«Да сколько ж можно?!» Когда нас перестанут атаковать финансовые мошенники?

Фото: Иван МАКЕЕВ

Наверное, все россияне уже получали звонки и сообщения от подозрительных личностей, которые представляются сотрудниками службы безопасности банка или каких-нибудь государственных структур. Телефонное и кибермошенничество выходит на новые уровни. Преступники применяют и психологические методы, и последние достижения технической мысли. Как противостоять этим бесконечным атакам? И что делать, чтобы не стать очередной жертвой хитроумных и беспринципных злоумышленников? Об этом рассказали эксперты на круглом столе «Бум телефонного и кибермошенничества в России: когда нас прекратят атаковать?», который прошел в медиа-центре «Комсомольской правды».

«Защита средств граждан – основной приоритет ЦБ»

Известный факт. Наша страна занимает лидирующие позиции с точки зрения цифровизации финансового сектора. Мы давно привыкли к тому, что получаем финансовые услуги дистанционно без каких-либо проблем: онлайн или с помощью смартфона.

- Но мы прекрасно понимаем, что в связи с этим повышается уязвимость клиентов финансовых организаций. Все чаще злоумышленники их атакуют на предмет хищения денежных средств, которые хранятся у них на счетах и вкладах. Защита граждан и их средств на счетах – основной приоритет Банка России. Мы достаточно много внимания уделяем этому, - рассказал Вадим Уваров, директор департамента информационной безопасности Банка России.

По его словам, благодаря системе эшелонированной защиты, Банку России вместе с банками удалось в 2023 году предотвратить почти 35 млн мошеннических операций и не допустить хищений на сумму в 5,8 трлн рублей. Однако, несмотря на это, злоумышленникам все же удалось совершить более миллиона успешных операций и похитит 15,8 млрд рублей. Это почти на 15% больше, чем годом ранее. При этом значительную часть похищенного составляют кредитные средства. То есть, мошенники не только украли у жертв их деньги, но еще и заставили оформить на себя кредиты и эти деньги тоже отправить злоумышленникам.

Чаще всего мошенники взаимодействуют с потенциальными жертвами по телефону. А основным методом выманивания средств является социальная инженерия. Она заключается в том, что человека вынуждают самостоятельно перевести деньги на счета мошенников. А для этого последние кем только ни представляются: и следователями Генпрокуратуры, и сотрудниками сотовых операторов, и чиновниками Минцифры, и даже представителями Центробанка.

- Основная цель мошенников – ввести человека в управляемое состояние. Нередко используют поддельные документы. В целом заставляют жертву поверить в обоснованность тех действий, которые они осуществляют, - объясняет Вадим Уваров.

О чем новый закон

При этом действуют мошенники не по одиночке, а в составе организованных преступных групп, где есть свои сборщики данных, аналитики, психологи. Поэтому и для противодействия им нужно действовать сообща. В ЦБ для этого активно сотрудничают с Генпрокуратурой, Минцифры, с банками и сотовыми операторами. В результате каждый год блокируются сотни тысяч телефонных номеров мошенников и десятки тысяч доменных имен. Без этого объемы хищений могли быть еще более серьезными.

Кроме того, в ближайшее время вступят в силу некоторые системные меры.

- В июле 2024 года вступит разработанный при участии Банка России закон, который нацелен на усиление защиты наших граждан от воздействия злоумышленников. В первую очередь, законом вводится двухдневный период охлаждения, который позволит не переводить деньги на подозрительный счет. Мы полагаем, что эта мера будет достаточно эффективна с точки зрения возможности человеку прийти в себя, если он попал под воздействие социальных инженеров, и не осуществлять перевод на те реквизиты, которые злоумышленники использовали ранее при хищении денежных средств. Если банк совершит такой перевод до истечения периода охлаждения, то он должен будет компенсировать клиенту все потери, - пояснил Вадим Уваров.

И наконец, закон будет бороться с дропами (или дропперами) – то есть, людьми, которых мошенники зачастую используют втемную. Например, просят за деньги оформить карту и отдать в пользование злоумышленникам. По сути, они являются подставными лицами и в том числе сообщниками преступников. Поэтому по новому закону таким людям будут приостанавливать доступ к дистанционному банковскому обслуживанию. То есть, не только блокировать какую-то одну выпущенную карту, а блокировать все карты и мобильные приложения, оформленные на конкретного человека.

