Более 2,5 млрд рублей отдали в минувшем году кибермошенникам жители Приморья. По данным краевого УМВД, за 2024 год сотрудники полиции зафиксировали более 10 тысяч таких преступлений. О том, как распознать аферистов и помогут ли защитить людей антифрод-системы банков и новые нормы закона, мы поговорили с начальником Отдела информационной безопасности Дальневосточного ГУ Банка России Максимом Дворецким.
Откуда у меня международный счёт?
– Максим Владимирович, в прессе уже не раз говорилось о том, что злоумышленники часто представляются сотрудниками Центробанка. А недавно стало известно ещё об одной хитрой схеме. Мошенники направляют потенциальной жертве электронное письмо с логотипом регулятора, в нём они сообщают, что у человека якобы есть международный счёт, и требуют его закрыть. Расскажите, как понять, что вам звонит или пишет аферист, а не официальное лицо?
– Да, действительно, есть такая схема. Мошенники обещают помочь человеку, высылают ему инструкцию. А на самом деле под этим предлогом рассылают фишинговые ссылки на сайт, где нужно ввести личные данные и банковские реквизиты. После этого они похищают деньги или оформляют кредиты и займы.
Первое, что нужно знать, чтобы не оказаться жертвой подобной схемы: настоящие сотрудники Банка России не звонят людям и не направляют им копии каких-либо документов, не запрашивают персональные и банковские сведения и не предлагают совершить какие-либо операции со счётом.
Бывает, что человек направил нам жалобу, и мы звоним или пишем ему, когда этого требует ситуация. Но в этом случае по контексту разговора сразу всё понятно. Ведь речь всегда идёт о конкретной проблеме, с которой человек обратился к нам. Но это, скорее, исключение из правил.
Мошенники могут представляться сотрудниками службы безопасности банка, бюро кредитных историй, МВД, ЦБ, операторами связи. Важно, чтобы человек понимал: совершенно не важно, кто звонит. Доверять звонкам, мгновенным сообщениям в мессенджере, письмам – нельзя. Если у вас спрашивают данные карты или код из СМС, предлагают перечислить деньги на «безопасный счёт», перевести деньги с «международного счета на российский» или заводят какие-то другие разговоры о деньгах, нужно прекратить разговор.
Странно, что люди верят в мифический «международный счёт». Казалось бы, откуда ему взяться, если ты его собственноручно не открывал.
Критическое мышление, безусловно, защищает человека, но не во всех ситуациях получается мыслить упорядоченно и логично.
Мошенники, они ведь тоже не лыком шиты и знают, за какую ниточку потянуть. В общении с жертвой они используют приёмы и методы социальной инженерии, играют на слабостях и знают психологию человека, стараются вывести его из равновесия. В кейсе с «международным счётом» они угрожают большим штрафом, арестом имущества или принудительным взысканием с заработной платы, требуют закрыть счёт как можно быстрее. Рассчитывают на то, что их жертва начнёт паниковать и допустит ошибку.
Важно и то, в каком состоянии в этот момент находится человек. Например, у него на работе аврал или что-то случилось с его близкими, он в смятении, встревожен. Всё, человек попал в зону риска. Или бывает, что мошенники выбирают для звонков ночное время. Когда тебя будят среди ночи, ты не сразу можешь сориентироваться в ситуации. Тут только один совет: не нужно принимать решение сразу. Не зря у нас в народе говорят: «Утро вечера мудренее».
Проголосуй за племяшку
– Буквально накануне моего знакомого взломали в Телеграме. Человек живёт в другом часовом поясе, и когда я получил сообщение, у него уже была глубокая ночь. Я понял, что это мошенники. Оказалось, что мой знакомый перешёл по ссылке, чтобы проголосовать за «племянницу» своего бывшего коллеги, и загрузил на телефон вирус. Так человек лишился доступа к мессенджеру, и от него началась веерная рассылка по всем контактам. Расскажите, как защитить свои гаджеты от мошенников?
– Наверное, на руку мошенникам сыграло то, что племянница действительно существует. Схема старая, но люди по-прежнему попадаются на эту уловку. Между тем правила защиты очень просты, и о них уже не раз говорилось. Переходить по ссылкам даже от знакомых опасно: никогда не знаешь, кто тебе пишет в мессенджере.
