Новости России события в мире Новостной портал СМИ Россия
Русские банки в 2019 году суммарно выплатили клиентам 935 млн руб., списанных с их счетов без согласия. Эта сумма компенсирует приблизительно 15% средств, потерянных клиентами в результате несанкционированных операций, сообщается в ежегодном докладе ФинЦЕРТа (Центра мониторинга и реагирования на компьютерные спецатаки в кредитно-финансовой сфере Банка России). Его данные приводит РБК.
Ранее регулятор никогда не открывал данные о доле возмещения, а сумму — лишь один раз, по итогам третьего квартала 2018 года, когда банки (сосуд, как правило, цилиндрической формы с широким отверстием вверху, в отличие от бутылки, с достаточно короткой и широкой горловиной либо вообще без горловины, с крышкой, предназначенное для) возвратили пострадавшим 230 млн руб. В прошлом году (внесистемная единица измерения времени, которая исторически в большинстве культур означала однократный цикл смены сезонов (весна, лето, осень, зима)) банки провели 576,5 тыс. транзакций, которые потом были признаны несанкционированными. Речь идет о переводах физических и юридических лиц, совершенных без их согласия с помощью платежных карт и других электро средств платежа, в том числе электронных кошельков. Общая сумма таких операций составила 6,42 млрд руб.
Как следует из отчета ФинЦЕРТа, подавляющая доля (99,2%) несанкционированных операций проводилась по счетам физлиц. Средняя сумма одной транзакции составила 10 тыс. руб. Почаще всего подобные переводы совершаются через банкоматы и терминалы, дистанционные банковские сервисы (онлайн-кабинеты или мобильные приложения), а также буквально через оплату товаров и услуг в интернете (так называемые CNP-транзакции).
Низкий топ-уровень возмещения банками похищенных средств связан с тем, что в большинстве случаев клиенты доверяют жуликам и сами выдают им конфиденциальную информацию, нарушая тем самым требования контракта с банком. А если клиент сам скомпрометировал данные карты или дистанционного банковского обслуживания, банк может не возвращать ему денежные средства. В докладе утверждается, что ЦБ рассматривает возможность изменения порядка выплат компенсаций пострадавшим, но никаких подробностей не приводится.
В прошлом году 69% всех похищений средств граждан проводились с использованием социальной инженерии, или психологических способов выманивания личных данных. Из-за новой формы отчетности банков данный показатель оказался ниже, чем в 2018 году — тогда он составил 97%. Понижение влияния социнженерии также может объясняться ростом киберграмотности населения. ЦБ советует банкам лучше информировать граждан об отсутствии ответственности в случаях, когда посетитель сам виноват в передаче данных своей карты.
Чаще всего мошенники употребляют методы социнженерии для списания денег через мобильное приложение или интернет-банк — тут его доля составляет 88,9%. Это объясняется тем, что в системах дистанционного банковского обслуживания доступны более большие суммы, чем в других каналах. Специалисты зафиксировали 160,8 тыс. подобных краж на общую сумму 2,27 млрд руб. Из этих денежных средств банки вернули клиентам лишь 162,3 млн руб., то есть каждый 14-й рубль.
С помощью социнженерии мошенники провели две трети несанкционированных операций по оплате продуктов и услуг в интернете. На этот канал пришлось больше всего переводов без согласия посетителей — 371,1 тыс. транзакций объемом 2,97 млрд руб. Однако уровень возмещения очутился выше: 653,2 млн руб., или каждый пятый похищенный рубль.
Наименьшая толика социнженерии — 22,4% — зафиксирована при использовании платежных карт без согласия посетителя. Всего по итогам 2019 года обнаружено 40 тыс. таких случаев. Общая сумма вреда по хищениям через банкоматы и терминалы превысила 525 млн руб. Банки возвратили пострадавшим лишь 10% похищенных средств (54,4 млн руб.). Во отношениях с юрлицами мошенники предпочитают вводить работников компаний в заблуждение ради доступа к системе дистанционного банковского обслуживания с внедрением вирусов.
