Банки вернули клиентам только седьмую часть украденных мошенниками денег

Фото: Максим Шеметов / Reuters

Российские банки в 2019 году суммарно выплатили клиентам 935 млн руб., списанных с их счетов без согласия. Эта сумма компенсирует примерно 15% средств, потерянных клиентами в результате несанкционированных операций, говорится в ежегодном докладе ФинЦЕРТа (Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России).

Ранее регулятор никогда не раскрывал данные о доле возмещения, а сумму — лишь один раз, по итогам третьего квартала 2018 года, когда банки вернули пострадавшим 230 млн руб.

Потери от несанкционированных операций

В прошлом году банки провели 576,5 тыс. транзакций, которые впоследствии были признаны несанкционированными. Речь идет о переводах физических и юридических лиц, совершенных без их согласия с помощью платежных карт и других электронных средств платежа, в том числе электронных кошельков. Общая сумма таких операций составила 6,42 млрд руб.

По итогам 2018 года ФинЦЕРТ сообщал о несанкционированных операциях на 1,38 млрд руб., но учитывал лишь операции по платежным картам.

Как следует из доклада ФинЦЕРТа, подавляющая доля (99,2%) несанкционированных операций проводилась по счетам физлиц. Средняя сумма одной транзакции составила 10 тыс. руб. Специалисты ЦБ выделяют три канала, через которые совершаются подобные переводы:

• банкоматы и терминалы;
• оплата товаров и услуг в интернете (так называемые CNP-транзакции);
• дистанционные банковские сервисы (онлайн-кабинеты или мобильные приложения).

Низкий уровень возмещения банками похищенных средств связан с тем, что в большинстве случаев преступники прибегают к методам социальной инженерии (психологических методов по выманиванию у людей необходимых мошенникам сведений), признает ФинЦЕРТ. Как отмечается в докладе, клиенты доверяют мошенникам и сами выдают им конфиденциальную информацию, нарушая тем самым требования договора с банком. А если клиент сам скомпрометировал данные карты или дистанционного банковского обслуживания, банк может не возвращать ему деньги.

ЦБ рассматривает возможность изменить существующий сейчас порядок выплат компенсаций пострадавшим, говорится в докладе без указания подробностей.

Как правило, в договорах с банком ответственность за средства ложится на самого клиента, он не должен передавать конфиденциальную банковскую информацию третьим лицам, поясняет основатель и гендиректор Group-IB Илья Сачков: «То есть в банке считают так: люди сами виноваты. Исключения возможны, но это редкость, зачастую они касаются VIP-клиентов или особых случаев, например деньги на счете застрахованы». В 2019 году значительная часть инцидентов, приведших к потере средств со счетов, пришлась на телефонное мошенничество, говорит ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов: «Клиент cам сообщал злоумышленникам конфиденциальные данные, например одноразовый пароль или CVV (трехзначный код проверки подлинности карты, обычно указывается на ее обратной стороне. — РБК)».

Роль психологических методов

В прошлом году 69% всех хищений средств граждан проводилось с использованием социальной инженерии. Из-за новой формы отчетности банков этот показатель оказался ниже, чем в 2018 году, — тогда он составил 97%. Снижение влияния социнженерии также может объясняться ростом киберграмотности населения, указывает ФинЦЕРТ. ЦБ при этом рекомендует банкам лучше информировать граждан об отсутствии ответственности кредитной организации в случаях, когда клиент сам виноват в передаче данных своей карты.

Интенсивность социальной инженерии спала, констатировал 19 февраля на Уральском форуме по кибербезопасности замглавы департамента ЦБ по информационной безопасности Артем Сычев. Сейчас технология перестает быть интересной мошенникам, а масштабы хищений в конце 2020 — начале 2021 года могут пойти на спад, рассчитывает он.

Чаще всего мошенники используют методы социнженерии для списания денег через мобильное приложение или интернет-банк — здесь его доля составляет 88,9%. Это объясняется тем, что в системах дистанционного банковского обслуживания доступны более крупные суммы, чем в других каналах. Специалисты зафиксировали 160,8 тыс. подобных краж на общую сумму 2,27 млрд руб. Из этих денег банки вернули клиентам лишь 162,3 млн руб., то есть каждый 14-й рубль.

С помощью социнженерии мошенники провели две трети несанкционированных операций по оплате товаров и услуг в интернете. На этот канал пришлось больше всего переводов без согласия клиентов — 371,1 тыс. транзакций объемом 2,97 млрд руб. Однако уровень возмещения оказался выше: 653,2 млн руб., или каждый пятый похищенный рубль.

Наименьшая доля социнженерии — 22,4% — зафиксирована при использовании платежных карт без согласия клиента. Всего по итогам 2019 года обнаружено 40 тыс. таких случаев. Общая сумма ущерба по хищениям через банкоматы и терминалы превысила 525 млн руб. Банки вернули пострадавшим лишь 10% похищенных средств (54,4 млн руб.).

«Социальная инженерия сравнима с эпидемией: если наши технологии фиксируют схему в одном банке, через некоторое время она уже используется для атак на клиентов второго, третьего, четвертого банков», — говорит Сачков из Group-IB. В 2019 году было несколько пиков атак, добавляет он: в частности, они были связаны с мошенничеством через программы удаленного доступа на компьютерах и мобильных устройствах, которые жертвы устанавливали сами под руководством мошенников.

Методы социнженерии гораздо реже срабатывают при взаимодействии мошенников с юрлицами, замечает ФинЦЕРТ: лишь 16% хищений у организаций совершались таким способом. Мошенники чаще всего вводили работников компаний в заблуждение ради дальнейшего доступа к системе дистанционного банковского обслуживания с использованием вирусов, которые рассчитаны на взлом программного обеспечения стационарных компьютеров.

Похитители внутри банков

В 2019 году банки сообщили в ЦБ о 877 случаях, когда их сотрудники получили несанкционированный доступ к информации на счетах клиентов и перевели средства без разрешения. Ущерб от таких хищений составил 24,5 млн руб. Ранее ФинЦЕРТ не сообщал о подобных инцидентах, в отчеты попадали лишь единичные случаи, когда кассиры переводили средства работодателей на сторонние счета.

В 14 случаях сотрудники банков получили доступ к программному обеспечению банкоматов и электронных терминалов и сумели похитить 13,5 млн руб.

Число компьютерных атак на банки в 2019 году упало в 15 раз: организации сообщили о 58 инцидентах с ущербом 23,2 млн руб. Еще 15 атак хакеры совершили на банкоматы, в сумме похитив 33,1 млн руб.

Общий ущерб от несанкционированного доступа посторонних лиц (в том числе собственных сотрудников) к информационным системам банков составил 103,8 млн руб.