Санкт-Петербург и область, 23 июл 2019, 15:21

«Дырявая» система: как крадут деньги с банковских счетов

Читать в полной версии

Фото: Алексей Смышляев/Интерпресс

В первом полугодии 2019 года мошенники пытались похитить со счетов крупнейших банков России более 24 млрд руб. По данным Центробанка, в 2018 году из-за действий злоумышленников с карт граждан было списано порядка 1,4 млрд руб. — на 44% больше, чем годом ранее. По мнению ведущего аналитика Российской ассоциации электронных коммуникаций (РАЭК) Карена Казаряна, по итогам текущего года эта сумма может увеличиться еще в 1,5 раза. В разговоре с РБК Петербург эксперт рассказал, как меняются методы «работы» киберпреступников и кого следует винить за растущие денежные потери граждан.

«Мы наблюдаем постепенную эволюцию киберпреступности. Раньше деньги крали в основном путем хищения банковских реквизитов, считывания информации с карт в банкоматах, а также во время онлайн-покупок. Позднее к этому добавился так называемый фишинг, когда злоумышленники рассылают гражданам письма от лица банка, создают подставные сайты, куда просят вести логины и пароли от личного кабинета клиента банка.

Однако в последний год набирает популярность новая схема. Злоумышленники создают организованные преступные группы (ОПГ), которые используют похищенные или ушедшие в сеть персональные данные граждан. Такие ОПГ даже используют специальные колл-центры, «сотрудники» которых звонят с номеров, похожих на номера банков, и, зная информацию о человеке, пытаются выудить у него кодовое слово или код из смс-подтверждения.

В этом случае мы имеем дело с большим количеством жертв и крупными суммами хищения, чем и объясняется значительный рост статистики краж с банковских счетов. Обычно преступников интересуют суммы от нескольких сотен тысяч рублей. Причина появления такого рода мошенничества — рост популярности интернет-банкинга и онлайн-услуг, а также утечки персональных данных из-за недостаточной их защиты со стороны банков, а иногда и банального подкупа их сотрудников. За последние 2-3 года было несколько серьёзных утечек персональных данных клиентов банков и по прошествии полугода видно, что мошенники начинают эти данные использовать.

Мы имеем дело с большим количеством жертв и крупными суммами хищения, чем и объясняется значительный рост статистики краж с банковских счетов.

Возникает вопрос — насколько велика здесь вина самих банков. На мой взгляд, с информационной безопасностью у банков явно не всё в порядке. Любой банк стоит перед выбором — он может обеспечивать безопасность так, как ему предписывают стандарты платёжных систем и методические требования ЦБ и ФСБ по защите информации. Второй вариант — выстраивать систему так, чтобы она реально была безопасной.

Система безопасности, которая бы практически на 100% защищала средства граждан на банковских счетах, существует. Её стоимость зависит от инфраструктуры конкретного банка, но в целом — это миллионы долларов. Банки не создают такие системы, потому что это дорого и для этого нужны специальные сотрудники. Таких сотрудников сегодня у банков недостаточно для того, чтобы обеспечивать реальную безопасность и одновременно исполнять требования регулятора. Но есть и другая причина, по которой банки не сильно заботит надежность их систем безопасности. Дело в том, что деньги крадут не у банков, а у их клиентов.

Одна из причин, по которым банки не создают эффективных систем безопасности, состоит в том, что деньги крадут не у банков, а у их клиентов.

С одной стороны, в России на сегодня почти не бывает ситуаций, когда хакеры взламывают счета без участия их владельцев. В 90% случаев кражи происходят в условиях, когда пользователь сам «помогает» злоумышленникам — осознанно или неосознанно сообщает пароль, код из смс-подтверждения либо устанавливает в телефон приложения и, не задумываясь, открывает им доступ к смс-сообщениям. Формально пользователь сам виноват — как правило, деньги он сможет вернуть, только если ему сильно повезет и полиция найдет мошенников. В большинстве случаев — украли и сами виноваты, получить деньги назад вам будет чрезвычайно сложно.

С другой стороны, чтобы человек стал мишенью для злоумышленников, они должны получить доступ к его персональным данным. Как правило, преступники знают о своей жертве достаточно много — вплоть до того, сколько денег у нее на счету. Получить доступ к такой информации можно только за счет «дырявой» системы безопасности банка.

Как правило, преступники знают о своей жертве достаточно много — вплоть до того, сколько денег у нее на счету.

Изменить ситуацию помог бы пересмотр законодательства об информационной безопасности. К сожалению, в России всё, что связано с защитой персональных данных, носит формальный характер — люди пишут бумажки. Это не имеет никакого отношения к реальной защите. Правоохранители карают банки за несоответствие бумажек, а не за сами утечки персональных данных. Бумажки нет правильной — это плохо, а вот то, что у тебя база утекла на 400 тыс. клиентов — не так страшно.

Вторая задача — развивать страхование. Оно позволяет выстроить схему, где все участники процесса имеют однонаправленный интерес — и страховая компания, и банки, и клиенты этих банков. Всем выгодно, чтобы хищений средств не происходило, поэтому у всех появляется стимул работать и не допускать подобных вещей. В Европе и Америке страхование вкладов распространено. Там в случае мошенничества деньги возвращаются клиентам банка, а дальше уже головная боль полиции и службы безопасности — искать мошенников. Когда интересантами становятся служба безопасности, страховые компании и банки, полиция ищет более настойчиво».

Позиция спикера может не совпадать с мнением редакции.