Участники экспертного совета Центробанка России предложили новую меру борьбы с мошенниками – замораживать сумму перевода от 10 тысяч рублей на промежуточных эскроу-счетах до дополнительного подтверждения отправителем. Для того, чтобы средства ушли на счет получателя, отправителю нужно будет внести больше данных о себе или ввести код из push-уведомления. Инициатива встретила противоречивую реакцию. Одни эксперты одобряют идею, поскольку похожий инструмент работает на маркетплейсах, где средства переводятся на счет продавца только после получения товара покупателем, и он успел доказать свою эффективность. Другие опасаются, что инициатива усложнит жизнь как банкам, которым придется потратиться на ее реализацию, так и клиентам, поскольку процесс перевода усложнится, а деньги будут приходить с задержкой во времени. 

– Учитывая, что методы социальной инженерии остаются основным инструментом злоумышленников, граждане даже при наличии механизма подтверждения банковской операции, будучи введенными в заблуждение, все равно подтверждают денежные переводы, – говорят в пресс-службе Центробанка. 

Сам регулятор в свою очередь предлагает рассмотреть возможность возврата похищенных средств гражданам, даже если мошенничество произошло с использованием методов социальной инженерии. 

Борьба с киберпреступниками должна осуществляться комплексно с участием банков, операторов связи и интернет-сервисов

По мнению руководителя Центра реагирования на инциденты информационной безопасности Group-IB, резидента ОЭЗ «Иннополис» Александра Калинина, инициатива сделать дополнительную идентификацию, дополнительное подтверждение даст время клиенту банка еще раз обдумать и оценить свои действия.

– Возможно, это поможет людям, которые были под воздействием психологических приемов мошенников, в последний момент «соскочить с крючка». Обсуждаемые меры могут пресечь часть мошеннических переводов, но будут особенно эффективны в защите от кредитов, которые были взяты преступниками без согласия человека.  

Но практически любые меры будут бесполезны, когда человек под воздействием убеждения, манипуляций мошенников сам отдает злодеям деньги любым способом: предоставляет вход в свой онлайн-кабинет банка, вносит наличные через банкомат, отправляет перевод, – перечислил Калинин.

Мошенники умело используют неосмотрительность пользователей, которые уделяют недостаточно внимания собственной информационной безопасности, уверен эксперт. Преступники все время разрабатывают и применяют новые схемы, придумывают новые сценарии, используя страхи и потребности людей. 

– Борьба с киберпреступниками, телефонными мошенниками должна осуществляться комплексно с участием банков, операторов связи, интернет-сервисов. С другой стороны, надо повышать уровень знаний людей о разнообразных актуальных угрозах со стороны мошенников. Так многие уловки мошенников станут бесполезными, – рассуждает Калинин.

Он напомнил об основных правилах, которые помогут защититься от мошенников:

– Не делитесь в интернете, соцсетях информацией, клиентом какого банка вы являетесь, не публикуйте фотографии и сканы ваших документов и банковских карт. 

– Не стоит переходить по подозрительным ссылкам – ваш смартфон или компьютер может быть заражен банковским трояном. Лучше проявить бдительность при скачивании приложений из официальных магазинов, например, Google Play и App Store. Там тоже встречаются фишинговые формы и вредоносный код.

– Используйте для онлайн-покупок, расчетов в интернете отдельную банковскую карту. Не оставляйте данные своей банковской карты на подозрительных ресурсах — это может быть фишинг. 

– Используйте сложные пароли — разные для всех устройств и ресурсов.

– Если вам позвонил «сотрудник банка», «сотрудник правоохранительных органов», никогда не сообщайте CVV, кодовое слово или код из СМС. Как только вы услышали подобную просьбу — спокойно прервите разговор и сообщите в ваш банк, с какого номера поступил звонок. 

– Связывайтесь с банком по номеру, указанному на банковской карте или на официальном сайте. Игнорируйте подозрительные СМС с номером и с просьбой перезвонить в банк.

– Внимательно следите за приходящими СМС о блокировке или перевыпуске сим-карты.

Дополнительные меры безопасности могут значительно усложнить жизнь обычных людей

Руководитель аналитического центра компании Zecurion Владимир Ульянов, рассуждая об аналогии промежуточного счета с работой маркетплейсов, пояснил, что этот механизм в интернет-магазинах действует по-другому. Там система проверки строится на доверии к маркетплейсу, который выступает в роли арбитра между продавцом и покупателем для решения спорных ситуаций. К примеру, если покупателю пришел не тот товар или товар ненадлежащего качества, он может заменить его или вернуть деньги. Продавец в свою очередь получает гарантию, что получит деньги за товар. 

Но если речь идет о межбанковских переводах, то в ситуациях, когда деньги нужно перевести здесь и сейчас, такие дополнительные меры безопасности могут значительно усложнить жизнь обычных людей. Многофакторная идентификация, когда для проведения операции пользователю нужно ввести пароль, а дополнительно к нему ПИН-код или код из СМС-сообщения, бесспорно, повысит безопасность. Но в то же время это приведет к удорожанию банковских операций, поскольку каждая такая эсэмэска будет стоить банку денег и эти траты он переложит на конечного потребителя. Поэтому важно найти баланс между безопасностью и удобством, подчеркнул Ульянов.

– То, что касается более крупных сумм, – обсуждение порога кажется вполне обоснованным. Можно было бы сделать лимит плавающим, чтобы пользователь сам мог назначить его. Люди, которые привыкли совершать покупки на большие суммы, могли бы увеличить лимит, а те, кто обеспокоен безопасностью своих средств, наоборот, уменьшить. Поэтому сделать такую настраиваемую систему было бы лучшим вариантом, – сказал эксперт.

