«Взламывают голову»: как не остаться без денег на счете

Тимур Аитов - о том, как мошенники обманывают банковских клиентов

Мошенники «взламывают голову», а не банковские системы защиты, рассказал в интервью «Газете.Ru» заместитель председателя комитета Торгово-промышленной палаты по финансовому рынку и кредитным организациям Тимур Аитов. При этом злоумышленники умудряются подобрать ключ даже к самым образованным и грамотным клиентам. По мнению Аитова, помочь могло бы подтверждение крупных операций через биометрию.

--C весны этого года нашу страну захлестнула волна банковских мошенничеств, когда людям звонят злоумышленники и под видом сотрудников служб безопасности вынуждают клиентов кредитных организаций переводить средства неизвестным лицам. Как такие махинации вообще стали возможны?

— Мошенничества, которые проводятся по телефону при помощи методов социальной инженерии, известны сегодня, наверное, всем гражданам.

Инженеры-злоумышленники — это тонкие психологи, они уговорами вынуждают клиента перевести деньги на указанные ими реквизиты. Либо выманивают коды подтверждения операций, которые банк присылает клиенту в виде смс-сообщений.

Злоумышленники, к примеру, сообщают, что служба безопасности банка якобы видит, как со счета клиента только что чуть не ушла конкретная сумма (возможно, вся сумма, находящаяся на счете). Сумма известна им, и она реально соответствует остатку.

Далее клиенту говорят, что она «заблокировали на время», и нужно сообщить «коды подтверждения блокировки» со стороны клиента. Благодарный клиент рассказывает мошеннику коды подтверждения, но не знает при том, что это не коды блокировки, а перевода средств, и все деньги со счета клиента уходят.

Есть и другие схемы обмана.

При этом если клиент в течение первых же минут после операции приходит в себя и понимает, что его обманули и требует отменить операцию, то зачастую это ничего не дает – банк отказывает в возврате средств.

--Почему же банки отказывают вернуть средства?

--Банки работают по принципу «вы совершили этот перевод добровольно, поэтому мы ничего не должны возвращать». Напомню, что в соответствии со статьей 9 закона «О национальной платежной системе» (161-ФЗ), кредитная организация обязана возвращать деньги, которые были украдены у клиента со счета в ходе противоправной транзакции. Но даже если клиент успевает сообщить банку о противоправной транзакции в течение одного рабочего дня, — как этого требует 161 закон, то ни один банк до сих пор деньги, украденные социальными инженерами, еще не возвратил. Подчеркну, что кредитные учреждения мотивируют свой отказ тем, что клиент совершил операцию добровольно.

--А мотивируют банки свой отказ какими соображениями и нормами закона?

— Клиент нарушил правила пользования электронным средством платежа, стало быть, он сам виноват — он не должен раскрывать коды подтверждения посторонним лицам.

На самом деле есть инструменты, чтобы противодействовать мошенническим операциям инженеров. Можно ужесточить так называемые МАПы – методы аутентификации платежей. То есть ввести дополнительные средства подтверждения достоверности волеизъявления клиента. Сегодня клиент возвращает в банк коды подтверждения операции, и банк считает, что волеизъявление клиента истинно.

--Вы считаете, что надо ввести в эту цепочку еще какое-то подтверждение?

— Да, можно встроить в эту цепочку, допустим, ту же самую биометрию. Если платеж серьезный – а какая это для каждого конкретного клиента сумма, нужно будет оговорить заранее, что, кроме кодов, которые пришли по телефону, можно запросить подтверждение операции голосом. Или, например, потребовать от него еще прислать изображение его лица.

Конечно, никакой МАП не сработает, если клиента уговорили перевести всю сумму, и он знает, что переводит деньги со своего счета. Но вот если его ввели в заблуждение, и обманным путем перехватили коды, то биометрия станет дополнительным рубежом защиты.

Замечу, биометрию у нас люди не очень охотно сдают. Потому что не понимают, для чего это им делать. А вот если им объяснить, что она будет защищать деньги, тогда люди будут сдавать ее охотнее.

--Но если деньги все же ушли, неужели никакой закон так и не обязывает банки защищать клиента, если его обманул мошенник?

— Еще лет двадцать назад вышел 9-ый Пленум Высшего арбитражного суда, который разъяснил, что во всех случаях неправомерного списания денег со счета клиента виноват банк. Потому что когда произошло неправомерное списание средств, то банк нарушил договор банковского счета.

В соответствии с договором банк обязан выполнять указания своего клиента. А если кредитное учреждение выполнило указание не клиента, а злоумышленника, тем самым финансовая организация нарушила договор банковского счета. А, стало быть, и виноват именно банк.

Суды, увы, не хотят до конца вникать в проблему. И когда клиент обращается туда, то суд первой инстанции в подавляющем большинстве случаев занимает позицию банка.

— То есть судиться с банком бесполезно?

— Если клиент настырно идет дальше до конца и пишет кассационную жалобу, то на этом этапе суд может принять сторону клиента, потому что ориентируется уже на решение Пленума Верховного суда.

— Надо запастись терпением?

— Да, надо запастись временем, средствами, терпением и таблетками. Но иначе суд не выиграть.

Ситуация с социальной инженерией непростая, даже большинство банковских айтишников уверенны, что с социальной инженерией бороться бесполезно. Но бороться надо - посмотрите, по некоторым оценкам 95% хищений совершается как раз в области социальной инженерии.

Злоумышленники сегодня не хотят взламывать системы защиты банков — они «взламывают» голову человека, именно этот канал пока не перекрыт.

--Скажите, пожалуйста, откуда злоумышленники обычно берут базы данных для обзвона клиентов?

— О кражах и утечках банковских баз мы слышим постоянно. Злоумышленники их подкупают, в том числе входят в сговор с сотрудниками банков, которые предоставляют им доступ. Зачастую базы продают «в комплекте» — с записями последних бесед с клиентом. Так проще можно наладить «доверительный» разговор с клиентом.

— А продажа последних разговоров – это, условно говоря, для создания ощущения того, что тебе действительно звонит банк?

— Да. Клиенту еще и сообщают остатки по счету - клиент знает свой остаток и верит, что перед ним реальный сотрудник банка.

Раньше, я помню, часто на конференциях выступали эксперты и представители ЦБ и говорили о том, что надо повышать финансовую грамотность, потому что злоумышленники действуют на малообразованных.

Сегодня злоумышленники переориентированы как раз, наоборот, на грамотных, образованных людей. У них денег больше.

К каждому они могут подобрать свой ключик. Их инструментарий — внезапность и напор, обаяние и доверительность. Кто-то теряет голову из-за страха потерять сбережения. Попасть под атаку социальных инженеров могут все. И потерять можно много.

Пока противоядие одно – в ответ на звонок со словами о том, что «мы видим у вас по счету подозрительную транзакцию» — бросать трубку (или отбивать звонок) и перезванивать в банк самому.