Количество мошеннических операций против банковских клиентов растет, отмечают в ЦБ. И предлагают радикальные меры для борьбы с ними. SafeTech разделяет позицию регулятора, предлагая в том числе, и свое видение решения проблемы.

На открывшемся 14 февраля 2024 года Уральском форуме «Кибербезопасность в финансах» глава ЦБ РФ Эльвира Набиуллина рассказала, что борьба с мошенничеством в кредитной сфере — одна из основных задач регулятора на 2024 год.

По данным ЦБ, мошенники в 2023 году похитили у клиентов банков 15,8 млрд руб., что на 11,5% больше, чем годом ранее (14,2 млрд руб. за 2022 год). При этом если ранее из-за активности злоумышленников теряли средства сами клиента – средства выводились с их банковских карт или вкладов, то в последнее время все чаще социальные инженеры убеждают жертву взять кредит и перевести на безопасный счет, в итоге похищают средства самой кредитной организации. «Социальная инженерия все больше и больше перетекает в кредитный фрод, где нет системных барьеров (…) Люди все чаще и чаще берут миллионные кредиты и отдают их мошенникам. По нашей статистике, каждый четвертый рубль, похищенный из банков, — это заемные средства», — отметила Эльвира Набиуллина.

В итоге на большой сцене форума глава ЦБ, топ-менеджеры крупнейших банков, и глава комитета по финрынкам Госдумы обсуждали каким образом можно было бы решить проблему. Например, ввести период охлаждения по кредитам на сумму от 1 млн руб., чтобы был временной зазор между одобрением кредита и получением денег. По словам экспертов, суток на раздумие вполне достаточно. Кроме того, ЦБ предложил ввести лимиты на внесение наличных в банкоматах с использованием токенизированных карт.

«Во многом, когда безналичные переводы, проблема решается, но многие уходят в наличные. Берут в банке кредиты наличными, потом приходят в банкомат и переводят на так называемый безопасный счет в другом банке, счет преступника. Для того чтобы этого не было, все-таки стоит рассмотреть вопрос по установлению лимитов для того, чтобы вносить наличные деньги по таким токенизированным картам, по приложениям через терминал», — сказала глава ЦБ.

В то же время, как уже неоднократно отмечал SafeTech, существенно сократить количество атак на граждан с использованием социальной инженерии было бы возможно при отказе кредитных организаций от смс в качестве средства подтверждения получения кредита, а также средства подтверждения транзакции.

В смс-сообщениях крайне ограничено количество знаков, клиент может до конца не осознавать какую именно операцию он совершает. И многочисленная судебная практика, включая решения Верховного суда, говорит о том, что взятый по указке злоумышленников кредит и переведенный на «безопасный счет» можно не возвращать, если согласие на его получение было получено с помощью кода из смс. Использование же мобильной цифровой подписи для подтверждения волеизъявления клиента как при одобрении кредита, так и при переводе средств, позволят человеку получить полную информацию о проводимой операции и будет иметь возможность передумать.

Впрочем, идеи ЦБ и по введению периода охлаждения по кредитам, и о ограничении суммы, которую человек может внести в банкомате с использованием токенизированной карты, также могут способствовать снижению мошенничества.

Но, чтобы еще больше повысить защищенность клиентов кредитных организаций, и исключить риск того, что злоумышленники будут обходить лимиты путем дробления сумм, можно ввести дополнительные меры защиты. Например, организовать обмен информацией о цифровых отпечатках устройств клиентов (фингерпринтах) между кредитными организациями. Сейчас мобильные банки кредитных организаций по требованию регулятора эту информацию собирают, но обмена нет. Обмен этой информацией позволит отлавливать изменения устройства, что также можно использовать в системах антифрода.