Количество киберпреступлений в Беларуси, как и по всему миру, растет. Цель телефонных атак — заполучить данные банковской карточки. Помимо нашумевших схем, когда злоумышленники выманивают реквизиты карт через звонки в Viber, стали набирать обороты и более изощренные подходы. Например, не просто списание средств, но и оформление кредита на ничего не подозревающую жертву. Что этому можно противопоставить?
Сети доверия
Ольге, жительнице Глубокого, позвонили в начале весны. Сказали, что обращаются к ней из службы безопасности крупного белорусского банка. Никакого подвоха женщина не заподозрила.— Звонок поступил в Viber. На экране — логотип банка. Вы думаете, я не слышала о волне преступлений в сети? К таким вопросам подхожу очень внимательно и осторожно. Всегда начеку, не перехожу по сомнительным ссылкам и не скачиваю подозрительные файлы. Но накануне я ходила в банк и оставляла заявку для получения кредита. И когда в телефоне высветился его логотип — даже мыслей не возникло, что это мошенники.
Правда, потерпевшая признается, что в первые минуты о ее заявке речь не шла. Звонивший сказал, что были скомпрометированы ее личные данные, произошло незаконное списание средств.
— Говорили о несанкционированном переводе из двух регионов. Мол, я нахожусь в Глубоком и все операции ранее проводились здесь. А сейчас идет перевод из Витебска. Но я действительно часто бываю в этом городе. Уточнив имя, фамилию, отчество, попросили продублировать идентификационный номер паспорта, а еще назвать цифровую комбинацию на обратной стороне карты. Помню, что меня торопили: вот‑вот спишутся деньги, нужно быстрее остановить процесс. В конце разговора я поинтересовалась решением о кредите, и мне вежливо ответили, что данным вопросом занимается подразделение ипотечного офиса и завтра днем со мной свяжутся. На следующий день я не смогла рассчитаться в магазине за покупки, но это мелочи. А вот две тысячи рублей я откладывала на детский отдых. Эти деньги исчезли.
Возвращать украденные средства в банке отказались. Решение объяснили так: согласно договору, если клиент сам сообщил преступникам секретную информацию, возмещать потери не будут. Посоветовали обратиться в милицию.
— На мой взгляд, сохранность средств на банковских пластиковых карточках — все-таки задача финучреждений, — с досадой отмечает Ольга. — Моя ситуация далеко не единственная. Почему банковские службы с их техническими и финансовыми возможностями до сих пор не реагируют оперативно на действия мошенников?!
На крючке фишинга
Начальник главного управления по противодействию киберпреступности МВД Беларуси полковник милиции Андрей Ковалев рассказывает, что интернет-мошенники, используя наши персональные данные, с каждым годом совершенствуют технологии своих преступлений:— Видите иностранный номер и логотип банка — будьте уверены, вам звонят злоумышленники. Однако номер может быть скрытым или замаскированным под другой — при помощи IP-телефонии. Это сделать несложно. В любом случае банковский работник или представитель госорганов не станет по телефону выяснять конфиденциальную информацию. Многих подкупает то, что преступник обращается к ним персонально.
Как правило, прежде чем та или иная схема начнет применяться в Беларуси, ее тестируют в России, Украине, странах Балтии.
— Сейчас мы наблюдаем рост хищений при помощи компьютерной техники методом фишинга и вишинга, — уточняет Андрей Ковалев. — Кибераферисты весьма изобретательны. Если какая-то схема начинает приносить меньший доход или потенциальные жертвы становятся более осторожными, виртуальные воры тут же придумывают более изощренные способы обмана. Одной из первых в Беларуси применялась простая вишинговая схема «звонок из банка», когда мошенник навязывал свою модель поведения, выманивая конфиденциальные данные под предлогом защиты банковского счета от злоумышленников. Но когда граждане насторожились, преступники скорректировали схему. Сейчас они могут уже и не интересоваться реквизитами счета. Собеседника просят установить на телефон приложение для удаленного доступа, например AnyDesk или TeamViewer, и передать им сеансовый ключ. Так злоумышленники получают полный контроль над гаджетом, заходят в мобильный банкинг и напрямую переводят деньги на свои счета.
Как остановить криминальную волну? По словам Андрея Ковалева, первое и самое главное правило — никогда и ни при каких обстоятельствах не сообщать конфиденциальную информацию незнакомцам. Второе — обезопасить основной банковский счет, тот, на который начисляется зарплата. Можно открыть дополнительный счет, например для оплаты интернет-услуг. Третье — пересмотреть политику цифровой безопасности, не вводить конфиденциальные данные на интернет-ресурсах, в подлинности которых не уверены. Они могут оказаться ловушками для кражи важной информации.
Карта не бита
Заведующая кафедрой аналитической экономики и эконометрики факультета экономики Белорусского государственного университета, кандидат экономических наук, доцент Екатерина Господарик уверена, что банки и держатели карточек должны разделять заботы о сохранности средств.
— Как можно упростить возврат денег жертвам киберпреступников?
