попадаются они очень быстро и чаще всего глупо. В нашей практике был случай, когда один из таких мошенников по ошибке использовал свой личный почтовый адрес для операций с ворованными картами. Так и выявилась вся цепочка.
В банках тоже обращают внимание на то, что мошенники чаще всего действуют не в Беларуси.
— Как показывает практика, большая часть мошенников территориально находится не в Беларуси, что затрудняет их задержание, поэтому мы настоятельно рекомендуем клиентам, пострадавших от мошенничества, обращаться в органы внутренних дел, — советуют в МТБанке.
Что банки делают, чтобы защитить своих клиентов от мошенников?
В банках рассказывают, что в первую очередь речь идет о повышении финансовой грамотности и внимательности клиентов: информационные рассылки, буклеты, соответствующие разделы на сайтах и так далее.
— Второй важный момент — это постоянное совершенствование системы фрод-мониторинга и безопасности. Для этого разрабатываются различные решения, которые защищают клиентов от информационных атак, — говорят в МТБанке. — Благодаря взаимодействию с белорусскими банками, а также оперативности нам удается предотвращать большинство мошеннических операций путем установления ограничений по картам, на которые выводят денежные средства мошенники.
— Беларусбанком проводится круглосуточный мониторинг операций, совершаемых при использовании карточек. При выявлении предположительно мошеннических операций карточка блокируется банком и направляется уведомление клиенту о блокировке. Информация о предположительно мошеннических операциях направляется в Национальный банк для аккумулирования и организации взаимодействия между банками в данном направлении, — добавляют в Беларусбанке.
В БПС-Сбербанке комментируют, что внедряют систему фрод-мониторинга в различных каналах продаж.
— В частности, завершается интеграция системы дистанционного банковского обслуживания физических лиц с системой фрод-мониторинга. Внедряемая систем позволит существенно сократить денежные потери наших «невнимательных» клиентов за счет использования системы искусственного интеллекта, позволяющего построить профиль поведения клиента и анализировать все операции клиента с точки зрения их соответствия обычному поведению клиента. Все подозрительные транзакции (выпадающие из обычного поведения клиента) будут направлять на дополнительную авторизацию или блокироваться, — говорят в БПС-Сбербанке.
А биометрия спасет от мошенников?
К таким способам защиты данных клиентов банки тоже прибегают все чаще. В основном встречается использование отпечатков пальцев, но есть и слепки голоса, и слепки лица. Эксперты сходятся во мнении, что биометрия действительно повышает безопасность платежей, но назвать ее панацеей, которая всех защитит, нельзя.
— Более того, не во всех случаях это будет безопаснее паролей и ПИН-кодов, — считает Вячеслав Сенин. — Допустим, у человека включен вход в банковское приложение по отпечатку пальца или Face ID. Человек заснул в такси, у него выпал телефон. Что мешает недобросовестному водителю взять его телефон, приложить палец, направить на лицо — и вот уже можно делать в банковском приложении что угодно. Есть второй момент: не всегда внедрение сложных биометрических схем бывает финансово оправданно и приемлемо с точки зрения пользователей. Например, один поставщик банкоматов в Японии запустил решение, с помощью которого снимать деньги можно по отпечатку пальца. При этом кроме отпечатка пальца сканируется еще и пульсация сосудов, чтобы даже если, не дай бог, отрубить кому-то руку, деньги с этой рукой все равно не снимешь. С этим проектом они хотели выйти на европейский рынок, но он оказался слишком консервативным для такого решения. Однако биометрия в любом случае в разы повышает уровень безопасности, эти данные почти невозможно подделать, и рынок однозначно будет двигаться в этом направлении.
Банковские эксперты отмечают, что при использовании мошенниками методов социальной инженерии биометрия тоже не спасет, потому что люди, введенные в заблуждение мошенниками, сами открывают им доступ к своим счетам.
— Клиент сам производит платеж, подтвержденный биометрией — отпечатком пальца или системой распознавания лица, — поясняет Александр Вдовиченко. — Общемировая тенденция развития безопасности платежей движется к более глубокому использованию биометрии, и Альфа в своей стратегии безопасности идет в этом направлении.
— Учитывая тот факт, что подавляющее большинство случаев мошенничества происходит с применением методов социальной инженерии, применение биометрии в данных случаях не даст гарантий предупреждения мошенничества, так как клиенты самостоятельно передают конфиденциальные данные третьим лицам, — согласны с мнением коллег в Беларусбанке. — Основным способом снижения количества противоправных действий при применении методов социальной инженерии банк видит в постоянном повышении финансовой грамотности населения.
Тем не менее есть и другой вид биометрии — поведенческая. На нее банки возлагают большие надежды в плане защиты от мошенников.
— Поведенческая биометрия позволяет идентифицировать клиента по свойственному лишь ему «поведению» при наборе пароля и логина при входе в интернет-банкинг и так далее. Благодаря этому можно не просто вычислить, кто именно вошел в личный кабинет в том же интерне-банке, но и определить, действует ли человек по своей воле или по указке мошенников. Это перспективный метод, который, по нашему мнению, будет все более активно использоваться для борьбы с мошенниками. Наш банк рассматривает возможность внедрения такой технологи, — рассказывают в МТБанке.
А Вячеслав Сенин говорит еще об одном инструменте, который начинает использоваться чаще и помогает обезопасить платежи по картам — токенизации.
— Данные карточки при проведении расчетов заменяются токеном — набором символов. Он хранится у нас в системе в зашифрованном виде, и даже если эти данные перехватит мошенник, он не сможет с ними ничего сделать. Токенизация может быть локальной на уровне провайдеров и глобальной на уровне платежных систем. Сейчас все идет к тому, чтобы в расчетах вообще не использовались данные карточек, а только токены, — говорит Вячеслав Сенин.