ЦБ меняет тактику борьбы с кибермошенничеством
Как снизить потери банков и их клиентов от мошенников
Регулятор намерен стимулировать банки лучше защищать клиентов от вымогательств мошенников
Ущерб от действий кибермошенников по итогам прошлого года вырос на 4,29% и составил 14,2 млрд рублей. Такие данные Банк России озвучил на Уральском форуме «Кибербезопасность в финансах». В течение нескольких дней специалисты банков, ИТ-компаний и профильных ведомств обсуждали в Екатеринбурге модели повышения информационной безопасности банков и инструменты защиты граждан от мошенников.
Звонок из Украины
Как и в предыдущие годы, больше всего операций без согласия клиентов в количественном выражении в прошлом году пришлось на оплату товаров и услуг в интернете. При этом злоумышленники стали более активны в попытках украсть деньги через дистанционные банковские сервисы — мобильный и интернет-банкинг.
По мнению председателя Банка России Эльвиры Набиуллиной, рост киберпреступности провоцирует глубокое проникновение в повседневную жизнь технологий: «Финансовый сектор становится все более технологичным, по сути, сейчас жизнь человека сконцентрирована в одном приложении. Этим и пользуются мошенники».
Не последнюю роль сыграла и геополитическая обстановка. На фоне санкционного противостояния атаки на российские банки и деньги их клиентов стали еще одним способом давления на экономику России. По словам депутата Госдумы Анатолия Аксакова, за прошлый год количество DDoS-атак выросло в восемь раз.
В Промсвязьбанке, например, количество предотвращенных в прошлом году кибератак на свою инфраструктуру назвали беспрецедентным. «Но они были успешно отражены, — заверил директор департамента информационной безопасности ПСБ Дмитрий Миклухо. — Это были как низкоуровневые DDoS-атаки, так и атаки на приложения, интернет-банкинг и страницы с 3D-Secure».
Кратно увеличился и объем хищений через инструменты социальной инженерии.
Пострадать от действий мошенников может любой человек, независимо от его возраста и статуса. Тем не менее исследования Банка России позволили сформировать среднестатистический портрет клиента банка, наиболее уязвимого для обмана: возраст от 25 до 44 лет, проживает в городе, работающий мужчина со средним уровнем дохода и средним образованием, активно пользуется банковскими онлайн-сервисами.
Защитные барьеры
С DDoS-атаками банки борются преимущественно за счет совершенствования своих защитных систем и программного обеспечения. ПСБ, например, постоянно совершенствует методы противодействия кибератакам. Кроме того, в банке регулярно проводится обучение сотрудников через рассылку фишинговых писем или приглашений на нелегальные сайты. По словам Дмитрия Миклухо, спланированные атаки внешних команд помогают сотрудникам информационной безопасности увидеть, где и какие прорехи есть в системе, понять, как они возникли, и сделать так, чтобы это не повторилось.
Но в случае хищения средств со счетов граждан нужен целый комплекс мер: слишком много здесь причин и факторов.
До сих пор банки в борьбе c этой угрозой занимались в основном ликвидацией преступных колл-центров. Ранее они концентрировались в местах лишения свободы. По словам заместителя председателя правления Сбербанка Станислава Кузнецова, с этой угрозой практически удалось справиться. Но тут же появилась новая «точка», по его словам, сейчас более 95% звонков идет с территории Украины: «В городе Днепр действует около 150 колл-центров, на всей же территории Украины — более 900», — отмечает топ-менеджер банка.
Причем методы выманивания денег у российских граждан становятся все изощреннее. Раньше мошенники обманным путем заставляли людей отдавать им деньги с дебетовых банковских карт, а сейчас они нашли способ «уговорить» клиентов оформлять на мошенников кредиты и даже отдавать квартиры. Особо изощренная форма психологического давления — побуждение людей совершать акты вандализма в банковских офисах, например, устроить пожар.
Все последние годы банки, как могут, борются с этим явлением: они вместе с операторами мобильной связи усовершенствовали антифрод-системы, выявляли и блокировали мошеннические сайты.
Но этого недостаточно, потому что злоумышленники становятся активнее. Раньше основной точкой коммуникаций был телефон, сейчас все больше звонков совершается через мессенджеры. В 2022 году мошенники стали использовать для хищения денег социальные сети и мобильные приложения. С февраля прошлого года Банк России инициирует блокировку таких материалов. За неполный 2022 год прекращена работа почти 2 тыс. страниц.
При этом законодательной основы вернуть людям потерянные деньги нет: формально клиенты сами принимают решения отдать преступникам деньги. Доля возвращенных клиентам банков средств по операциям, совершенным без согласия клиента, составляет только 4%.
До сих пор регулятор не пытался перенести ответственность в таких случаях на банки: человек отдал сам в руки мошенникам ключ к кошельку, то есть свои персональные данные. Поэтому основные усилия были направлены на повышение финансовой грамотности и формирование цифровой гигиены.
Сейчас регулятор меняет тактику. В этом году Банк России впервые принял решение разделить ответственность клиента с банком. Для этого в Госдуму направлен специальный законопроект о внесении изменений в Федеральный закон № 161-ФЗ «О национальной платежной системе».