— Одно из решений — автоматическая блокировка спорной суммы на счете вероятного мошенника сразу же после обращения пострадавшего. Такой шаг необходим, поскольку, по статистике, в половине случаев злоумышленники снимают похищенные деньги в течение часа после перевода, в 47 процентах — в течение двух-трех часов, в 3 процентах случаев деньги могут оставаться на счете до суток.
Преступники работают группами: одни выманивают у жертвы данные, другие отвечают за вывод похищенных средств на счета дропов (подставных лиц), третьи обналичивают деньги. И пока правоохранители запустят цепочку оперативно-следственных мероприятий, злоумышленники успевают снять с карты все до копейки. Сложность предотвращения таких схем состоит в том, что все указанные лица являются только исполнителями, а руководят ими те, кто находится за рубежом.
Один из способов сократить количество случаев мошенничества с банковскими картами — организовать прямое взаимодействие между участниками финансового рынка для обмена данными о подозрительных операциях. Например, в банк за 30 минут пожаловалось сразу несколько человек на несанкционированные переводы. Тут же выявляется мошеннический счет и оперативно отправляется информация об этом в компетентные органы и организации, из которых переводились деньги. При быстром реагировании есть шанс сохранить финансовые средства.
— Если удается быстро заблокировать уведенную сумму, то ситуация уже не выглядит столь безнадежной.
— Такой шаг помог бы повысить до 30 процентов уровень возврата средств, похищенных кибермошенниками. Деньги можно было бы оперативно замораживать на счете дропа, а потом принимать решения в судебном порядке. Например, в Англии такие дела рассматриваются упрощенно, порой даже без присутствия на судебных заседаниях истца и ответчика. Речь идет о возможности вынесения заочного решения по делу. Также среди вариантов — дать право банкам сообщать пострадавшему данные владельца счета, куда были переведены деньги. Так обманутые граждане, не дожидаясь окончания расследования, могли бы самостоятельно требовать возмещения ущерба в суде.
— В последнее время в стране участились случаи, когда злоумышленники оформляют кредиты на ничего не подозревающих граждан.
— Инструменты, позволяющие решить эту проблему, безусловно, есть. Одним из таких решений может стать добровольный запрет на выдачу кредитов и займов. Сейчас в России разрабатывают законопроект, разрешающий гражданам заранее отказываться от любых кредитов и ссуд, которые могут оформить на их имя. Суть в том, что через личный кабинет в госуслугах или с помощью банков можно будет запретить самому себе брать займы. Это условие будет прописано в кредитной истории. За рубежом такие механизмы уже применяются. Думаю, появление в приложениях или личных кабинетах наших пользователей права вводить и отменять возможность выдачи любых займов даст положительный эффект. У белорусских банков уже есть похожие функции — это установление лимитов по картам на снятие наличных средств или совершение покупок через интернет. Осталось дело за добровольным установлением лимита по кредитам.
— У международных платежных систем существуют определенные алгоритмы, которые позволяют уменьшить риск попадания на уловки мошенников. В частности, при проведении операций в интернете стоит пользоваться карточными продуктами банков, которые сертифицированы в международной платежной системе по технологии 3-D Secure — дополнительной аутентификации при помощи отдельного одноразового или многоразового пароля. Какие еще инструменты могут послужить дополнительной проверкой при совершении онлайн-переводов?
— Думаю, здесь речь может идти о механизмах, которые помогут разобраться, находится карта у отправителя средств или нет. Например, банки могли бы внедрить подтверждение крупных денежных переводов. Когда система засомневается в правомерности перевода денежных средств, то попросит клиента приложить карту к смартфону. Если это не будет сделано, то с высокой долей вероятности доступ к личному кабинету клиента получил мошенник. Подобный защитный механизм клиентов вскоре появится у пользователей некоторых российских банков.
Следует отметить, что Viber после жалоб белорусов с начала года ограничил доступ более чем к трем тысячам аккаунтов с признаками мошенничества. При определенном количестве отметок пользователей о том, что аккаунт занимается спам-рассылками или сомнительными звонками, этот пользователь попадет в черный список и не сможет больше никого побеспокоить в мессенджере.
— Факты хищения денег со счетов, к которым привязаны карточки, известны давно. Но принцип нулевой ответственности законодательно закрепили в Беларуси в 2015 году. Суть такая: если со счета, к которому привязана карточка, похищены деньги, банк обязан их вернуть. Почему этого не происходит?
— Потому что владелец пластика сам зачастую пренебрегает мерами безопасности. Ведь в случае с кибератаками клиент нарушает условия договора с банком и сообщает третьим лицам конфиденциальную информацию. Компенсация похищенных средств при современных видах атак — болезненный вопрос. Позиция банка также понятна. Если покрывать потери каждого, кто попал в сети мошенников, то это гигантские убытки. Возможно, изменить ситуацию сможет сам рынок. Люди будут выбирать более безопасные финучреждения и уходить из тех, где им была предоставлена недостаточная защита. Также один из способов обезопасить клиентов — постоянно совершенствовать систему фрод-мониторинга. Эта система помогает обнаружить подозрительную активность и автоматически направить на дополнительную авторизацию транзакцию или заблокировать ее.
