Эффективны ли меры
По данным ЦБ, количество и объем операций без согласия клиентов финансовых организаций в 2021 году увеличились по сравнению с 2020 годом. Объем операций составил 13,5 млрд рублей (в 2020 году - 9,7 млрд рублей), а количество увеличилось с 773 тыс. шт. до 1,035 млн. шт. Эта информация говорит о масштабах проблемы, и, на мой взгляд, новые правила смогут снизить эти цифры», — говорит Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ». «Но вы должны понимать, что меры не помогут предотвратить социальную инженерию. Это только помогает информировать людей.
Изменения в положении Банка России № 683-П сложно назвать новшеством, так как большинство российских банков уже в той или иной степени реализуют описанные меры, считает Артем Гольцов, архитектор проектов информационной безопасности R-Vision, заметки. Однако, по мнению эксперта, хорошо, что эти требования также установлены на законодательном уровне.
Установка лимитов или запретов на определенные операции позволяет минимизировать риски нелегитимных операций. Но при этом нужно понимать, как клиент банка может активировать или деактивировать эти лимиты?
- Например, теперь пользователи мобильного приложения банка могут устанавливать как лимиты на переводы или снятия средств, так и на возможность использования реквизитов банковской карты при совершении онлайн-покупок. Управление лимитами с помощью приложения — очень удобный инструмент, но в то же время он позволяет мошеннику деактивировать установленные лимиты», — предупредил Артем Гольцов.
По его словам, злоумышленники, выдающие себя за «охрану банка», имеют высокие шансы ввести в заблуждение доверчивого клиента и склонить его к снятию галочек с лимитов в приложении банка.
Обходят ли мошенники идентификацию
Что касается проверки номеров телефонов и адресов электронной почты, большинство банков также применяют эти меры. По словам Артема Гольцова, банки собирают цифровой отпечаток мобильного устройства. Это позволяет контролировать установку приложений мобильного банкинга на новые гаджеты, но при этом совершенно не блокировать их загрузку.
«Для того чтобы воспользоваться мобильным банком, злоумышленнику необходимо завладеть не только паролем учетной записи, но и перехватить одноразовый код, который является вторым фактором аутентификации. Но это сложная операция, если пользователь хранит пароли в безопасности и не поддается социальной инженерии», — отметил специалист R-Vision.
Бизнес-архитектор Solar webProxy компании «РТК-Солар» Анастасия Хвеченик считает, что идентификация устройства является серьезным препятствием для злоумышленников.
«Теперь злоумышленникам необходимо получить доступ к устройству жертвы, что на порядок сложнее и требует высоких хакерских компетенций, в том числе с применением методов социальной инженерии. Обычные мошенники или хакеры-любители не смогут реализовать такую атаку, а высококвалифицированных хакеров интересуют совсем другие задачи, уверен собеседник.
Специалист «СёрчИнформ» Алексей Дрозд считает, что многое будет зависеть от того, как банки реализуют эту меру.
— Судя по всему, каждый банк сам решит, насколько серьезно проверять «подлинность» пользователя. Самая строгая процедура — подтверждение личности в офисе, даже при таком раскладе мошенничество теоретически возможно, но для злоумышленников оно окажется сложным и дорогим. Кроме того, это противоречит удобству банковских услуг и снизит лояльность клиентов», — подчеркнул он.
Оспаривание списаний
Бороться с последствиями обмана и наказывать воров достаточно сложно. Оспорить кредитный договор или сделку проблематично, поскольку часто клиенты добровольно предоставляют доступ к мобильному банку или переводят деньги мошенникам, говорит юрист «Ялилов и партнеры» Амир Хасанов. По его словам, обычно условия дистанционного банковского обслуживания содержат ряд условий, страхующих банки от различных ситуаций.
— Например, один из банков включил условие о том, что он не несет ответственности в случае несанкционированного доступа посторонних лиц к системному рабочему месту, установленному у клиента (в том числе удаленный сетевой доступ), и к ключам шифрования клиента. Это условие позволяет юристам банка отбивать многочисленные судебные иски от пострадавших клиентов», — сказал юрист.
Судебная практика в таких спорах, как правило, не в пользу потребителей, за исключением нескольких ситуаций, когда действительно виноват банк. На практике встречались такие случаи, когда клиенты не заключали договор на дистанционное банковское обслуживание, либо если в рамках уголовного дела потерпевшим признавался банк, а не клиент, добавил Амир Хасанов.
Вернуть средства можно не во всех случаях, согласна член Коллегии адвокатов России, эксперт по информационной безопасности Евгения Мешкова
— Например, на сайтах-дубликатах мошенники создают ситуацию по оплате услуг, когда при оплате банк произвел авторизованное списание средств от имени пользователя. По ее словам, после протеста сайт-двойник больше не использует домен, запрос банка на возврат средств не подтвержден, так как мошеннического субъекта нет.
По словам собеседника, для решения проблемы цифровые сервисы могут вести списки доверенных сайтов с доверенными ссылками, постоянно обновлять их, создавая доверенную среду.
Кредитный запрет
Ранее, в июне 2022 года, ЦБ предложил механизм самозапрета на выдачу кредитов для противодействия мошенникам. Граждане смогут обезопасить себя от ситуации, когда на их имя оформляется кредит или заем.
Для этого клиент должен поставить в бюро кредитных историй специальную отметку «Я запрещаю давать мне кредит». Это может быть как запрет на выдачу только онлайн кредита, так и полный запрет на выдачу кредита и займа. Банки и микрофинансовые организации будут проверять наличие самоограничений.
В этом случае клиент может ставить и снимать галочку столько раз, сколько ему нужно. Если пользователь действительно решает взять кредит, он отказывается от ограничения и через два дня спокойно получает деньги.
«Почему через два дня. Если есть короткий период «охлаждения», точка обрыва в общении, то, как правило, у человека хватает интеллекта или он поговорит с друзьями, со знакомыми и поймет, что что-то не так», — пояснил глава Служба защиты прав потребителей и обеспечения доступности финансовых услуг Банка России Михаил Мамута.
Предполагается, что новый механизм снизит риск утечки персональных данных граждан, в том числе «слива» копий паспортов, логинов и паролей.