Мошенники придумали новую схему обмана с QR: в общественных местах они размещают коды, при переходе по которым гражданам обещают соцвыплаты. Под предлогом их начисления у людей выманивают данные для хищения денег. Об этом в интервью "Известиям" рассказал зампред Банка России Герман Зубарев. Для защиты от злоумышленников ЦБ готовится внедрить двухдневный период охлаждения, в течение которого подозрительные переводы будут приостановлены. Если банк не выполнит необходимых процедур по защите клиента, он должен будет вернуть всю похищенную сумму в течение 30 дней, заявил Герман Зубарев. Законопроект с этими нормами получил одобрение заинтересованных ведомств, в ближайшее время его планируется принять в первом чтении.
Прошлый год показал, как быстро телефонные мошенники подстраиваются под актуальную повестку: в свои легенды обмана они оперативно интегрировали новости о спецоперации, о санкциях, о частичной мобилизации. По данным Банка России, появились ли уже в 2023 году новые сценарии мошенничества?
Несмотря на внешнее многообразие мошеннических легенд, которые простому гражданину всё труднее распознать, злоумышленники всегда используют два базовых сценария.
Они либо предлагают что-то заманчивое - скидки, выплаты, бонусы, либо запугивают, например, потерей денег, уголовным преследованием, оформлением кредита на ваши паспортные данные и так далее.
Сейчас злоумышленники пытаются использовать технические новинки. Мы выявили схему обмана с размещением QR-кодов в общественных местах. В объявлениях предлагается получить бесплатную консультацию о гарантированной социальной выплате. Когда человек сканирует QR-код, он попадает в чат-бот в мессенджере. Далее выясняется, что ему якобы положена выплата. Пособия для социально незащищённых, выплаты студентам, семьям с детьми - у мошенников заготовлен целый перечень таких обещаний, чтобы завлечь и обмануть как можно больше людей. Далее злоумышленники под предлогом оформления якобы полагающейся выплаты запрашивают у человека личные и финансовые сведения. На самом деле эта информация нужна им для хищения денег с карты.
Где именно размещаются такие QR-коды?
Там, где они очень заметны, но при этом их размещение трудно контролировать - на стенах домов, в подъездах, на остановках, на парковках, других общественных местах и других объектах наибольшего скопления людей. Это не новый вариант взаимодействия с жителями городов - раньше, например, рекламу с номерами телефонов часто размещали на асфальте. Использование чат-ботов у людей вызывает дополнительное доверие, создавая ощущение работы автоматического сервиса какого-то официального ведомства.
Мессенджеры всё чаще используются в мошеннических схемах. Например, в прошлом году банки зафиксировали, что злоумышленники стали обзванивать россиян с помощью мессенджеров вместо сотовой связи. В Банке России видят риски в развитии таких технологий?
Такие риски существуют. Злоумышленники и раньше пользовались мессенджерами для голосовых звонков. Другое дело, что сейчас такие звонки - восходящий тренд. Мошенники вынужденно переходят на этот способ контакта, потому что применять обычную телефонную связь всё сложнее. Мобильные операторы обязаны противодействовать мошенническим звонкам, действуют антиспам-сервисы, которые в том числе продвигают и банки.
Несмотря на всплеск интереса мошенников к популярным мессенджерам, их основным каналом по-прежнему остаётся телефонный звонок. Мы активно боремся с этими киберпреступниками. Например, в 2022 году, по предварительным данным, мы инициировали блокировку более 750 тыс. номеров, что в четыре с лишним раза превышает данные за предыдущий год. Это максимальный показатель с 2019-го, когда мы начали работу с операторами связи по блокировке таких номеров.
К сожалению, в случае с мессенджерами контроль со стороны операторов связи не работает, так как звонок идёт через интернет-линию. Очень высок уровень анонимности звонящего, поэтому привлечь его к ответственности крайне сложно. К таким звонкам надо быть ещё более внимательным, чем к традиционным телефонным. Не надо раскрывать свои личные и финансовые данные. Настоящие сотрудники банков, работники правоохранительных или государственных органов не звонят гражданам через мессенджеры, не рассылают фото или сканы документов.
ПЕРИОД ОХЛАЖДЕНИЯ И ВОЗВРАТ СРЕДСТВ
В прошлом году ЦБ выдвинул инициативу-обязать банк-плательщик на два дня приостанавливать зачисление денег на подозрительные счета, которые содержатся в специальной базе Банка России. Когда, по вашим расчётам, получится запустить этот механизм - так называемый период охлаждения?
Законопроект об этом подготовлен при участии Банка России и в сентябре прошлого года внесён в Госдуму. Надеемся, что в ближайшее время он будет принят в первом чтении.
ФинЦЕРТ Банка России ведёт базу данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, в которой содержатся в том числе сведения о совершённых операциях, о плательщиках и получателях денежных средств. Сведения из этой базы будут доводиться нами до банка-отправителя и банка - получателя платежа, и они, в свою очередь, будут обязаны использовать эту информацию в своих антифрод-системах.
Документ предусматривает, что банк плательщика в течение двух дней не будет подтверждать перевод на счёт, который содержится в нашей базе данных. Период охлаждения нужен, чтобы у гражданина было время на осмысление происходящей ситуации. Ведь он не сразу осознает, что находится под влиянием аферистов, которые под различными предлогами пытаются убедить его расстаться с деньгами. За два дня человек сможет обдумать свои действия или кто-то из родственников может заметить, что происходит что-то неладное.
