"Очнулся — денег нет": почему банки не возвращают похищенное
С банковских карт россиян крадут миллиарды. Возвращают лишь малую долю похищенного. Поэтому в ЦБ предлагают новый механизм защиты: обязательную сумму возмещения жертвам мошенников и возможность блокировки сомнительных операций в течение суток. Сработает ли это?
Возвращают копейки
С каждым годом воруют все больше. Злоумышленники совершенствуют известные схемы и изобретают новые. Так, за третий квартал у клиентов банков похитили 3,2 миллиарда рублей: на 18 процентов больше, чем за аналогичный период прошлого года. Более 256 тысяч операций совершили без всякого на то согласия (в третьем квартале 2020-го — почти вдвое меньше).
Вернуть украденное сложно. В 2019-м из шести миллиардов банки компенсировали 400 миллионов, в 2020-м из девяти — 700. Так и сейчас: в третьем квартале — 7,7 процента, меньше 250 миллионов.
Деньги уводят при оплате товаров и услуг в интернете, через сервисы дистанционного банковского обслуживания. В топе — старая добрая социальная инженерия, позволяющая получать пароль, CVC-код, одноразовый СМС-код для подтверждения операции или же логин и пароль для входа в интернет-банк.
Отдают сами
Один из основных способов кражи данных с карт — фишинг. Злоумышленник присылает СМС от имени банка с просьбой перейти по вредоносной ссылке, убеждая таким образом жертву скачать ПО для реализации атаки, сообщить требуемые данные для вывода средств.
Есть также фишинговые клоны популярных онлайн-сервисов и интернет-магазинов. Они полностью копируют дизайн, однако в домене всегда есть лишние символы или повторяющиеся буквы. В результате, оформляя заказ, пользователь передает злоумышленникам конфиденциальную информацию прямо в руки.
Еще вариант — рассылка СМС с уведомлением о блокировке карты и необходимости позвонить по указанному номеру. Отвечает подготовленный "оператор", который старается узнать паспортные данные и платежные реквизиты.
Часто используют технологию подмены телефонных номеров. Человек видит на экране, что звонок из банка и, ничего не подозревая, раскрывает конфиденциальную информацию подставной "службе безопасности". Настоящие сотрудники банка никогда об этом не спрашивают по телефону.
Отдельная история — взлом мобильного устройства с банковским приложением. Ответственность за состояние и безопасность смартфона или планшета всегда на клиенте. Другое дело, когда происходит атака на банк и хакеры находят уязвимость в системах дистанционного обслуживания. Здесь, конечно, вина кредитного учреждения, и деньги вернут.
Сначала докажите
В большинстве случаев обманутому клиенту приходится доказывать свою непричастность к мошеннической операции. Здесь правило у банков одно: человек сам передал злоумышленникам конфиденциальную информацию (в том числе одноразовые коды из СМС), значит никакого возмещения.
И даже если клиент быстро опомнился, банк не отменит операцию. Надо брать выписку по счету, обращаться в правоохранительные органы, добиваться возбуждения уголовного дела и статуса потерпевшего.
"Разбираться в том, ввели ли человека в заблуждение, — это дело полиции. Банк совершенно обоснованно этим не занимается", — отмечает Кирилл Резник, юрист "Единого центра защиты".
Определить сумму
Мошенничество, связанное с добровольной передачей данных, которые преступники используют для кражи средств с помощью методов социальной инженерии, "является одной из острых проблем, отрицательно влияющих на уровень доверия населения к дистанционным платежным сервисам и, как следствие, к кредитно-финансовой системе в целом", указывают в ЦБ.
И поэтому предлагают поправки в закон "О национальной платежной системе". В частности, зафиксировать сумму гарантированной компенсации жертвам мошенников.
В отрасли идею, похоже, не оценили. По словам президента Ассоциации российских банков (АРБ) Гарегина Тосуняна, это может дорого обойтись не только финансовым организациям, но и их клиентам, поскольку вынудит повысить проценты по кредитам и тарифы.
"Важно определить, кто виноват. Если банк, то он должен нести ответственность в полном объеме, а не в пределах какой-то суммы, — считает Тосунян. — Если же — клиент, банк помогать не должен. Один из вариантов поддержки в подобных ситуациях — создать специальный фонд для компенсации потерь".
"Но понадобится аналог Агентства по страхованию вкладов, а это дополнительная нагрузка на клиентов. Кредитные учреждения вряд ли захотят сами финансировать", — говорит Андрей Аржанухин, директор департамента рынков капитала.
Вовремя опомниться
Еще одна инициатива ЦБ — изменить сроки блокировки сомнительных операций. Обманутым клиентам хотят дать сутки на то, чтобы сообщить о мошенничестве. Пока на возврат денег могут рассчитывать лишь те, кто заявит о хищении сразу. А поскольку скорость транзакций высока, время решает все.
В идеале нужно немедленно позвонить в банк и написать заявление. Если с момента инцидента прошло более 24 часов, вернуть средства практически невозможно: они давно уже на счетах злоумышленников, указывает Евгений Царев, управляющий RTM Group, эксперт в области безопасности и права.
Однако мошенники — тонкие психологи, и порой их обман раскрывают лишь через несколько дней. Поэтому заморозка средств по сомнительным транзакциям на сутки существенно упростила бы процедуру возврата и работу правоохранительных органов, считают юристы.
Сейчас банки должны сообщать ЦБ о подозрительных операциях через автоматизированную систему. Регулятор аккумулирует данные об атаках и возвращает их кредитным организациям в обобщенном виде. На обработку всей этой информации уходит по несколько часов, а иногда и дней.
|