Платежное похищение

Больше всего денег с банковских счетов граждан мошенники похищают при покупках в интернете. Теперь это ключевой канал для таких краж, причем всю необходимую информацию жертвы зачастую выдают злоумышленникам сами. Офлайном мошенники больше не интересуются: так, в России полностью исчез скимминг — метод воровства из банкоматов с помощью поддельных клавиатур и накладок на считывающие устройства для банковских карт.

Об этом говорится в обзоре Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России, посвященном операциям, совершенным без согласия клиентов. Его презентовали на Уральском форуме по информационной безопасности финансовой сферы.

Всего в прошлом году объем операций, совершенных без согласия клиентов (физлиц и юрлиц), превысил 6,4 млрд рублей, отмечается в обзоре. В среднем у одного физлица было украдено 10 тысяч рублей, у юрлица — 152 тысячи рублей. При этом 69% мошеннических операций совершалось с помощью социальной инженерии — выманивания конфиденциальной информации (пароли, коды из смс-сообщений) у самих жертв.

Банки возместили клиентам из указанного объема похищенного 15% — 935 млн рублей. Это далеко не самый высокий уровень, но, поддаваясь на уговоры мошенников, клиенты банков чаще всего нарушают условия договоров с банками, которые прямо запрещают разглашение конфиденциальной информации. В связи с этим ЦБ планирует обсудить возможность изменения процедуры компенсаций, говорится в отчете. Подробностей ЦБ пока не сообщает — замдиректора департамента Банка России по информационной безопасности Артем Сычев лишь пояснил, что речь не об изменении порядка компенсации, а об изменении порядка возврата денег, которые были перечислены без согласия клиента. "У нас сейчас есть механизм возврата денег, если они списаны со счета юридического лица и если они еще не зачислены на счета конкретных получателей. Механизм прописан в законе, работает, но работает тяжело", — посетовал Сычев. Пока банки имеют право не возвращать деньги, если докажут, что клиент сам нарушил порядок использования электронного средства платежа.

В обзоре ФинЦЕРТа говорится, что главный канал для хищений денег со счетов граждан — это покупки в интернете. "Больше всего операций без согласия клиентов — физических лиц пришлось на операции по оплате товаров и услуг в интернете (CNP-транзакции). Клиенты банков сообщили в прошедшем году о 371,1 тысячи таких транзакций, две трети из которых (243,3 тысячи транзакций) — результат применения к ним методов социальной инженерии", — отмечается в обзоре. При покупках в интернете, по данным ЦБ, мошенники похитили у россиян в прошлом году почти три миллиарда рублей, пятую часть от этого объема банки все же возместили своим клиентам.

Банки имеют право не возвращать деньги, если докажут, что клиент сам нарушил порядок использования электронного средства платежа

При этом системы дистанционного банковского обслуживания (то есть онлайн-банки или мобильные приложения) атаковались 160,8 тысячи раз, говорится в обзоре. Здесь же была и самая высокая доля социальной инженерии (88,9%) — из-за целевого характера атак, поскольку так есть шанс за один раз украсть весь остаток на счете. Объем таких хищений в 2019 году составил почти 2,3 млрд рублей, банки вернули клиентам из этого объема 162,3 млн рублей.

Из относительно позитивного — статистика по хищениям через банкоматы. Такой способ краж стал наименее популярным — в 2019 году через банкоматы и терминалы было похищено 525 млн рублей россиян. Однако непосредственно на территории России таких хищений не было зафиксировано, заявил Сычев. "У нас вообще исчезла из статистики такая категория, как скимминг. Факты, которые мы фиксируем, когда люди говорят, что с их карт что-то списали в банкомате, — это на сто процентов использование карты за рубеж.

Роман МАРКЕЛОВ