О защите граждан от социальной инженерии

С каждым годом кибермошенники воруют у граждан — клиентов банков все большие суммы. Например, в начале осени удалось предотвратить попытку хищения 160 млн рублей злоумышленниками, представлявшимися сотрудниками крупнейшего госбанка и предлагавшими перевести в целях безопасности средства на специальный счет. Примерно в то же время мошенникам удалось похитить у преподавателя столичного вуза 33 млн рублей.

Не брезгуют аферисты и куда менее значительными суммами. О чем нам говорят официальные данные Банка России: в 2023 году «средний чек» по так называемым операциям без согласия клиента составил порядка 14–15 тыс. рублей. Всего же за первые 6 месяцев 2023 года мошенники около 250 тыс. раз совершали похищения денег с банковских карт, счетов, вкладов граждан на общую сумму более 3,5 млрд рублей. Жертвам удалось вернуть лишь малую часть украденных денег — 7,2% от уведенных злоумышленниками сумм — 252 млн рублей.

Очевидно, что в такой ситуации жизненно необходим закон по защите граждан от кибермошенничеств, обязывающий банки возмещать клиентам похищенные средства по операциям «без добровольного согласия». И вот долгожданный документ был принят Госдумой и вступит в силу летом 2024 года.

Ура?! К сожалению, нет. Законодатели забыли уточнить в законе важную деталь — как именно банк должен получать «добровольное согласие» клиента на проведение операции. Это небольшое упущение может в итоге привести к тому, что процент возврата похищенных денег по операциям без согласия клиента будет таким же мизерным после вступления в силу закона, как и сейчас.

Закон предполагает, что банк должен проверять все денежные переводы граждан и приостанавливать подозрительные транзакции на два дня. За это время кредитная организация должна связаться с клиентом и убедиться, что тот действительно хочет перевести деньги.

Может ли банк и после получения подтверждения отказаться совершить перевод? Безусловно, если деньги переводятся на счета так называемых дропперов, то есть тех, кто уже был замечен в получении средств по мошенническим и другим незаконным операциям. Ведет «черный список» дропперов ЦБ.

При этом с банка в любом случае не снимается обязанность проверять все переводы, вне зависимости от того, кто получатель — дроппер, обычный человек или компания. И подозрительные платежи кредитные организации будут отрабатывать по полной программе, чтобы не оказаться виноватыми, когда деньги ушли мошенникам вне «черных списков».

Являются ли поправки в документе благом для граждан — клиентов кредитных организаций? На первый взгляд — однозначно: банки публично выступали в поддержку документа. Но на самом деле то, что плюс для банков, далеко не всегда хорошо для простых граждан. Кредитные организации вполне устраивает, что их ответственность по закону ограничена «черным списком» ЦБ. То есть если у человека украли деньги, то по сути виноват будет Банк России, который не внес мошенника — получателя средств в «черный список». И возвращать деньги, ушедшие мошенникам вне списка, никто не будет.

Еще один неотработанный вопрос: закон требует получать от клиента подтверждение того, что он переводит деньги добровольно и осознанно. Но при этом документ не говорит, каким именно образом должно быть получено это «добровольное согласие», и это опасный момент. До принятия закона банки в случае подозрительных операций порой звонили клиентам, однако для банка такой способ дорог. Когда подобные звонки — редкость, то банки еще могут себе позволить потратить средства на сотовую связь и на оплату дополнительной работы сотрудника колл-центра. Когда же потребуется проверять каждый перевод, то вряд ли банки захотят использовать этот способ получения «добровольного согласия».

Альтернатива — звонки роботизированного помощника. Тут банк тратит средства на оплату сотовой связи, но экономит на зарплате оператора. Получается немного дешевле, но люди в большинстве своем не любят общаться с роботами, и потому этот способ также вряд ли подойдет.

Поэтому для подтверждения операций, скорее всего, будут использоваться СМС, которые дешевле и привычнее. И это как раз и есть весьма опасный момент закона, который существенно снижает «защитные функции» в целом позитивного и правильного документа.

Многим СМС-сообщения до сих пор кажутся весьма надежным инструментом подтверждения платежа. Но на самом деле это не так. Проблема номер один — количество печатных знаков в СМС-сообщении ограничено. Поэтому впихнуть в одно сообщение всю информацию о платежной операции невозможно. Отправлять же клиенту 3–4 СМС кредитные организации не будут, поскольку это очень дорого: СМС банку обходится до 4 рублей за сообщение (стоимость зависит от размера банка). Можно ли считать достаточным подтверждением добровольного согласия клиента на проведение платежа сообщение, в котором нет информации об операции, когда клиент в принципе не видит, под чем он подписывается? На мой взгляд, ответ тут однозначный: нет.

Проблема номер два: СМС достаточно легко перехватить — подобные атаки существуют не первый год и успешно реализуются. Так, еще в 2019 году шесть крупнейших немецких банков отказались от использования СМС для подтверждения операций из-за их уязвимости (она не устранена до сих пор), которая позволяет кибермошенникам создавать виртуальную сим-карту и перенаправлять на нее все операции с реальной симки клиента. Какие «добровольные согласия» раздадут злоумышленники банкам, используя эту уязвимость и действуя от имени клиента, — можно только догадываться.

Есть и третья проблема. По данным Банка России, сейчас около половины всех кибератак на граждан идет с использованием социальной инженерии. То есть мошенники, представляясь сотрудниками банков, правоохранительных органов, Госуслуг и других компетентных организаций, звонят гражданам и выманивают у них обманным путем коды из СМС. При этом часто своим жертвам аферисты объясняют, что их средства переводятся на «безопасный счет» в самом банке как раз для защиты от мошенников. В итоге ведомый «социальными инженерами» человек может подтвердить совсем не ту операцию, какую он на самом деле хотел провести, и средства уходят на банковскую карточку незнакомца. Уверен, что половина всех хищений с помощью социальной инженерии у граждан совершается именно потому, что те не понимают, код подтверждения какой операции они называют «службе безопасности банка».

Есть ли альтернатива СМС, безопасная и однозначно подтверждающая, что человек действительно хотел перевести деньги? Да, есть решения, в том числе и российские, которые позволяют подтверждать платежи и переводы, предоставляя всю информацию о проводимой операции без возможности ее перехвата хакерами. Один из вариантов (но не единственный) — мобильная электронная подпись. При ее использовании в каналах дистанционного банковского обслуживания, в отличие от СМС, у клиента на экране смартфона есть вся информация об операции — кому, сколько и в какой банк уходят деньги, а у кредитной организации — железобетонное подтверждение, что добровольное согласие получено. То есть при ее использовании ситуации, когда клиент переводит средства некоему «Михаилу Л.», думая, что средства направляются на «безопасный счет» в самой кредитной организации, просто невозможны.

Некоторые российские банки уже сейчас отказались от СМС и используют альтернативные решения, которые позволяют клиентам четко видеть, на какую операцию они соглашаются. Некоторые, но, увы, далеко не все.

А раз в законе депутаты забыли или не сочли нужным уточнить порядок подтверждения получения «добровольного согласия» клиента, то есть риск, что наиболее консервативные игроки финансового рынка продолжат использовать устаревшие СМС, подвергая опасности средства клиентов. И потому у граждан остается лишь один способ обезопасить себя — голосовать рублем, то есть хранить деньги в тех банках, кто отказался от морально устаревших и небезопасных СМС в пользу более продвинутых технологий.

Источник: https://www.mk.ru/economics/2023/11/07/ostorozhno-sms-dyrka-v-zakone-grozit-minimizirovat-summy-vozvrata-rossiyanam-pokhishhennykh-sredstv.html