У Центробанка сформирована так называемая «база дроперов». Она собрана на основе жалоб банков, клиентов и операторов платежных систем. Если банк получает информацию о том, что платеж уходит от отправителя из списка этой базы, он должен на два дня приостановить платеж и спросить согласия клиента на проведение операции. Если клиент после всех уговоров и предупреждений все же дал «добро» на перевод, в случае потери этих денег банк ему ничего не возвращает. Но, если банк такую процедуру не провел, он, в случае хищения, возвращает клиенту деньги в течение месяца.
В банковском сообществе идею в целом поддерживают. «Это станет мощным ударом по преступникам, ведь за два дня люди обычно понимают, что были обмануты», — считает Станислав Кузнецов.
Но есть детали. «Как найти механизм доказательств, что банк сделал все возможное, чтобы убедить клиента? — ставит вопрос заместитель президента-председателя правления банка ВТБ Вадим Кулик. — Бывают случаи, когда клиента 10 раз предупредили, а он все равно пошел в кассу и снял деньги. Если есть доказательства, что клиент был предупрежден, то непонятна справедливость возмещения ущерба».
Однако Эльвира Набиуллина придерживается жесткой позиции в этом вопросе: «Банки должны отвечать перед клиентами. Человек более беззащитен, чем такие мощные организации, как банки. Он часто находится под психологическим давлением».
Доля возвращенных клиентам банков средств по операциям, совершенным без согласия клиента, составляет только 4%
По мнению регулятора, принятие такого закона будет стимулировать банки лучше работать над системами защиты. Другой разговор, что далеко не у всех банков есть для этого возможности и ресурсы.
Объединить и усилить
Например, Сбер создал мощную антифродовую платформу. Банку удалось усовершенствовать механизмы, в том числе на основе технологий искусственного интеллекта. Это позволяет пресекать большинство подозрительных переводов в режиме реального времени. По словам Станислава Кузнецова, в результате телефонное мошенничество в отношении клиентов Сбера сократилось в 15 — 20 раз. Но преступники тут же переключились на клиентов других банков.
Станислав Кузнецов считает, что банкам надо объединить усилия и формировать единую автоматизированную систему защиты от телефонного мошенничества: «Мы готовы инвестировать ресурсы и открыть доступ к соответствующей информации для всех банков», — сказал топ-менеджер.
В качестве подтверждения эффективности стратегии в этом вопросе Станислав Кузнецов привел следующий пример: «Мы в Сбере создали программу борьбы с дропами, и в рамках этой программы в один день заблокировали 119 тыс. карт дропов. Не получили ни одной жалобы, это говорит о том, что добросовестных граждан в этом списке не было, то есть мы точно вычислили преступников».
Банк России идею объединения поддержал, пообещав подключить к этой работе еще и правоохранительные органы. МВД с осени этого года будет включено в число участников Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ, специальное структурное подразделение Банка России).
— В этом случае правоохранительные органы смогут оперативно получать информацию о незаконных операциях со средствами клиентов и быстрее начать расследования дел о кибермошенничестве, — объяснил заместитель председателя ЦБ Герман Зубарев.
В ходе дискуссии было предложено еще несколько инструментов для защиты банковских клиентов. В деле борьбы с мошенниками важна скорость, поэтому Центробанк считает, что клиенты банков должны иметь возможность в случае пропажи денег быстро подать заявление через портал Госуслуги или банковское приложение.
Кроме того, регулятор предполагает ввести в законодательство специальную норму «Самозапрет на кредиты». По желанию гражданина такая отметка будет стоять в его кредитной истории. И если банк, несмотря на ее наличие, все же выдал кредит мошеннику, который украл персональные данные, он не сможет требовать возврата займа от законопослушного гражданина. Это опять же будет стимулировать банки тщательнее работать с базой кредитных историй.
— Но все эти усилия не дадут эффект, если не удастся пресечь канал вывода украденных у людей денег через криптобиржи, — считает Станислав Кузнецов. — Люди обналичивают деньги в банкоматах, отдают их мошенникам, а те несут их на криптобиржи. После этого деньги попадают на Украину, там их снимают в любой валюте и используют для ведения военных действий против России. Чтобы купить криптовалюту, не нужен даже паспорт.
По мнению эксперта, эффективная борьба с дропами невозможна, если банковская отрасль и регулятор не наведут порядок в этом направлении.
Вадим Кулик со своей стороны видит три вектора работы индустрии: «Во-первых, необходимо создать условия доверия между физическим лицом и организацией. Клиент должен быть уверен, что он позвонил именно в банк, а банк — в том, что это его клиент. Необходимо донести до клиентов безопасный способ общения, этому способствуют Единая биометрическая система и портал Госуслуги».
Вторым условием Вадим Кулик считает онлайн-обмен данными: «Это может быть система, в которую заносятся необходимые данные, чтобы ML-модели в режиме онлайн с еще большей точностью отрабатывали и блокировали возникающие подозрения».
Но для этого необходимы точечные изменения в законодательстве, чтобы у банков появлялись права на такие блокировки.
И, наконец, третий важный компонент успешной борьбы с мошенниками — повышение финансовой грамотности.