«Ввести дополнительный код – это не то же самое, что дать время на размышления»

Заместитель руководителя Центра предотвращения киберугроз CyberART ГК Innostage Максим Акимов считает, что дополнительная процедура подтверждения операции не поможет в борьбе с мошенниками, а только вызовет раздражение у клиентов банков. Потому что если человек уже попался в ловушку злоумышленников, он послушно совершит ровно то количество действий, которое требуется для того, чтобы добровольно перевести мошенникам свои деньги. 

– Ввести дополнительный код – это не то же самое, что дать время на размышления. У нас люди понимают, что их обманули, буквально сразу после того, как деньги ушли, а «разводить» их могут несколько часов. Моего знакомого держали на проводе шесть часов – не давали ему положить трубку. За это время он чуть не успел взять кредит на 2 миллиона, обналичить средства и внести их на счет мошенника, но в последний момент засомневался, – рассказал Акимов.

В России высоко развитая банковская система – парадокс, но в этом и заключается проблема. Мы пользуемся системой быстрых платежей, можем моментально переводить деньги — рассчитаться с другом за обед занимает несколько секунд. В Европе эти же процессы более растянуты во времени, потому что каждое действие пользователя верифицирует огромное количество посредников. И если произошла ошибка и вы перевели деньги не тому человеку, вы можете написать в поддержку и банк вернет средства на ваш счет. В России, если вы ошиблись в реквизитах и перевели деньги не тому человеку, вернуть их будет сложно. Нужно будет найти человека, которому ошибочно ушли деньги, связаться с ним и попросить возврат. И никто не гарантирует, что этот человек отнесется с пониманием к вашей проблеме и согласится перевести деньги, которые уже поступили к нему на счет. 

– Приведу пример. Недавно мне нужно было перевести деньги за квартиру. Меня торопили, но я был за рулем, поэтому решил перевести их позже, потому что когда дело касается денег, нужно быть внимательным. Позже, вечером, я решил проверить номер перед тем, как выполнить перевод. Оказалось, что человек неправильно написал номер и я едва не перевел деньги на чужой счет, – поделился собеседник.

Реализация многофакторной аутентификации значительно затормозит и усложнит использование сервисов, к которым мы уже привыкли. И если мы хотим пользоваться этими сервисами, придется принять все эти риски и оставаться бдительными.

Мошеннические схемы актуальны до тех пор, пока люди пользуются этими услугами

Акимов подчеркнул – социальная инженерия динамично развивается, постоянно изобретаются новые способы обмана. Даже если одна схема перестает работать, появляется какая-то новая. 

Новые виды мошенничества появляются практически каждый день. Недавно появилась новость о мошенничестве через детей. Мошенники пользуются тем, что среди детей очень популярны онлайн-игры, в которых можно покупать виртуальные предметы. Ребенку в мессенджер приходит сообщение с фотографией банковской карты и текстом: «если у ваших родителей есть такие карты, то поздравляем, эти карты с промо-кодами. Чтобы получить промо-код, нужно тихо взять ее у родителей, сфотографировать с двух сторон и прислать нам». Дети могут не придать значения надписям на карте и подумать, что это просто скидочная карта в какой-нибудь супермаркет. Да и не каждому взрослому придет в голову спрятать карту в кошелек и запереть его на ключ.

– Почему люди верят злоумышленникам? Человек – достаточно доверчивое существо. Как раз чтобы не попасться на уловки мошенника, нужно применять принцип zero-trust. Злоумышленники всегда торопят. Например, если вы собираетесь купить какой-то товар, вам предлагают его по стоимости значительно ниже рынка. Мошенники всегда выводят на эмоции, торопят с оплатой или предлагают бронь по предоплате, – перечислил Акимов. 

Доверяй, но проверяй

Чтобы не попасться на уловку мошенника, нужно всегда относиться критически ко всему. Нужно задать себе вопрос: «Что будет, если я этого не сделаю?», «А что будет, если я это сделаю?». При принятии важных решений нельзя торопиться. Люди верят, что если они не воспользуются специальным предложением именно сейчас, то они пропустят шанс получить товар по низкой цене. Или если они не выполнят инструкции «сотрудника банка», который сообщил о подозрительных транзакциях, произойдет что-то страшное. Этим и пользуются злоумышленники. 

– Если вам позвонил человек, представился сотрудником МВД и ФСБ и сразу перешел на приказной тон, вам ничего не стоит тому же офицеру сказать «извините, уважаемый, мне сейчас некогда, я в магазине, в пробке, на совещании, давайте я вам перезвоню». Многие мошенники «отвалятся» уже на этом этапе. Нужно постараться эту паузу выбить, и если вы доверитесь вначале, то с этого крючка будет сложно соскочить. Старайтесь задавать правильные вопросы себе в первую очередь. Единственный способ избежать потери денег – вовремя остановиться, – дал совет Акимов.

Кроме телефона и соцсетей мошенники еще используют фишинговые сайты. Разновидностей фишинга достаточно много, и обычно они представляют собой практически полную копию обычного сайта – популярного маркетплейса или портала Госуслуг. В таких случаях нужно внимательно проверять адрес ссылки – фишинговые сайты могут отличаться от подлинных одной или двумя буквами. Например, «Одноклассники» могут быть написаны с одной «с» или слово «gosuslugi» содержит ошибки. Хорошие фишинговые сайты могут копировать дизайн известных сайтов один в один, поэтому для покупок в интернете лучше завести отдельную карту с небольшим количеством денег на счете.