Страх упущенной выгоды

При этом мошенники орудуют не только с помощью телефона, но и с помощью популярных мессенджеров. И если при звонках они, как правило, давят на чувство страха потерять свои деньги, то в социальных сетях апеллируют к другому чувству страха…

- Мошенники используют страх упущенной выгоды. Во всех этих мошеннических каналах показана красивая жизнь. Чтобы простые люди завидовали и думали, что мне тоже нужно купить какой-нибудь актив, который меня срочно обогатит. К примеру, людям обещают, что им заработают очень много денег за один день. Вроде бы сложно поверить. Но суммы небольшие. И люди их перечисляют. А потом им говорят, что все прошло успешно, заработок составил баснословную сумму. Но, чтобы забрать ее, нужно заплатить комиссию, налог и т.д. Если жертвы ведутся и снова присылают деньги, то это никогда не закончится, ведь задача мошенников – не обогатить незнакомых им людей, а выбить с них как можно больше, - объясняет самый популярный развод в «Телеграме» Олег Анисимов, основатель проекта «Вкладер».

Способов развода в «Телеграме» очень много. Как правило, мошенники создают анонимные телеграм-каналы на темы финансовой грамотности. Чаще всего дают советы, как выгодно вкладывать деньги в криптовалюты. Видимо, в этой сфере проще объяснить получение сверхдоходов. Первое время псевдоэксперты завоевывают лояльность аудитории. Но потом переходят к основному акту пьесы. Выкладывают пост, в котором призывают как можно быстрее вложить деньги в какую-то якобы очень выгодную «монету» или проект. При этом, чтобы аудитория, поверила в реальность происходящего, выкладывают отзывы «благодарных клиентов». Естественно, подставных.

- Сейчас полно людей абсолютно спокойно записывают видео-отзывы за 300 рублей. Это для них такой способ заработка. И подобные отзывы покупаются в большом количестве. Более того, модно стало с детьми такие отзывы записывать. И многие люди не понимают – как же, человек с ребенком залез в кадр, не может же он меня обмануть?! А вот и может! – рассказывает Олег Анисимов.

Ну и логическим продолжением обмана является предложение услуг лже-юристов. Они, как правило, ловят в свои сети тех, кто уже попался в руки финансовым мошенникам. И хочет вернуть потерянное.

- Лже-юристы пишут, что они нашли деньги в какой-нибудь островной стране, но нужно подтвердить счет, верифицировать аккаунт, заплатить комиссию, разобраться с американской налоговой службой. В общем, придумывают очень много разных причин, почему нужно еще раз отдать деньги. Потому что лже-юристы - зачастую это те же самые мошенники, - констатирует Олег Анисимов.

- Есть два чувства, на которые воздействуют мошенники: то, чего человек боится, и то, чего желает. Зная одно и другое, можно манипулировать им. Когда человек ленится напрячься, подумать, он автоматически становится жертвой мошенников. К примеру, людям очень нравится, когда о них заботятся, им нравится думать, что они в безопасности. А это ведет к тому, что они расслабляются и гонятся за легкой наживой, - говорит Ирина Коржаева, клинический психолог, гипнотерапевт.

Искусственный интеллект на службе преступников

При этом мошенники на месте не стоят и все чаще используют не только психологию, но и последние достижения современных технологий. В частности, искусственный интеллект.

- Примеров дипфейков много сейчас. Сначала они были очень веселые. Но теперь их все чаще используют мошенники. В Китае, например, был случай, когда жертва обмана перевела больше 600 тысяч евро, а в Великобритании был кейс уже с бизнес-мошенничеством, когда энергетическая компания перевела 243 тысячи долларов. Все произошло в формате, когда позвонили бухгалтеру, представившись директором. Бухгалтер в панике сделал то, что попросили, - рассказывает Павел Коваленко, директор центра противодействия мошенничеству компании «Информзащита».

