Мошенники будут активнее использовать для хищений технологию оплаты по QR-коду, считают эксперты

Дата публикации: 03.02.2023
Источник: Российская газета

Мошенники будут активно использовать для хищений технологию оплаты через Систему быстрых платежей (СБП) по QR-коду, считают эксперты банка ВТБ, второго по размеру активов в РФ. Аналитики, опрошенные «Российской газетой», отмечают, что сама технология СБП безопасна, но людям необходимо проверять реквизиты при проведении любой транзакции. Ситуацию осложняет то, что в СБП нет регламентированного процесса опротестования операций.

iStock

«В 2023 году эксперты банка не ожидают кардинальных перемен в основных мошеннических схемах. По сравнению с прошлым годом вырастет количество звонков злоумышленников через мессенджеры и социальные сети, также они будут более активно использовать для хищений технологию оплаты через СБП по QR-коду», — сообщил ВТБ.

Кроме того, в экспертном сообществе обсуждаются опасения о возможном использовании технологий искусственного интеллекта для кражи средств, указывает ВТБ. Однако банк фиксирует, что пока мошенники лично общаются с потенциальными жертвами, и в обозримом будущем, по прогнозам экспертов, ситуация едва ли изменится.

СБП — сервис, с помощью которого можно совершать межбанковские переводы по номеру мобильного телефона круглосуточно, без праздников и выходных. Комиссии за такие переводы низки или вовсе отсутствуют. По данным Банка России, к системе уже подключены более 200 банков, включая крупнейшие. СБП также позволяет оплачивать покупки в том числе по QR-коду и получать выплаты от организаций.

По данным Банка России на конец третьего квартала 2022 года, объем операций в СБП с начала запуска превысил 15 трлн рублей: 72 млн граждан совершили 2,9 млрд операций. При чем средняя сумма перевода по итогам третьего квартала составила пять тысяч рублей.

«Эксперты рынка утверждают, что платежи через СБП — один из механизмов надежных расчетов. В начале внедрения QR-кодов была выявлена уязвимость, когда мошенники собирали деньги через этот инструмент. Однако и Банк России, и НСПК, и финансовые организации провели «докрутку», адаптацию внутренних настроек. Регулятор потребовал от банков блокировать счета торгово-сервисных предприятий, если финансовая организация не может проверить, кого подключает к СБП. После этого информация о таких схемах обмана не появлялась», — отмечает эксперт проекта Народного фронта «За права заёмщиков» и платформы «Мошеловка» Алла Храпунова.

Это связано с тем, что генерация QR-кода доступна лишь клиентам банков, полагает она. «Клиенты, в свою очередь должны быть прозрачны для обслуживающих их банков, ведь это прямое требование 115-ФЗ. В рамках этих процедур банки умеют выявлять сомнительность в расчетах клиентов и изменение характера потоков средств, проходящих через их счета», — подчеркнула Храпунова.

В прошлом году оплата таким способом стала привычной, а потому некоторые пользователи могли быть менее бдительными и одобрять такие операции «на автомате», продолжает главный эксперт «Лаборатории Касперского» Сергей Голованов.

«Этим и могут воспользоваться злоумышленники. Например, под видом оплаты в магазине присылать QR-код для перевода средств на сторонний счет или размещать такое изображение на фишинговых страницах», — указывает собеседник газеты.

Как всегда, необходимо внимательно перепроверять всю информацию о транзакции перед тем, как ее одобрить. Не лишним будет также установить защитные решения, позволяющие блокировать переход на фишинговые и скам-ресурсы, советует Голованов.

По его словам, тренд на увеличение количества звонков через мессенджеры наметился уже во второй половине прошлого года. В первую очередь это связано с тем, что в отличие от «классических» звонков, сейчас нельзя заблокировать или отследить централизованно. Поэтому пользователям важно быть внимательными, не сообщать свои данные и перепроверить услышанное по официальному телефону организации.

Глава правления ассоциации «Финансовые инновации» Роман Прохоров объясняет рост интереса мошенников к использованию СБП активным развитием и ростом числа пользователей этого сервиса.

«Факты мошеннических операций с использованием поддельных QR-кодов уже были отмечены, в частности злоумышленники размещали их на листовках магазинов бытовой техники, обещая скидку при переходе по коду или в точках общепита под видом системы безналичных чаевых», — указывает Прохоров.

Для предотвращения необходимо соблюдать базовые правила цифровой гигиены. Человек практически всегда является наиболее уязвимым звеном для мошенников, в настоящее время основная часть неправомерных операций со средствами на счетах клиентов осуществляется с использованием методов социальной инженерии.

Независимый эксперт на платежном рынке Андрей Чирков указывает на особенности СБП, которые позволяют мошенникам разрабатывать новые схемы обмана по сравнению с карточными продуктами. «Например, статичные QR-коды. Не все банки умеют в мобильном приложении показывать детали платежа, просто сумма и все. Проблема в том, что в СБП нет регламентированного процесса опротестования операций, только если сам получатель добровольно согласится вернуть. Ровно точно также как с наличными деньгами», — сетует эксперт.

В свою очередь, в Group-IB считают, что стартовую точку для дальнейших атак на клиентов финансовых организаций преступники могут использовать утечки данных российских компаний. В 2022 году злоумышленники выложили в публичный доступ 311 баз. Для сравнения, в 2021 году их было всего 61. Общее количество строк данных пользователей, содержащихся во всех опубликованных сливах превысило 1,4 млрд.

«Одна из схем может выглядеть следующим образом. Через форму онлайн-заявки на сайте банка мошенники создают запрос на оформление кредита, используя свежую информацию из украденных баз. Используя целевой фишинг и социальную инженерию, они связываются с клиентом и просят сообщить код, который пришел в смс для доступа в личный кабинет», — указывают эксперты Group-IB.

По словам эксперта компании, для своих целей мошенники подменяют номера с помощью сервисов в Telegram, которые позволяют совершать звонки и измененных номеров без установки специальных программ. «Из других киберугроз мы отметим популярную схему «Мамонт», лжесвидания, Fake Crypto Giveaway», — указали в компании.

 

    Формирование заявки





    Спасибо! Ваше
    обращение принято

    Ожидайте ответа специалиста

      Консультация по проблемным долгам








      Спасибо! Ваше
      обращение принято

      Ожидайте ответа специалиста