Изнанка цифровизации: масштаб телефонного мошенничества выходит из-под контроля

Телефонного финансового мошенника можно с уверенностью назвать человеком года — 2021 в России. Размах деятельности аферистов значительно вырос в сравнении с прошлым годом, когда клиенты банков на фоне роста дистанционных сервисов в период пандемии уже столкнулись с угрожающим масштабом махинаций. Под занавес года Банк России предложил новый механизм компенсации пострадавшим от мошенников, который, скорее всего, потребует от банков дополнительных решений в области кибербезопасности, но вряд ли эти меры станут панацеей, поскольку мишенью отечественных аферистов чаще всего становятся не ИТ-системы банков, а люди с низким уровнем финансовой и цифровой грамотности.

В третьем квартале этого года ЦБ РФ зафиксировал более 256 тысяч банковских операций без согласия клиентов на сумму 3,2 млрд рублей — для сравнения: за тот же период годом ранее соответствующие показатели составляли 183 тысячи операций и 2,7 млрд рублей. По итогам года количество выявленных фактов финансового мошенничества может перевалить за миллион, предупредил недавно президент Ассоциации российских банков Гарегин Тосунян в ходе организованной его структурой дискуссии на эту тему. Тогда же управляющий Федеральным фондом по защите прав вкладчиков и акционеров Марат Сафиулин заявил, что 2021 год можно назвать годом финансовых пирамид.

Нет сомнений, что статистика ЦБ — это лишь верхушка айсберга. Общий ущерб от телефонного мошенничества в России за 11 месяцев этого года составил 45 млрд рублей, сообщил на днях на пресс-конференции в ТАСС заместитель начальника Следственного департамента МВД РФ Данил Филиппов. Каждый седьмой россиянин, привел он данные статистики, пересекался с телефонными мошенниками, а половина их жертв сами добровольно передавали секретные данные, пароли и коды.

При этом масштабы компенсаций потерпевшим мизерны: согласно данным ЦБ, за третий квартал удалось возместить ущерб лишь в объеме 7,7% похищенного в результате банковских операций без согласия клиента, хотя годом ранее этот показатель составлял 13,1%. Вероятно, эта тенденция подтолкнула ЦБ к предложению упростить процедуру компенсации похищенных средств. Как сообщил несколько дней назад РБК, Банк России уже подготовил поправки в федеральный закон «О национальной платежной системе» (161-ФЗ) и разослал их банкам.

Предполагается, что ЦБ определит сумму, подлежащую возврату пострадавшим в упрощенном порядке, а банкам, имеющим недостаточные механизмы защиты клиентов от мошенников, придется вернуть похищенное полностью. Чтобы рассчитывать на компенсацию, потерпевший должен будет уведомить банк о мошенничестве не позднее следующего дня после получения от банка уведомления о проведенной операции.

У экспертов финансовой сферы нет однозначной оценки предложения ЦБ.

В частности, Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности», считает, что идеология предлагаемых изменений — связать уровень компенсаций с масштабом мер по противодействию мошенникам в банках — логична.

«Чем хуже банк занимается защитой клиентов от мошенников (антифродом), тем больше денег он должен резервировать, — считает аналитик. — Понятно, что если банковская организация не занимается безопасностью, то с большой вероятностью что-то случится. ЦБ сейчас реализует аналогичный подход к информационной безопасности. При выборе мер для защиты от мошенников банкам предстоит искать баланс: с одной стороны, требуется снизить риски мошенничества, а с другой — не ухудшить клиентский сервис. Каждый банк сам выбирает подходящий уровень мер, но у Центробанка есть набор требований, связанный с защитой от мошенничества, которые должны применять все банки, а уже потом надстраивать новые уровни антифрода».