Защищайте свои мобильные приложения и аккаунты. Используйте сложные пароли. Никаких популярных слов, дат рождения, имён и фамилий. Если есть возможность, настройте двойную идентификацию: помимо пароля система будет каждый раз запрашивать подтверждение – код, который приходит в СМС и push-уведомлениях. И не сохраняйте пароли для автоматического ввода. Лучше каждый раз вводить их заново.
Важно всегда использовать последнюю версию программ. Производители регулярно выпускают обновления, усиливая тем самым антивирусную защиту. Не отказывайтесь от них. Взломать обновлённое устройство гораздо сложнее. Скачивайте только проверенные приложения из проверенных источников.
Мошенники не только рассылают фишинговые ссылки, но и просят устанавливать программы под разными предлогами. Например, некоторое время назад они предлагали людям устанавливать приложение якобы для определения подлинности банкнот. При этом давали ссылку на фальшивое приложение, визуально похожее на легальное мобильное приложение «Банкноты Банка России». После установки такого приложения мошенники получали удалённый доступ к телефону жертвы, могли прочитать СМС от банка с секретными кодами и паролями, зайти в онлайн-банк, перевести деньги или оформить кредит от чужого имени.
– А на самом деле возможна ситуация, когда сотрудник Банка России советует установить такое приложение?
– Сотрудник Банка России вообще не будет звонить людям или писать им в мессенджере. Ссылка для установки официального приложения «Банкноты Банка России» размещена на сайте регулятора. Приложение, кстати, не определяет подлинность купюр. Оно лишь содержит информацию об основных защитных признаках всех российских банкнот.
Ответят родители
– В криминальной сфере распространено такое явление, как дропперство. Дроппером человек может стать, совершив перевод средств, полученных мошенническим путём, а также махинации с картами: например, люди получают вознаграждение за то, что оформили банковскую карту и отдали её кому-то. Расскажите о том, какие последствия ждут участников подобных схем?
– Да, действительно, дропперство – это большая и серьёзная проблема. Тем более что в подобных преступных схемах оказываются задействованы школьники и студенты. Как правило, дропперы – это молодые люди в возрасте до 23 лет, которые вольно или невольно оказывают услуги мошенникам.
Как показывает практика, когда расследуется конкретный случай мошенничества, правоохранительные органы в первую очередь выходят на тех, кто находится на переднем крае, то есть именно на дропов. С дропа могут взыскать всю сумму похищенных денег, а это намного больше, чем его «заработок». Если речь идёт о несовершеннолетнем ребёнке, то обязанность вернуть деньги ляжет на его родителей. И, что ещё серьёзней, уже существуют прецеденты, когда молодые люди старше 16 лет привлекались к уголовной ответственности.
Также у таких людей возникают сложности с обслуживанием в финансовых организациях. Им ограничивают доступ к онлайн-платежам и картам.
Сейчас дети получают самостоятельно банковские карты в 14 лет, в этом случае нужен какой-то родительский контроль…
Если ребёнку нет 14 лет, карта открывается как дополнительная к карте родителя, который может отслеживать все операции ребёнка в личном кабинете банка. Но сейчас банки обязаны уведомлять и родителей подростков в возрасте от 14 до 18 лет о выдаче им карт, а также обо всех операциях по счету ребёнка. Такая мера направлена в том числе на борьбу с дропперством.
Обсуждается также законодательная инициатива об открытии счетов подросткам только с письменного согласия родителей.
Своё не отдам, и чужого не надо
– Очень часто дропперские карты используются именно для вывода украденных денег. При этом люди переводят мошенникам не только свои деньги, но и взятые у банков в кредит. Можно ли как-то обезопасить себя от таких схем?
– Действительно, нам известно много случаев, когда злоумышленники убеждали человека взять кредит и перевести заёмные средства мошенникам: по оценкам Банка России, 37% похищенных у людей денег – кредитные.
Одна из действенных мер защиты – самозапрет на кредиты. Оформить его можно на портале «Госуслуги». Затем информация о самозапрете отобразится в кредитной истории заёмщика. Как правило, ограничение начинает действовать уже на следующий день. Банки и микрофинансовые организации обязаны отказывать в выдаче кредитов и займов при наличии самозапрета. Если кредитор проигнорирует запрет и оформит кредит, то не сможет потребовать от заёмщика возврата долга.
