«Мы выявили схему обмана с размещением QR-кодов в общественных местах»
Мошенники придумали новую схему обмана с QR: в общественных местах они размещают коды, при переходе по которым гражданам обещают соцвыплаты. Под предлогом их начисления у людей выманивают данные для хищения денег. Об этом в интервью «Известиям» рассказал зампред Банка России Герман Зубарев. Для защиты от злоумышленников ЦБ готовится внедрить двухдневный «период охлаждения», в течение которого подозрительные переводы будут приостановлены. Если банк не выполнит необходимых процедур по защите клиента, он должен будет вернуть всю похищенную сумму в течение 30 дней, заявил Герман Зубарев. Законопроект с этими нормам получил одобрение заинтересованных ведомств, в ближайшее время его планируется принять в первом чтении.
«Звонки через мессенджеры — восходящий тренд»
— Прошлый год показал, как быстро телефонные мошенники подстраиваются под актуальную повестку: в свои легенды обмана они оперативно интегрировали новости о спецоперации, о санкциях, о частичной мобилизации. По данным Банка России, появились ли уже в 2023 году новые сценарии мошенничества?
— Несмотря на внешнее многообразие мошеннических легенд, которые простому гражданину всё труднее распознать, злоумышленники всегда используют два базовых сценария. Они либо предлагают что-то заманчивое — скидки, выплаты, бонусы, либо запугивают, например, потерей денег, уголовным преследованием, оформлением кредита на ваши паспортные данные и так далее.
Сейчас злоумышленники пытаются использовать технические новинки. Мы выявили схему обмана с размещением QR-кодов в общественных местах. В объявлениях предлагается получить бесплатную консультацию о гарантированной социальной выплате. Когда человек сканирует QR-код, он попадает в чат-бот в мессенджере. Далее выясняется, что ему якобы положена выплата. Пособия для социально незащищенных, выплаты студентам, семьям с детьми — у мошенников заготовлен целый перечень таких обещаний, чтобы завлечь и обмануть как можно больше людей. Далее злоумышленники под предлогом оформления якобы полагающейся выплаты запрашивают у человека личные и финансовые сведения. На самом деле эта информация нужна им для хищения денег с карты.
— Где именно размещаются такие QR-коды?
— Там, где они очень заметны, но при этом их размещение трудно контролировать — на стенах домов, в подъездах, на остановках, на парковках, других общественных местах и других объектах наибольшего скопления людей. Это не новый вариант взаимодействия с жителями городов — раньше, например, рекламу с номерами телефонов часто размещали на асфальте. Использование чат-ботов у людей вызывает дополнительное доверие, создавая ощущение работы автоматического сервиса какого-то официального ведомства.
— Мессенджеры всё чаще используются в мошеннических схемах. Например, в прошлом году банки зафиксировали, что злоумышленники стали обзванивать россиян с помощью месенджеров вместо сотовой связи. В Банке России видят риски в развитии таких технологий?
— Такие риски существуют. Злоумышленники и раньше пользовались мессенджерами для голосовых звонков. Другое дело, что сейчас такие звонки — восходящий тренд. Мошенники вынужденно переходят на этот способ контакта, потому что применять обычную телефонную связь всё сложнее. Мобильные операторы обязаны противодействовать мошенническим звонкам, действуют антиспам-сервисы, которые в том числе продвигают и банки.
Несмотря на всплеск интереса мошенников к популярным мессенджерам, их основным каналом по-прежнему остается телефонный звонок. Мы активно боремся с этими киберпреступниками. Например, в 2022 году, по предварительным данным, мы инициировали блокировку более 750 тыс. номеров, что в четыре с лишним раза превышает данные за предыдущий год. Это максимальный показатель с 2019 года, когда мы начали работу с операторами связи по блокировке таких номеров.
К сожалению, в случае с мессенджерами контроль со стороны операторов связи не работает, так как звонок идет через интернет-линию. Очень высок уровень анонимности звонящего, поэтому привлечь его к ответственности крайне сложно. К таким звонкам надо быть еще более внимательным, чем к традиционным телефонным. Не надо раскрывать свои личные и финансовые данные. Настоящие сотрудники банков, работники правоохранительных или государственных органов не звонят гражданам через мессенджеры, не рассылают фото или сканы документов.
«Период охлаждения» и возврат средств
— В прошлом году ЦБ выдвинул инициативу — обязать банк-плательщик на два дня приостанавливать зачисление денег на подозрительные счета, которые содержатся в специальной базе Банка России. Когда, по вашим расчетам, получится запустить этот механизм — так называемый период охлаждения?
— Законопроект об этом подготовлен при участии Банка России и в сентябре прошлого года внесен в Госдуму. Надеемся, что в ближайшее время он будет принят в первом чтении.
ФинЦЕРТ Банка России ведет базу данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, в которой содержатся в том числе сведения о совершенных операциях, о плательщиках и получателях денежных средств. Сведения этой базы будут доводиться нами до банка-отправителя и банка-получателя платежа, и они, в свою очередь, будут обязаны использовать эту информацию в своих антифрод-системах.
