О том, как легко украсть деньги с банковских счетов казахстанцев и почему банки не обязаны защищать своих клиентов от мошенников, но вынуждены это делать, – в материале inbusiness.kz.
История, связанная с кражей 200 млн тенге с банковских счетов казахстанцев кибермошенниками из России, не потрясла гигантов банковской сферы. По большому счету, это не самое крупное хакерское хищение в истории человечества. Как сообщили в МВД, по фактам краж расследуется 42 уголовных дела. В пересчете на одного – менее пяти миллионов тенге получается. Совокупно достаточно внушительная сумма, в среднем эквивалентна приличным накоплениям на банковском депозите. Впрочем, скорее всего, дела обстоят несколько хуже. И озвученная замминистра внутренних дел Маратом Кожаевым на пленарном заседании мажилиса сумма в 200 млн тенге – всего лишь часть киберворовского размаха.
Социальная инженерия
По данным Нацбанка Казахстана, ежеминутно через национальные платежные системы проходит 5,4 млрд тенге, а в день – 3,3 трлн. Сколько из них попадают под определение «мошеннические» – таких данных нет. Или есть, но скрыты в отчетностях правоохранительных органов.
KPMG (аудиторская фирма, входящая в «большую четверку») в результате рутинного исследования внезапно обнаружила, что каждый второй банк страдает от растущих потерь из-за мошенников. Более 60% респондентов из числа банковских служащих утверждают, что так или иначе, но с мошенничеством уже сталкивались. По данным этого международного исследования, посвященного банковским рискам, социальная инженерия вошла в топ-5 вызовов, стоящих перед банками.
Между тем от турецких кибермошенников уже пострадало более двух тысяч казахстанцев. Аферисты создают клоны сайтов Народного банка и казахстанского филиала Сбербанка России и завлекают доверчивых граждан высокими бонусами, разместив рекламу в соцсетях Facebook и Instagram. Ради бонусов люди переходят по ссылке и авторизуются в личном кабинете на фейковом сайте-клоне. Передав данные по карте злоумышленникам, вместо дополнительных бонусов казахстанцы лишаются всех денег на счете.
По словам экспертов IT-индустрии, турецкие грабители, специализирующиеся на кражах со счетов и депозитов, – просто классика киберворовского жанра. Такой вид мошенничества на языке профессионалов называется «фишинг» (фишинг – разновидность социальной инженерии, основанный на человеческой беспечности, доверчивости и незнании основ сетевой безопасности. – Прим.).
«Зачастую люди сами проявляют неосторожность, оставляя данные своей карты на сомнительных сайтах, отключая уведомления об операциях, снимая деньги в непроверенном банкомате, отдавая карту в руки какому-то официанту, который ее куда-то потом уносит», – объясняет причины участившихся краж с банковских карт Кирилл Сарсенов, руководитель направления противодействия транзакционному мошенничеству SAS Россия/СНГ.
Классика киберворовского жанра
«К сожалению, сегодня самым слабым звеном остается человек, и злоумышленники активно этим пользуются, – говорит Евгений Питолин, управляющий директор «Лаборатории Касперского» в Казахстане и Центральной Азии. – К целевой атаке на финансовые учреждения злоумышленники готовятся заранее, изучают потенциальных жертв в социальных сетях, собирают информацию из открытого доступа, после этого пишут именное фишинговое письмо. В случае массовых атак у злоумышленников нет всей информации, но они легко узнают ее у самих пользователей с помощью социальной инженерии. В переписках с людьми, на различных сервисах объявлений граждане сами добровольно раскрывают данные своих карт, остальное – дело мошенника. Кстати, за последний год Казахстан настигло несколько крупных утечек баз данных, и достаточно просто обзвонить людей из базы и проверить их на наличие одной-двух карт ведущих банков – вероятность попадания в точку крайне высока».
Обычно для «развода» выбирают людей, которые в соцсетях оставляют много информации о себе: где были, что купили, сколько потратили и прочие подробности, еще лучше, если для привлечения внимания пост иллюстрируется фотографией чека или скриншотом выписки по карте…
«Один из самых распространенных способов мошенничества сегодня – это звонок от якобы службы поддержки или безопасности банка. Говорящий очень настойчиво и убедительно просит сообщить информацию, необходимую для получения доступа к его счетам в онлайн-банке. Причем, если злоумышленник обладает какой-то личной информацией о пользователе, то такой разговор может выглядеть очень достоверным, – рассказывает Питолин. – Остаток на счете, выписка с историей операций, последние покупки – такая информация может очень многих убедить, что речь идет о реальном звонке из банка, соответственно, много людей могут потерять деньги, если у мошенников будет к ней доступ. Для осуществления денежного перевода злоумышленникам обычно необходимо выведать одноразовые пароли, которые банк направит на номер телефона владельца карты».