Чтобы отменить самозапрет на выдачу кредита через «Госуслуги», понадобится усиленная электронная подпись. Это снижает риск снятия самозапрета мошенником, если он получит доступ к чужому кабинету на «Госуслугах». Важно и то, что после подачи заявления о снятии самозапрета ограничение действует ещё два дня, что снижает риски получения кредитов под влиянием мошенников.
- Ещё одна мера, предложенная Банком России для борьбы с мошенниками, должна заработать в сентябре, – это период охлаждения по кредитам и займам. Как будет работать этот механизм защиты?
Получить деньги по кредиту или займу от 50 тысяч до 200 тысяч рублей можно будет только через 4 часа после заключения договора. Если сумма выше, то средства кредитор перечислит не раньше чем через 48 часов. Пауза поможет человеку понять, не находится ли он под влиянием аферистов и действительно ли ему нужен кредит, а у банков и микрофинансовых организаций будет больше времени для проверки заёмщика. При выдаче кредита или займа с нарушением антимошеннических норм и при возбуждении уголовного дела по факту хищения денег кредитор не сможет требовать исполнения заёмщиком обязательств, начислять проценты и передавать долг коллекторам.
Кроме того, банки не смогут зачислять больше 50 тыс. рублей на токенизированные (виртуальные) карты в течение 48 часов с момента их выпуска. Аферисты часто используют схемы, в которых под разными предлогами убеждают людей токенизировать через приложения своих телефонов банковские карты, заменяя их на цифровые с теми реквизитами, которые назвал злоумышленник. Затем цифровые карты используют для вывода денег.
– Для защиты людей от мошенников Банк России предлагал внедрить сервис «второй руки» – о чём идёт речь?
– Сервис распространяется на переводы и операции по снятию наличных и позволяет человеку назначить себе помощника с правом подтверждать или останавливать подозрительные операции. Таким образом, люди, которые не уверены в своих возможностях распознать мошенника, смогут положиться на помощь близкого человека. Обмануть одновременно двух человек мошенникам будет сложнее. Сейчас законопроект, по которому банки будут обязаны внедрить сервис, готовится к рассмотрению во втором чтении.
Закон суров
– Можно ли уже оценить те меры, которые были введены для защиты граждан в прошлом году?
– В июле прошлого года в силу вступил важный закон, который усилил защиту людей от кибермошенников и повысил финансовую ответственность кредитных организаций. У банков появилась обязанность возмещать клиенту деньги, если они допустили перевод средств на мошеннические счета, зафиксированные в специальной базе Банка России. В эту базу стекается информация обо всех случаях и попытках перевода денежных средств без согласия клиентов от банков и других участники информационного обмена.
Когда антифрод-система банка выявляет подозрительную операцию, он обязан приостановить её на два дня, предупредив об этом клиента. Если клиент подтвердил операцию, то банк исполняет его распоряжение. Но существует другой сценарий. Банк посчитал операцию подозрительной, потому что опирался на сведения из базы данных Банка России. В такой ситуации он безоговорочно обязан заморозить перевод на два дня. Потому что в базу Банка России данные случайно не попадают, риск мошеннической операции очень высокий.
Банки стараются следовать нормам закона, но, к сожалению, не всегда всё зависит от банка. Бывает, что два дня проходят, а клиент не одумался и настаивает на операции. В итоге теряет деньги. В этом случае банк освобождается от финансовой ответственности. И тем не менее мы видим, что банки стали чаще возвращать деньги клиентам.
В 2024 году объём операций без добровольного согласия клиентов составил 27,5 млрд рублей. При этом банки возвратили клиентам около 10% от объёма украденных мошенниками денег, или 2,7 млрд рублей. Для сравнения: в 2023 году данный показатель и в процентном соотношении, и в абсолютных цифрах был ниже (8,7%, или почти 1,4 млрд рублей).
При этом большую часть операций без добровольного согласия клиентов банки предотвращают. В прошлом году они не дали мошенникам совершить более 72 млн операций (в 2023 году – 35 млн) и тем самым спасли около 13,5 трлн рублей (в 2023 году – 5,8 трлн рублей).
Так что да, внедрённые меры по защите клиентов работают, и мы рассчитываем, что новые будут не менее эффективны.
КСТАТИ:
О многих мошеннических схемах Банк России рассказывает на своём официальном сайте www.cbr.ru – в разделе «Противодействие мошенническим практикам», а также на информационно-просветительском ресурсе «Финкульт.инфо» – в разделе «Грабли».