Документ предусматривает, что банк плательщика в течение двух дней не будет подтверждать перевод на счет, который содержится в нашей базе данных. «Период охлаждения» нужен, чтобы у гражданина было время на осмысление происходящей ситуации. Ведь он не сразу осознает, что находится под влиянием аферистов, которые под различными предлогами пытаются убедить его расстаться с деньгами. За два дня человек сможет обдумать свои действия или кто-то из родственников может заметить, что происходит что-то неладное.
— Инициатива об обязанности банка возвращать похищенные у россиян деньги вызвала дискуссию в профессиональном сообществе. Удалось ли прийти к консенсусу с кредитными организациями относительно сроков и суммы возврата?
— Она включена в тот же законопроект, который находится в Госдуме. Почему мы ее предлагаем? Сегодня по закону клиент банка не вправе рассчитывать на возврат похищенных денег, если он нарушил условия договора, то есть передал реквизиты карты, SMS-код, логин и пароль от интернет-банкинга. Однако, как мы с вами и говорили в начале, к сожалению, сейчас широко распространено мошенничество с использованием методов «социальной инженерии», когда человек под воздействием киберпреступников раскрывает им эти данные или добровольно переводит деньги. В итоге доля возврата очень низкая — за девять месяцев 2022 года всего 4,8% от всего объема похищенных денежных средств возвращено банками пострадавшим гражданам.
Мы стремимся изменить ситуацию с возвратами, стимулируя банки лучше защищать своих клиентов и повышать качество работы антифрод-систем. Если эти функции кредитная организация выполняет некачественно, она будет нести финансовую ответственность.
Инициатива предусматривает, что если банк — отправитель платежа получил от нас информацию из базы о случаях и попытках перевода денежных средств без согласия клиента, но не учел ее в своих бизнес-процессах и совершил перевод на такой счет, то он обязан будет вернуть клиенту похищенные средства в полном объеме в течение 30 дней.
Кроме того, банк — получатель платежа сможет ограничивать дистанционный доступ к счету, если информация о таком счете есть в базе о случаях и попытках осуществления переводов денежных средств без согласия клиента.
По законопроекту достигнут консенсус, завершилось межведомственное согласование, все заинтересованные министерства и ведомства его поддержали. Кроме того, мы намерены дополнительно обсудить с рынком и экспертами инициативы регулятора по противодействию кибермошенникам и социальной инженерии в середине февраля на уральском форуме «Кибербезопасность в финансах» в Екатеринбурге.
— Банк должен будет вернуть всю сумму в любом случае или только при определенных условиях?
— Законопроект предполагает, что банк должен предпринять все разумные меры по защите клиента. В первую очередь речь идет о «периоде охлаждения». В то же время банк не вправе ограничить клиента в распоряжении деньгами. И если, несмотря на двухдневный «период охлаждения», на попытки банка разубедить клиента, он всё равно настоял на переводе, тогда банк освобождается от обязанности компенсировать похищенное.
«Случаи ошибочного попадания в базу дропперов единичны»
— Когда речь идет об ограничении дистанционного доступа к счетам из базы ЦБ о подозрительных трансакциях, появляются опасения, что туда могут попасть добросовестные россияне. Каким образом формируется эта база?
— База формируется на основе данных, которые банки и операторы платежных систем передают в Банк России по жалобам клиентов о несогласии с операцией. В ней большое количество параметров — уникальных идентификаторов, в том числе сведения о совершенных операциях, о плательщиках и получателях денежных средств. Должны быть весомые доказательства, чтобы счет попал в нашу базу данных о случаях и попытках по операциям без согласия клиентов. Если, например, покупатель товара на маркетплейсе остался недоволен, хочет вернуть деньги и пишет заявление в банк, то это не значит, что кредитная организация автоматически признает счет продавца мошенническим.
Поэтому сейчас случаи ошибочного попадания в базу единичны, и для них установлен механизм быстрого исключения сведений из базы. Человек может обратиться для этого с заявлением в свой банк или в интернет-приемную Банка России, после чего в течение нескольких дней будет принято решение об исключении из базы. Добросовестным клиентам банков, которые не вовлечены в противоправную деятельность, опасаться не стоит.
— Можно ли базу ЦБ с информацией о подозрительных операциях назвать «базой дропперов»?
— Официально у нее другое название, как я уже говорил. Однако эксперты и участники рынка также называют ее «базой дропперов». Это лица, которые занимаются выводом и обналичиванием похищенных денег.
— Сколько сейчас в ней содержится счетов россиян?
— Речь идет о десятках тысяч. При этом утверждать, что именно столько злоумышленников действует в России, неправильно. Во-первых, у мошенника может быть несколько счетов, через которые выводятся похищенные деньги. Во-вторых, информация о дропперском счете появляется в нашей базе, когда пострадавший обратился в свой банк с заявлением о хищении денег, банк проверил информацию и направил ее в ФинЦЕРТ Банка России — специальное структурное подразделение регулятора, на базе которого с участием всех банков проходит информационный обмен, в том числе о подозрительных операциях при денежных переводах. Но далеко не все пострадавшие от мошенников граждане обращаются с заявлением, в том числе в полицию.