Сейчас один из главных трендов мошенничества – это угон аккаунтов в социальных сетях, а затем использование голосовых или видео-сообщений, чтобы выманить деньги у тех людей, которые находятся в контакте с жертвой взлома. Например, когда владелец взломанного аккаунта якобы просит у друзей срочно одолжить деньги до завтра.

- Учитывая, как двигаются технологии искусственного интеллекта, сейчас взять фотографию и записать какой-то кружочек, отправить моей бабушке с комментариями, что у меня проблемы, и взять мой голос, уже практически ничего не составляет труда. Мы на работе даже проверяли, насколько это эффективно. Поэтому нужно все оценивать и смотреть, куда двигается тема с искусственным интеллектом, - дополняет Павел Коваленко.

Законодательные инициативы в этом плане еще только прорабатываются. Главная сложность заключается в том, что поймать злоумышленников довольно сложно. Большинство атак анонимны и проводятся, как правило, из-за рубежа. Поэтому, как и везде, лучшая защита – это профилактика.

Как банки защищают клиентов

Сейчас мошенничество трансформируется, и злоумышленники активно используют стремление банков быть ближе к клиенту и разработать более удобные и понятные сервисы дистанционного банковского обслуживания. В каждом таком сервисе в зависимости от банка и выбранной архитектуры могут присутствовать технические особенности и терминологические новшества, на незнание которых обывателями рассчитывают злоумышленники и массово вводят в заблуждение своих потенциальных жертв. «Перевод денег на безопасный счет в ЦБ», «исчерпание кредитного потенциала», «обнаружение мошенников в дополнительном офисе банка», «участие в следственном эксперименте», «помощь в возврате ранее украденных денежных средств» - мотивов для вовлечения жертв в мошеннические схемы очень много. Тем не менее, банки пытаются различными комплексными методами и актуальными техническими средствами противодействовать этой угрозе.

- Я хотел бы сказать про меры, которые мы предпринимаем. В техническом плане это внесение изменений в алгоритмы работы систем и корректировка клиентских путей и схем обслуживания клиентов, включение скрытых признаков присутствия воздействия на клиентов со стороны третьих лиц в скрипты и чек-листы для операционистов в дополнительных офисах. В техническом плане мы активно применяем черные списки и уведомления, которые нам любезно предоставляются со стороны АСОИ ФинЦЕРТ Центрального Банка, а также от коллег из межбанковского сообщества. Это касается не только отдельных реквизитов клиентов, это могут быть признаки, характеризующие модель поведения или отдельные этапы реализации схемы мошенничества: IP-адреса, доменные имена, порты, которые используются злоумышленниками при совершении тех или иных операций. Они заносятся в системы фильтрации класса антифрод и позволяют в случае срабатывания либо приостановить, как сейчас, либо в перспективе заблокировать полностью и не дать совершать ту или иную операцию при переводе денежных средств на счета дропперов, подконтрольные злоумышленникам, - заявил Алексей Плешков, заместитель начальника Департамента защиты информации Газпромбанка.

Одна из наиболее актуальных мер – противодействие мошенничеству при выдаче кредитов. Банки в этом заинтересованы, не меньше пострадавших клиентов.

- При наличии подозрений, в скрытом для клиента режиме оператор колл-центра маркирует поступившую от клиента по цифровому каналу заявку, тем самым меняя ее маршрут с точки зрения дополнительной перепроверки. В разных банках это реализуется по-разному. Кто-то делает повторный перезвон клиенту, кто-то передает заявку на ручную проверку андеррайтингу, когда андеррайтер обязан связаться с клиентом и подтвердить данные, - поясняет Алексей Плешков.

По его словам, чтобы повысить эффективность противодействия мошенникам, нужно усиливать межбанковское взаимодействие, обмениваться опытом и включать известные схемы обмана в общий доступ для всех кредитных организаций. Важным практическим методом снижения активности злоумышленников может стать внедрение в банках расширенного периода охлаждения по всем подозрительным заявкам на кредитные продукты от клиентов физических лиц. Это перспектива 2024-2025 годов.