Генеральный директор аналитического центра «БизнесДром» и сопредседатель комитета «Опоры России» по финансовым рынкам Павел Самиев, напротив, высказывает сомнения в том, что инициатива ЦБ позволит решить проблему принципиально. По его словам, предложение установить уровень компенсаций для жертв мошенничеств в зависимости от того, какие меры безопасности предприняли сами банки, выглядит неким российским ноу-хау. В других странах такие компенсации либо не связаны с оценкой действий банков по борьбе с мошенничеством, либо действуют страховые механизмы.

Самый главный вопрос заключается в сложности оценки действий банков и определения критериев эффективности и достаточности мер борьбы с мошенничеством, считает Павел Самиев. Дело в том, что специфика российских банковских мошенничеств заключается в высокой доле случаев, определяемых понятием «социальная инженерия», то есть действий мошенников при помощи давления на своих жертв.

О ее масштабе можно судить по такой статистике ЦБ: в третьем квартале прошлого года в общем объеме банковских операций без согласия клиентов на социальную инженерию приходилось около 64%. Спустя год этот показатель в целом существенно снизился (до 41%), но в ряде типов мошеннических действий он безусловно доминирует. Доля социальной инженерии по-прежнему подавляющая (почти 70%) в системе дистанционного банковского обслуживания физических лиц, — собственно, это и есть классическое телефонное мошенничество, когда жертве поступает звонок якобы из банка. Количество таких случаев, выявленных ЦБ, в третьем квартале этого года увеличилось почти вдвое, до 52 тысяч, объем похищенного вырос до 1,7 млрд рублей, а доля возмещенных средств потерпевшим смехотворна — всего 1,5%.

В то же время масштаб мошенничества с оплатой товаров и услуг в интернете за последний год заметно сократился. Если в третьем квартале прошлого года именно он лидировал в статистике ЦБ и по количеству случаев, и по объемам украденного, то теперь этот сегмент значительно уступает «звонкам из банка». За июль — сентябрь мошенники, действующие от лица интернет-сервисов, провели операции без согласия клиентов на 900 млн рублей, тогда как годом ранее это была более внушительная сумма — более 1,2 млрд рублей. Объем возврата средств в этом сегменте существенно выше (уже почти четверть), а доля социальной инженерии относительно невелика (35%). Так что фокус мошенничества все больше смеoается именно в телефонную сферу, и рост статистики в этом сегменте демонстрирует, что каких-то эффективных упреждающих мер пока не придумано.

«Высокую роль в данном случае играет человеческий фактор, когда не происходит технических воздействий наподобие взлома личного кабинета пользователя, — комментирует Павел Самиев. — При этом многие действия совершает сам клиент банка, дающий мошенникам доступ к своим деньгам под их воздействием. Предъявить непосредственные претензии банкам в данном случае очень сложно, поскольку непонятно, в чем их ответственность. За уровень финансовой грамотности граждан банки точно не отвечают. С тем же успехом человек может дать мошенникам доступ не только к своим банковским счетам — хорошо известны случаи, когда люди выносили деньги из дома и передавали их мошенникам».

Поэтому мошенничество с помощью методов социальной инженерии сложно увязать с технологиями защиты денег, которые применяют банки, уверен Павел Самиев. Методы социальной инженерии, по его словам, как правило, работают не потому, что произошел провал киберзащиты банка, и не потому, что банки своими действиями или бездействием повышают этот риск. Чаще всего люди идут на поводу у мошенников по своей воле, находясь в здравом уме.

«Единственное, что можно сделать на стороне банков, — это дополнительно ужесточить требования к подтверждению каких-либо действий, — констатирует эксперт. — Но это будет не очень удобно для пользователей, поскольку совершать операции придется сложнее и дольше. Скорее всего, если предложения ЦБ начнут внедряться, то банкам придется идти именно этим путем, увеличивая количество идентификаций. Хотя пока сейчас сложно предположить, как эти инициативы регулятора будут реализованы на практике».