Инициатива об обязанности банка возвращать похищенные у россиян деньги вызвала дискуссию в профессиональном сообществе. Удалось ли прийти к консенсусу с кредитными организациями относительно сроков и суммы возврата?
Она включена в тот же законопроект, который находится в Госдуме. Почему мы её предлагаем? Сегодня по закону клиент банка не вправе рассчитывать на возврат похищенных денег, если он нарушил условия договора, то есть передал реквизиты карты, CMC-код, логин и пароль от интернет-банкинга. Однако, как мы с вами и говорили вначале, к сожалению, сейчас широко распространено мошенничество с использованием методов социальной инженерии, когда человек под воздействием киберпреступников раскрывает им эти данные или добровольно переводит деньги. В итоге доля возврата очень низкая - за 9 месяцев 2022 года всего 4,8% от всего объёма похищенных денежных средств возвращено банками пострадавшим гражданам. Мы стремимся изменить ситуацию с возвратами, стимулируя банки лучше защищать своих клиентов и повышать качество работы антифрод-систем. Если эти функции кредитная организация выполняет некачественно, она будет нести финансовую ответственность.
Инициатива предусматривает, что если банк - отправитель платежа получил от нас информацию из базы о случаях и попытках перевода денежных средств без согласия клиента, но не учёл её в своих бизнес-процессах и совершил перевод на такой счёт, то он обязан будет вернуть клиенту похищенные средства в полном объёме в течение 30 дней.
Кроме того, банк - получатель платежа сможет ограничивать дистанционный доступ к счёту, если информация о таком счёте есть в базе о случаях и попытках осуществления переводов денежных средств без согласия клиента.
По законопроекту достигнут консенсус, завершилось межведомственное согласование, все заинтересованные министерства и ведомства его поддержали. Кроме того, мы намерены дополнительно обсудить с рынком и экспертами инициативы регулятора по противодействию кибермошенникам и социальной инженерии в середине февраля на уральском форуме "Кибербезопасность в финансах" в Екатеринбурге.
Банк должен будет вернуть всю сумму в любом случае или только при определённых условиях?
Законопроект предполагает, что банк должен предпринять все разумные меры по защите клиента. В первую очередь речь идёт о периоде охлаждения. В то же время банк не вправе ограничить клиента в распоряжении деньгами. И если, несмотря на двухдневный период охлаждения, на попытки банка разубедить клиента он всё равно настоял на переводе, тогда банк освобождается от обязанности компенсировать похищенное.
"СЛУЧАИ ОШИБОЧНОГО ПОПАДАНИЯ В БАЗУ ДРОППЕРОВ ЕДИНИЧНЫ"
Когда речь идёт об ограничении дистанционного доступа к счетам из базы ЦБ о подозрительных транзакциях, появляются опасения, что туда могут попасть добросовестные россияне. Каким образом формируется эта база?
База формируется на основе данных, которые банки и операторы платёжных систем передают в Банк России по жалобам клиентов о несогласии с операцией. В ней большое количество параметров - уникальных идентификаторов, в том числе сведения о совершённых операциях, о плательщиках и получателях денежных средств. Должны быть весомые доказательства, чтобы счёт попал в нашу базу данных о случаях и попытках по операциям без согласия клиентов. Если, например, покупатель товара на маркетплейсе остался недоволен, хочет вернуть деньги и пишет заявление в банк, то это не значит, что кредитная организация автоматически признает счёт продавца мошенническим.
Поэтому сейчас случаи ошибочного попадания в базу единичны, и для них установлен механизм быстрого исключения сведений из базы. Человек может обратиться для этого с заявлением в свой банк или в интернет-приёмную Банка России, после чего в течение нескольких дней будет принято решение об исключении из базы. Добросовестным клиентам банков, которые не вовлечены в противоправную деятельность, опасаться не стоит.
Можно ли базу ЦБ с информацией о подозрительных операциях назвать "базой дропперов"?
Официально у неё другое название, как я уже говорил. Однако эксперты и участники рынка также называют её базой дропперов. Это лица, которые занимаются выводом и обналичиванием похищенных денег.
Сколько сейчас в ней содержится счетов россиян?
Речь идёт о десятках тысяч. При этом утверждать, что именно столько злоумышленников действуют в России, неправильно. Во-первых, у мошенника может быть несколько счетов, через которые выводятся похищенные деньги. Во-вторых, информация о дропперском счёте появляется в нашей базе, когда пострадавший обратился в свой банк с заявлением о хищении денег, банк проверил информацию и направил её в ФинЦЕРТ Банка России - специальное структурное подразделение регулятора, на базе которого с участием всех банков проходит информационный обмен, в том числе о подозрительных операциях при денежных переводах. Но далеко не все пострадавшие от мошенников граждане обращаются с заявлением, в том числе в полицию.
ПРИ ЗВОНКЕ ЧЕРЕЗ МЕССЕНДЖЕР ОЧЕНЬ ВЫСОК УРОВЕНЬ АНОНИМНОСТИ ЗВОНЯЩЕГО, ПОЭТОМУ ПРИВЛЕЧЬ ЕГО К ОТВЕТСТВЕННОСТИ КРАЙНЕ СЛОЖНО. К ТАКИМ ЗВОНКАМ НАДО БЫТЬ ЕЩЁ БОЛЕЕ ВНИМАТЕЛЬНЫМИ, ЧЕМ К ТРАДИЦИОННЫМ ТЕЛЕФОННЫМ
0
25.00