Данные текли, текут и будут течь

По словам экспертов, одной из основных причин такого большого числа мошенничеств является утечка персональных данных. Ведь зная их, можно проще втереться в доверие к потенциальной жертве.

- По результатам аналитики центра ГК InfoWatch, только за 2023 год утекло 170 млн единиц персональных данных. Например, связки – фамилия, имя, отчество и телефон. При этом подавляющее число утечек имеет умышленный характер, это слив данных из различных организаций, - говорит Александр Клевцов, эксперт по информационной безопасности InfoWatch.

То есть, зачастую персональные данные клиентов копируют и продают налево сами сотрудники этих организаций. За ту или иную плату, которую они получают от мошенников. Банки с этим сейчас активно борются – выстраивают внутреннюю защиту информации.

- В любом банке действует серьезная система разграничения мер, любой сотрудник не получит доступ к большому объему данных или к тем данным, которые не входят в его производственные обязанности. На мой взгляд, тотальный контроль в банках и так внедрен, но риски все равно остаются, - считает Александр Клевцов.

- Проблема шире и заключается в том, что один раз утекшие и опубликованные в Интернете чувствительные данные никуда оттуда не деваются. Они остаются там навсегда, кем-то целенаправленно накапливаются и регулярно повторно используются злоумышленниками для совершения все новых атак, - добавляет Алексей Плешков.

- А еще бывает таргетированная утечка, когда специально заказывают данные какого-то конкретного клиента банка, чтобы потом уже непосредственно его прорабатывать. Даже разные ценники в даркнете есть. Если это массовая база, контактный телефон и фамилия, то это одна цена, если это больше информации, указано больше реквизитов, и сообщается, что эти клиенты банка обладают существенными финансовыми средствами на счетах, то эти записи стоят дороже, - привел пример Александр Клевцов.

При этом противостоять утечке данных довольно сложно.

- Это раньше аккумуляция больших массивов данных была затруднена технически. Вы помните старые шпионские фильмы середины ХХ века. Нужно было пробираться с маленькой шпионской фотокамерой, ловить момент, что-то перещелкивать, потом спешно убегать. Сейчас данные на всю Москву, можно благополучно упрятать во флешке, замаскированной в кулончик, - рассказывает Урван Парфентьев, координатор Центра безопасного интернета в России.

По его словам, данные в электронной форме, к сожалению, текли, текут и будут течь, пока на них есть спрос. Почему? Потому что на них есть устойчивый спрос, ведь они приносят деньги. Поэтому будут изобретаться те или иные способы, чтобы эти данные использовать не по назначению. - Хороший аналитик на той стороне закона собирает эти базы данных, сопоставляет информацию в электронном формате, находит совпадения по ключевым параметрам. Из нескольких баз данных получается общая картина того, что вы из себя представляете, что у вас есть, за что можно зацепиться, чтобы вас атаковать и попытаться увести ваши деньги, - пояснил Урван Парфентьев.

При этом многие пользователи, особенно молодежь, сейчас выставляет огромное количество данных о себе самостоятельно. Многие хотят стать блогерами и зарабатывать на этом деньги. Но в результате предоставляют в пользование мошенникам и свое изображение, и запись голоса.

По словам Парфентьева, нужна четкая ревизия законодательства на предмет соответствия критериям разумности и соразмерности принимаемых мер. А также внедрение технических мер в те организации, которые работают с чувствительными данными. Чтобы они соблюдали процедуру обработки персональных данных, в частности, их обезличивание и удаление.

Баланс комфорта и безопасности

Одна из актуальных проблем массированных атак мошенников – полное недоверие граждан к звонкам с незнакомых номеров; даже при обращениях из реального колл-центра банка человек может отклонить вызов. По мнению экспертов, банкам стоит идти в новые методы для предотвращения фрода.

- В безопасности необходимо применять риск-ориентированный подход. Всем компаниям необходимо стремиться, чтобы средства, усиливающие безопасность, были не на виду у клиентов, а автоматизированы и спрятаны внутри платежного сервиса. Например, подходят решения в виде генерации ключей на устройстве, просмотр цифрового отпечатка пользователя и проверка вирусной активности. Также необходимо проверять, что пользователь уже входил с этого устройства, и в момент запроса на перечисление средств ему не звонят телефонные мошенники, пытаясь ввести в заблуждение. И только в случае необнаружения какой-либо мошеннической активности осуществлять перевод - объясняет Артем Гяммер, руководитель информационной безопасности Wildberries банка.