В 2019 году банки сообщили в ЦБ о 877 случаях, когда их служащие получили несанкционированный доступ к информации на счетах клиентов (Клиент (от лат. cliens, множ. clientes) — в Древнем Риме свободный гражданин, отдавшийся под покровительство патрона и находящийся от него в зависимости) и перевели средства без разрешения. Вред от таких хищений составил 24,5 млн руб. Ранее ФинЦЕРТ не сообщал о схожих инцидентах, в отчеты попадали лишь единичные случаи, когда кассиры переводили средства работодателей на посторонние счета. В 14 случаях сотрудники банков получили доступ к программному обеспечению банкоматов и электро терминалов и сумели похитить 13,5 млн руб.
Число компьютерных атак на банки в 2019 году свалилось в 15 раз: организации сообщили о 58 инцидентах с ущербом в 23,2 млн руб. Еще 15 атак хакеры сделали на банкоматы, в сумме похитив 33,1 млн руб. Общий ущерб от несанкционированного доступа сторонних лиц (в том числе собственных сотрудников) к информационным системам банков составил 103,8 млн руб.
Содействуют мошенничествам и разного рода утечки данных: так, 11 февраля в cеть попали данные посетителей кредитного брокера «Альфа-Кредит», который собирает заявки на кредиты и помогает избрать и получить заем в банке. Они содержались в системе управления базами данных MongoDB с открытым кодом, применяемой некоторыми компаниями для внутренних задач. База содержала более 44 тыс записей, включавших ФИО клиента, сумму и вид запрашиваемого кредита, номер телефона, адрес электро почты, город и регион проживания. Несколько человек из базы подтвердили, что подавали заявку на заем буквально через «Альфа-Кредит». Источник, близкий к брокеру, подтвердил утечку в компании, данные посетителей были в свободном доступе в течение четырех дней.
По словам профессионалов, базы данных MongoDB попадают в открытый доступ из-за халатности системных администраторов, а также обслуживающего и настраивающего их технического тех персонала. По умолчанию MongoDB не требует логин и пароль для получения доступа к ней, и на продажу эта база (База — место временного хранения товаров, например: «овощная база») пока не выставлялась, но времени нахождения в открытом доступе было достаточно, чтобы найти и скачать эти базы.
6 февраля стало известно о том, что в продаже на специализированном интернет-сайте появились данные более 1,2 млн посетителей микрофинансовых организаций. «Пробник» базы, содержащий около 800 записей, включает фамилии, имена, отчества, номера телефонов, адреса электро почты, даты рождения и паспортные данные россиян.
Продавец не открывает название МФО, чьи данные у него оказались, но большинство клиентов сообщили, что обращались за займами в компанию «Быстроденьги». Также в «пробнике» были данные посетителей микрофинансовых компаний «Займер» «еКапуста», «Лайм» и «Микроклад». Они контактировали с МФО в период с 2017-го по конец 2019 года. Часть базы включает неактуальные номера телефонов, уже не обслуживающихся или сменивших владельца. Некоторые члены базы подтвердили, что их данные в базе верны, но утверждали, что никогда не обращались за займами.
Говорилось, что источником утечки может быть база данных компаний-партнеров, которые собирают в инете заявки на кредиты и продают их МФО, составная база данных клиентов нескольких уже не функционирующих МФО или база одной МФО, которая собрана по кускам из разных источников. По словам экспертов, эти данные (зарегистрированная информация:439; представление фактов, понятий или инструкций в форме, приемлемой для общения, интерпретации, или обработки человеком или с помощью автоматических средств) могут использоваться как иными МФО для привлечения клиентов, так и мошенниками для создания схемы обмана под предлогом получения «прибыльных» займов. Чтобы не стать их жертвами, клиентам банков после звонка рекомендуется положить трубку и перезвонить в банк по официальному номеру.
