«Лучше прослыть недоверчивым, чем быть ограбленным»

– Каковы масштабы проблемы мошенничества с банковскими картами в нашей стране и в мире?

– По статистике, у нас факты мошенничества более редкие, чем за границей. В Европе ежеквартально фроды (от англ. «мошенничество». – «Профиль») составляют 0,03–0,05% от общего количества операций. В США еще хуже – 0,08%. Такая же ситуация и в Юго-Восточной Азии. В России этот показатель менее 0,01%. Но это касается только карточного мошенничества. Информацию о нем агрегируют платежные системы Visa и Master Card, они ведут жесткую статистику, причем и по каждому банку отдельно, и по стране в целом. Все банки обязаны заявлять о фроде. Мы первыми в стране, еще в 2012–2013 годах, построили систему мониторинга интернет-банка и мобильного банка.

– Какие тенденции у мошенничества в мире и в России? Что наиболее распространено, какие есть know how?

– Традиционное мошенничество с банкоматами будет постепенно уходить. Раньше из банкоматов вытягивали данные карт и раскодировались пин-блоки. Теперь появились более хитроумные схемы. Карты не используются, троянской вирусной программой заражается сам банкомат. Через эту программу мошенник с помощью мобильного устройства с bluetooth опустошает весь банкомат.

Практически все банки сейчас создают системы удаленного обслуживания клиент–банк, через которые делаются всевозможные платежи. В мобильных и интернет-банках крутится очень большой безналичный поток. А где бизнес, туда и лезут мошенники. Банки стараются все это защитить. Но любой айтишник вам скажет: стопроцентной защиты нет ни для чего, иначе продукт будет неудобен для клиентов. У нашего банка в этом смысле была найдена разумная грань. Мы выстраиваем продукты совместно с бизнесом и стараемся, чтобы было удобно и безопасность была соблюдена.

– Получается, что банки технологически отстают от преступников?

– Не столько технологически. Есть понятие некой «третьей среды». У банка есть процессинговая система, база данных, коммуникационные каналы. Их сильно защищают. Но возникает третья связь – с компьютером, мобильным телефоном клиента, куда банк залезть не может. Он не может заставить клиента обновлять антивирусы, не вводить пароли, куда не следует. Даже если банк защищает на 99,9% свой продукт удаленного обслуживания, все равно остается клиент со своим мозгом, который, по сути дела, тот же компьютер. У каждого свое уникальное программное обеспечение, и никакой антивирус туда, к сожалению, не воткнуть.

– Какие уловки чаще всего используют преступники – сугубо технические или человеческий фактор тоже играет роль?

– Здесь своя специфика. Есть хакеры-программисты, которые могут взломать, например, сайт ЦРУ, но простыми «железками» заниматься не станут. Им интересно совершать серьезные таргетированные атаки, вплоть до нападений на банковскую сеть. Другие знают, где и как можно недорого изготовить «вилки» для банкоматов, которые препятствуют выдаче купюр, расставляют их. Они сильно рискуют при этом, потому что у каждого банкомата есть камеры видеонаблюдения. Но это «мясо» преступного мира, всей мошеннической цепочки они не знают. А основной риск для любой системы безопасности – это человеческий фактор. Преступники работают с клиентами с помощью социальной инженерии. Кажется, уже все обо всем клиента предупредили, но тут ему позвонили, прислали sms, и он сдал все пароли. У нас есть и инструкции пользования картой, и договоры с предупреждениями все подписывают. Но что там говорить, договоры обычно пухленькие, не все читают до конца, а потом начинают жаловаться на ущемление прав. Читать надо внимательнее.

– Как часто такое происходит?

– Мошенничество в интернете в основном связано именно с этим. У нашего банка для операций вовне дается уникальный код. Если компьютер защищен нормально, клиент делает операции со своего сайта и понимает, что этот код он не должен никому передавать, то рисков нет. Мошенники же используют специальные вирусные программы удаленного управления, а также выходят непосредственно на клиента – звонят или делают sms-рассылки.

Недавно был у нас шумный случай в социальных сетях. Мошенники совершили веерную рассылку sms примерно такого содержания: «По вашей карте проведена операция на определенную сумму. В случае если вы не совершали эту операцию, позвоните по указанному телефону». При этом указывался номер мобильного телефона. Наш банк никогда не указывает вообще никакой номер телефона, только просьбу связаться с банком по номеру, который указан на карте. Однако наш клиент попался на рассылку аферистов, и у него вытащили номер карты, срок ее действия и код cvv. С помощью этих данных был совершен виртуальный перевод с карты на карту, на телефон клиента пришел пароль, который он благополучно вбил туда, куда ему велели мошенники.

В ходе мошеннической операции, о которой я говорил выше, было снято 70 тыс. руб. Мы ее выявили, но сразу не заблокировали, так как при ее проведении использовался уникальный пароль. Тем не менее наши сотрудники позвонили клиенту, он не подтвердил снятие денег, и карту заблокировали. Причем денег там оставалось больше, чем успели снять аферисты.

– Банк не несет ответственност в подобных случаях?

– Бывает, что в снятии денег нет вины клиента. Например, в результате так называемого скимминга (кража данных с помощью считывающего устройства) банкомата, или карту скопировали в торговой точке. Это уязвимость технологии, и банк возвращает деньги. Но когда клиент сам, добровольно раскрывает явки и пароли, это уже другая история. Если у вас на улице мошенники украли кошелек, вы же не пойдете в Центробанк просить напечатать вам денег на сумму украденного?

– Как можно обезопасить себя от кибермошенников?

– Допустим, вы находитесь рядом с банкоматом, совершили какую-то операцию, услышали, что он считает, но денег вам не дал. Не уходите от этого банкомата, на любом есть номер телефона сервисной службы. Нужно позвонить и объяснить ситуацию. У банкоматов, как правило, есть минимум две видеокамеры. Одна стоит на картоприемнике, другая – на выдаче денег.

И все-таки «разводы» с помощью социальной инженерии – самые популярные. Банку не надо сообщать номер карты по телефону, не надо его вбивать куда-то, как и свои логин с паролем и кодовые слова. В sms от банка никогда не будет никаких мобильных номеров с указанием на них перезвонить. Клиент должен понимать, что банк знает все его конфиденциальные данные, кроме одноразовых паролей, пин-кодов, электронных аналогов собственноручной подписи. Они генерируются очень безопасно, знает их только клиент. Звоните только по номерам, указанным на самой карте или в договоре с банком. Бдительность – главное, лучше прослыть недоверчивым, чем быть ограбленным.

Если вы заподозрили, что что-то не так, не понимаете, куда делись деньги, или карта не работает, нужно звонить в банк. Оператор свяжет вас с профильным сотрудником.