По его мнению, для упрощения и в то же время повышения безопасности можно использовать средство единого входа – например, личный кабинет на портале госуслуг. При этом в первую очередь клиентам нужно соблюдать цифровую гигиену, осторожность в своих действиях и переводах.

- Кто бы что ни говорил, но самым эффективным механизмом защиты от мошенников на сегодняшний день (я думаю, и в будущем) остается осторожность и бдительность граждан, а также развитие навыков цифровой грамотности населения, - говорит Антон Немкин, депутат Госдумы.

Подводя итоги круглого стола, вот какие рекомендации эксперты дали читателям «Комсомольской правды».

СОВЕТЫ «КП»

Фото: Иван МАКЕЕВ

Как не стать жертвой финансовых мошенников?

Вадим Уваров:

- Мы в Банке России рекомендуем, если человеку позвонили и начинают задавать непонятные вопросы, положить трубку, перезвонить в ту организацию, в которой он обслуживается, уточнить все необходимые моменты. Не переходить ни по каким присланным ссылкам, быть всегда на страже личных и финансовых данных, не передавать эту информацию злоумышленникам.

Александр Журавлев, председатель комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России:

- Недавно был принят закон об изменениях в Закон о потребительском кредите и займе, который с июля этого года позволяет любому гражданину поставить самозапрет на оформление кредитов или займов. Это очень важно. И я бы рекомендовал всем озабоченным своей безопасностью гражданам это право использовать.

Олег Анисимов:

- Не надо делиться в интернете никакой информацией, которую вы бы теоретически не хотели видеть. Все, что где-то прошло, может оказаться общедоступным. В том числе пароли, данные, которые вы оставляете в коммерческих структурах.

Игорь Душа, директор портфеля решений НОТА КУПОЛ:

- Я бы порекомендовал подключить двухфакторную аутентификацию там, где это возможно. Проверить сложность своих паролей и не дублировать их на разных сервисах. На телефон поставить определитель, который будет подсвечивать мошенников.

Павел Коваленко:

- Я бы хотел, чтобы мы чаще делились важной информацией с близкими. Старшее поколение, люди пожилого возраста могут не понимать, цифровая грамотность должна быть донесена теми, кто в курсе всех опасностей и знает, как им противостоять.

Алексей Плешков:

- Надо всегда помнить, что в фокусе внимания злоумышленников находится каждый из нас. Повышайте свой личный уровень осознанности и осведомленности в вопросах информационной безопасности и противодействия кибермошенничеству. Обсуждайте полученную информацию с коллегами, рассказывайте о ставших вам известных схемах мошенничества и актуальных угрозах в семье, вовлекайте и на своем примере объясняйте безопасный сценарий поведения в подобных ситуациях, «вооружайте» окружающих вас. Ведь осведомлен – значит вооружен.

Урван Парфентьев:

- Если вам поступает информация по телефону, мессенджеру, электронной почте, базовая реакция – не верь и не бойся. Либо вам обещают золотые горы, либо вас стремятся напугать. Если какая-то организация или человек реально пытались до вас достучаться, они найдут способ довести до вас информацию. Кроме того, не нужно вываливать свою жизнь в социальные сети. Проблем получите много. В связи с развитием дипфейков, в связи с голосовой подделкой, нужно вводить некие кодовые фразы и вопросы. И не забывать эти контрольные вопросы периодически менять как пароли, потому что мошенники тоже не спят.

Александр Клевцов:

- Пару лет назад мы с семьей договорились, что, если кто-то из нас позвонит, пришлет фотографию или начинает воздействовать, пугать, спроси определенные слова, которые известны только нашей семье. И мне понравился тезис – не бойся. Иногда же они звонят и начинают представляться сотрудниками полиции. И чуть ли не угрожать: по вам прошла наводка, вы должны сообщить информацию. Не бояться, не паниковать – хороший совет.