«Также очень распространенная схема – это подложный сайт системы интернет-банкинга. Для таких сайтов мошенники могут даже запустить рекламу в соцсетях, чтобы привести трафик. Или еще бесконтактные переводы через банкомат, когда злоумышленник начинает транзакцию без использования карты, вводит сумму, но не завершает операцию, а следующий человек прикладывает свою карту, сам не зная, переводит деньги на телефон, – продолжает Сарсенов. – В этом случае, мы советуем внимательно смотреть, что пишет устройство. Возможно, сначала придется отменить чужую незаконченную транзакцию, а уже потом вставлять или прикладывать свою карту».
Как защититься? Специалисты говорят, самое главное – не поддаваться панике и помнить, что социальная инженерия работает только потому, что выглядит и звучит очень реалистично.
«Злоумышленники часто звонят рано утром или поздно вечером, чтобы звонок был неожиданным. Если звонит кто-то незнакомый по поводу вашего банковского счета и очень настойчиво что-то требует, надо ставить этот звонок под сомнение. Самое главное – никогда и никому не сообщайте CVV и полученный в SMS код, а также другую информацию о карте, даже если это реальный сотрудник банка. Важно также донести до максимально широких кругов пользователей, как выглядит мошенничество, в том числе телефонное, и как ему противостоять», – говорит Питолин.
Почему банк меня не защитит?
На самом деле банк не обязан стоять на страже беспечности клиентов. Банковская карта для того и предназначена, чтобы максимально упростить процедуры оплаты, обналичивания, переводов. При этом банк никак не контролирует все то, что происходит с картой.
Однако репутационные риски для банка не пустой звук. Ограбленные клиенты, как правило, начинают обвинять банк в том, что не заморозил вовремя карту, не приостановил операцию, которая прошла два-три дня назад, не запустил процедуру chargeback (возвратный платеж), не провел полное и квалифицированное расследование.
Поэтому банки вынуждены тратить силы на то, чтобы обеспечить безопасность денег своих клиентов.
«Начиналось все когда-то очень просто, когда карты только появились, для того чтобы заплатить в интернет-магазине, достаточно было сообщить номер карты, и только на этом основании магазин снимал деньги, – рассказывает Константин Пак, директор центра финансовых технологий и инноваций АФК. – Потом стало понятно, что номер карты не самый секретный реквизит. Следующим шагом платежных систем был придуман секретный номер, который называется CVC/CVV. Это дополнительные цифры которые не так явно напечатаны на карте и совместно с номером карты используются для подтверждения платежа. Когда стало понятно, что и эти цифры, в принципе, тоже можно украсть, как дополнительный уровень безопасности для кредитных и дебетовых карт придумали то, что называется 3D-Secure. Это некая комбинация символов, которая хранится отдельно в базе данных, которая не напечатана на карточке и вводится не на сайте интернет-магазина, а на сайте банка в момент транзакции. Когда транзакция пошла, система перенаправляет на сайт банка, и там дальше идет 3D-Secure. Иногда 3D-Secure замещается или сопровождается одноразовым кодом в SMS – так называемая двухфакторная аутентификация, когда часть данных поступает по одному каналу и часть – по второму. Есть и другие технологии, к примеру, система токенизации, когда для платежа используются токены – виртуальные представления карты».
Некоторые банки идут еще дальше и предлагают за отдельную плату страховать пластиковые карты. В России эта услуга набирает популярность.
«В 2018 году продукт «Защита банковских карт» СК «Сбербанк страхование» приобрели более пяти миллионов человек, сборы по страхованию карт выросли на 30%, а по итогам 2019 года прогнозируется рост более чем на 20%», – цитирует «РГ» Олесю Дунаеву, руководителя управления разработки продуктов и маркетинга СК «Сбербанк страхование».
Однако, по словам Кирилла Сарсенова, все зависит от законодательства каждой отдельной страны.
«Но даже если государство изначально настаивает на возмещении ущерба, человеку предстоит доказать, что со своей стороны сделал все, что мог, и не раскрывал данные карты по неосторожности», – говорит Сарсенов.
То есть даже по застрахованной карте банк может отказать в компенсации украденных средств, если «было нарушение правил пользования застрахованной банковской картой, установленных банком, в том числе вследствие сообщения ПИН-кода карты третьим лицам».
Автор Катерина Клеменкова
Источник banker.kz