— В то же время для минимизации рисков в виртуальном пространстве у каждого должен быть достаточный набор инструментов, ресурсов и знаний, чтобы позаботиться о своей безопасности.
— На мой взгляд, следует разворачивать более широкую кампанию по повышению финграмотности, привлекать внимание массовой аудитории, возможно, с разбором конкретных ситуаций. Люди, например, хорошо реагируют на посты в соцсетях, где человек, с которым уже произошла беда, об этом рассказывает.
Многие до конца не осознают, какие данные они передают незнакомцам. Необходимо просто и наглядно в школах, университетах, компаниях и на предприятиях, то есть на всех уровнях, объяснять, что такое персональные данные и как их сегодня можно и нужно защищать. Противостоять волне кибератак надо сообща: финучреждениям — совершенствовать системы безопасности, гражданам — быть более бдительными, научиться ценить личные данные, повышать финансовую и цифровую грамотность.
Как остановить хищение с банковских карточек?
Галина Лагунова, заместитель председателя Постоянной комиссии Палаты представителей Национального собрания по экономической политике:
— Мне кажется, что сохранность денег на нашей пластиковой карте — все-таки задача банков, которые обслуживают наши операции. Банковские службы должны оперативно реагировать на кибератаки и не допускать похожих способов действия мошенников в будущем. Возникает вопрос: почему специалисты не блокируют транзакции, если видят, что, к примеру, пожилой человек оформляет кредит наличными и тут же переводит деньги на чужой счет? Ведь при выявлении подозрительной операции банк мог бы остановить ее и связаться с клиентом. И если за сутки владелец счета подтвердит платеж, выполнение транзакции продолжится, а если опровергнет проведение операции, то ее аннулируют.
Роман Внучко, судья постоянно действующего Третейского суда при Ассоциации белорусских банков:
— Мне не раз поступали звонки с незнакомых номеров в Viber, но я знал, что отвечать на них не нужно. Важно не только разрабатывать законодательные нормы, но и доходчиво доносить до людей важность бережного отношения к личной информации. Только внимательность граждан, регулярные разговоры о данной проблеме в СМИ могут помочь предотвратить череду преступлений.
Кристина Воронович, инженер-микробиолог:
— Многое зависит от работы правоохранительных органов. Важно действовать на упреждение, быстро отражать активные атаки, оперативно расследовать случившиеся инциденты. Уверена, у стражей правопорядка достаточно инструментов для анализа информации о преступных группах и отслеживания цепочки счетов. Недавний случай с задержанием в Беларуси кибермошенников, которые причинили ущерб на сумму более миллиона рублей, тому подтверждение.
МНЕНИЯ
Иван Мамайко, член Постоянной комиссии Палаты представителей Национального собрания по национальной безопасности:
— Недавно Президент подписал Закон «Об изменении законов по вопросам обеспечения национальной безопасности Республики Беларусь». Это ряд правовых актов, которые касаются деятельности силовых структур, а также обуславливают работу органов внутренних дел. Например, в криминальной милиции теперь выделяется структурное подразделение по борьбе с киберпреступностью. Раньше эти управления входили в систему уголовного розыска. После принятия законопроекта стали отдельными управлениями.
Осенью в силу вступит Закон «О персональных данных». Личная информация, которую мы предоставляем банкам, магазинам, медицинским центрам, будет находиться под надежной защитой. Ответственность за ее распространение будут нести операторы — те, кто ее собирает. Следить за добросовестностью операторов будет регулятор. Параллельно нам следует работать над созданием белорусских национальных продуктов, которые позволят защищать банковскую отрасль.
Тимофей Борботько, заведующий кафедрой защиты информации БГУИР, профессор:
— Чтобы противостоять киберугрозам, необходимы специальные знания и навыки, причем как детям, так и взрослым. И здесь важно помнить, что сложный пароль не всегда застрахует вас от взлома. Некоторые устанавливают замысловатый пароль, а потом пытаются его запомнить, начинают сохранять все на смартфоне. Но этого делать нельзя. К тому же пароль можно подобрать. Для этого есть специальные программы и даже математическая формула, которая оценивает сложность. Ключевой параметр — длина пароля, то есть количество символов. От этого зависит, как долго будет происходить подбор. Важным критерием безопасного пользования мобильным телефоном остается разделение развлекательных приложений и банкинга. И нежелательно без надобности оставлять в телефоне или планшете подключение к интернету. Стоит внимательно относиться и к выбору приложений для смартфона. Злоумышленники пишут программу и встраивают в код вредонос. Плюс добавляют способы, которые позволяют обойти сигнатурный анализ. Благодаря этому приложение сможет пройти проверку и попасть в магазины приложений Google Play или App Store. И пока системы защиты поймут, что такие приложения содержат вредоносную нагрузку, их установят тысячи пользователей.
hilkok@sb.by