Кроме того, необходимо отметить такие важные аспекты, как транснациональный характер деятельности финансовых мошенников и их постоянно меняющиеся стратегии. И в том, и в другом случае основные меры по борьбе с аферистами определенно должны предпринимать правоохранители, а не службы безопасности и ИТ-отделы банков, но на практике добраться до организаторов и исполнителей мошеннических схем нередко практически невозможно.

Не так давно, например, зампред правления Сбербанка Станислав Кузнецов заявлял, что главным зарубежным центром телефонного мошенничества, направленного на Россию, является украинский город Днепр (Днепропетровск), где действует порядка 150 подпольных колл-центров. Их операторы, пользуясь отсутствием языкового барьера и минимальной стоимостью интернет-телефонии, совершают звонки гражданам России, причем если раньше они предпочитали представляться работниками банков, то теперь чаще аттестуют себя как сотрудников правоохранительных органов. Такой заход мошенников, судя по рассказам банкиров и криминальной хронике, работает вполне эффективно. Руководство того же Сбербанка недавно сообщало о том, как у клиентки одного из банков мошенники в несколько приемов выманили 380 млн рублей, представившись по телефону сотрудниками ФСБ. И это далеко не единичный случай.

Отдельный вопрос — насколько полезным может оказаться международный опыт борьбы с кибермошенничеством, поскольку в действительности Россия столкнулась с валом телефонных мошенничеств относительно поздно в сравнении с рядом других стран, например Южной Кореей, которая пережила настоящую эпидемию фрода во второй половине прошлого десятилетия. О том, насколько изощренно действовали корейские киберпреступники-транснационалы, можно судить по фильмам «Мошенники» Чан Чхан-вона, который вышел на экраны еще в 2017 году, и «На линии» режиссеров Ким Гока и Ким Суна (2021), где технологии фрода изображены предельно наглядно. Поэтому изучение зарубежного опыта борьбы с ними как минимум не помешает. Уровень финансового мошенничества в России уже и так в целом представляется выше среднемирового, считает Павел Самиев. Хотя, уточняет он, доля хакинга, когда доступ к счетам мошенники получают без участия клиента, меньше, чем в других странах, поскольку степень защищенности российских банковских ИТ-систем изначально выше.

«Несомненно, нужно изучать, как борются с технологическим мошенничеством в мире. Но в области социальной инженерии российские „специалисты“ очень продвинуты и изобретательны, и здесь перенимать опыт других стран будет сложнее, поскольку Россия и так входит в число лидеров по масштабам этого вида мошенничества. Главное направление борьбы с таким видом мошенничества — повышение базовой финансовой и цифровой грамотности. Но любая борьба будет неэффективна, если люди продолжат сами отдавать мошенникам деньги», — резюмирует эксперт.

Банковское мошенничество распространяется с уровнем развития систем дистанционного банковского обслуживания — и на сегодняшний день Россия является одним из мировых лидеров этого направления, напоминает Павел Коростелев. Поэтому, считает он, и уровень мошенничества в России выше, чем в других странах. «Искать страны, которым удалось достичь принципиального прогресса в борьбе с этим явлением, бессмысленно, — уверен эксперт. — С проблемой банковского фрода предстоит справляться самостоятельно».

Такая постановка вопроса вновь возвращает к проблеме финансовых и цифровых компетенций среднестатистического пользователя: фактически мошенники идут в ногу с банками, которые взяли бесповоротный курс на цифровизацию. Любопытно, что по уровню финансовой грамотности Россия заметно опережает многие европейские страны, — например, в соответствующем рейтинге ОЭСР за прошлый год она оказалась на девятом месте, выше, чем, к примеру, Венгрия, Хорватия или Италия. Однако банковские системы в этих странах не настолько цифровизированы, и здесь вступает в силу дополнительный фактор — действительно низкий уровень цифровой грамотности. Как показал Международный индекс готовности общества к цифровизации, представленный не так давно АНО «Диалог» в ходе Восточного экономического форума, в списке из 51 государства Россия занимает лишь 27-е место.