Разгул преступности
За период пандемии число преступлений с использованием методов социальной инженерии увеличилось в двести раз, сообщил первый заместитель директора Департамента информационной безопасности Центробанка Артем Сычев на конференции по защите прав потребителей финансовых услуг.
Одна из причин такого разгула преступности — повышенная тревожность и падение реально располагаемых доходов населения, особенно в период ограничений, объяснила руководитель проекта ОНФ «За права заемщиков» Евгения Лазарева.
В 2020 году эксперты проекта «За права заемщиков» проанализировали 140 тысяч сообщений граждан с жалобами на действия мошенников. «Схемы действия «социальных инженеров», по сути, не меняются, однако они меняют «упаковку», адаптируя ее под текущую информационную повестку, — рассказала Полит.ру Евгения Лазарева. — В результате анализа мы выяснили, что в первом полугодии злоумышленники обзванивали граждан или направляли им сообщения, обещая отсрочки по выплате кредитов, разного рода компенсации, оформление пособий, возврат денег за авиационные билеты и отмененные концерты, услуги по диагностике заражения коронавирусной инфекцией, лекарства, волонтерскую помощь в приобретении продуктов питания».
Во втором полугодии добавились предложения по исправлению кредитной истории и помощь в получении кредитов, добавила эксперт.
Что бы ни предлагали социальные инженеры потенциальной жертве, цель одна — заставить человека под тем или иным предлогом сообщить свои персональные данные, данные банковской карты, пароль из sms, либо самостоятельно осуществить платеж на счет третьего лица.
«Также широко распространены рассылки писем со ссылками на фишинговые сайты, имитирующие официальные страницы таких организаций, как Минздрав России, Роспотребнадзор, Банк России, Всемирная организация здравоохранения, Бюро кредитных историй и другие», — отметила Евгения Лазарева.
По данным проекта ОНФ «За права заемщиков», 19 % из жалоб на мошенников касались фальшивых штрафов за нарушения мер самоизоляции, а также продажи универсальных пропусков. В 15 % случаев злоумышленники обещали получение материальной помощи от государства или правительства.
Так, в январе 2021 года пользователям социальной сети Facebook под видом рекламы показывали сообщение с символикой Центробанка. При переходе по ссылке открывается поддельный приказ «заместителя начальника Туллина Д. В.» от 20 января 2021 года о «единоразовой выплате за счет социальной выплаты от Центрального управления Банка Российской Федерации».
Мошенники утверждали, что «социальная выплата направляется на поддержание экономического положения граждан в момент эпидемии COVID-2019», а ее размер составляет от 1 тыс. до 5 тыс. рублей и зависит «от потребностей, которые изучаются исходя из ваших расходов». Для получения выплаты необходимо было ввести данные карты, включая CVV.
Еще один распространенный способ мошенничества, отмечают в проекте ОНФ «За права заемщиков», — создание фишинговых сайтов для оплаты коммунальных платежей. О таком способе обмана сообщили 10 % россиян. Еще 9 % подверглись обману при попытке узнать или исправить свою кредитную историю.
Приемы социальных инженеров
Техники социальной инженерии основаны на ошибках человека, которые он может допустить в поведении: нажать на фишинговую ссылку из-за беспокойства в безопасности почты (мошенники притворялись, например, службой безопасности Google). Или мошенники выдают себя за другого человека (службу), способного решить проблему — например, фейковый перевод или взлом банковского счета.
Выводить средства со счетов россиян мошенникам помогают страх потенциальных жертв потерять деньги, а также их финансовая неграмотность, незнание того, что банк никогда не звонит клиентам с просьбой назвать конфиденциальные данные, рассказал Полит.ру руководитель проекта «Россия без долгов» Денис Калугин.
Если мошенник понимает, что жертва — человек пожилой, в ход могут идти угрозы и запугивания. «Моей маме на днях звонили якобы из Сбера. Тактика у них была — давить. Мне позвонила мама, захлебываясь в слезах. Говорит: «Девушка очень грубо разговаривала. Сказала, что моими данными завладели мошенники, и я сейчас должна им сказать три цифры на обороте карты и какие-то коды». Когда мама отказалась, ей начали угрожать полицией и проблемами с законом за то, что она не хочет сотрудничать с банком», — написала одна из пользователей социальной сети Facebook в группе, посвященной разным видам мошенничества.
Мошенники владеют техниками манипуляции и знают, на какие кнопки давить, чтобы жертва перевела деньги. Другая женщина описала в Facebook историю, которая произошла с ее мамой. Пенсионерке позвонили якобы сотрудники Сбербанка. «Вы дитя войны, и за это вам полагается подарок 6000 рублей. Чтобы его получить, пройдите к банкомату и следуйте инструкциям по телефону… » — сообщили мошенники.
«Маме 79 лет. Она божий одуванчик, действительно «дитя войны», чуть не прослезившись от переизбытка чувств (у кого есть старики — поймут), пошла «следовать инструкциям»… Надо ли говорить, чем всё это закончилось», — пишет женщина.
Из 400 тысяч рублей, которые мама автора копила в течение всей жизни, на счету осталось всего 19 тысяч. Семья узнала об этом, когда им позвонили из настоящего Сбербанка и сообщили о «подозрительной активности». Эта история закончилась хорошо. Автор подала заявление в банк и в полицию. Деньги вернули. Но этот случай — скорее исключение.
«Шансы вернуть деньги стремятся к нулю»
«Правоприменительная практика показывает, что при любом случае мошенничества шансы вернуть свои деньги стремятся к нулю», — отмечает Евгения Лазарева.
«Как показывает практика, украденные средства расходятся по виртуальным картам или картам, которые оформлены на дропов (Дроп — «подставное лицо», человек, выполняющий функции посредника при разного рода мошеннических сделках, — Прим. Полит.ру), и вернуть их, даже написав заявление в полицию, а первым делом, конечно, нужно написать заявление в полицию, практически нереально», — соглашается с коллегами Денис Калугин.
За 2019 год мошенники увели с карт россиян почти 6,5 млрд рублей. Банки возместили пострадавшим лишь 15 % украденных средств — всего 935 млн рублей. Такие данные сообщаются в материалах Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Центробанка.
«Со стороны банка нет никаких нарушений, люди сами отдают мошенникам свои данные, коды, пароли и так далее», — объяснила небольшой процент возврата глава Банка России Эльвира Набиуллина, выступая в Госдуме с отчетом регулятора за 2019 год.
Во всех договорах об обслуживании банковской карты есть положения об освобождении банка от ответственности за несанкционированные действия третьих лиц, произошедшие по вине клиента, в том числе передачу PIN-кода злоумышленнику, подтверждает в комментарии Полит.ру юрист Лолла Кириллова.
«Клиент для оспаривания транзакции не может сослаться на то, что воспринял мошенника как сотрудника банка и сообщил ему данные карты. Но это можно сделать в рамках уголовного разбирательства, — поясняет Кириллова. — Имеет смысл обращаться в полицию. Если виновные будут привлечены к ответственности, то в рамках уголовного процесса можно подать гражданский иск о возмещении убытков, причиненных преступлением».
«Есть еще один шанс взыскать с банка сумму, похищенную с вашего счета, — добавляет Лолла Кириллова. — Это редкий случай, когда банк не исполнил обязанность по информированию клиента о совершенной операции. Речь идет, как правило, о sms-уведомлении об операции. Если оно не пришло и оператор связи подтвердит этот факт отчетом о посланных на ваше имя сообщениях, то банк обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента».
Чтобы оспорить операцию, совершенную без согласия клиента, есть всего один день — в течение него нужно обратиться в банк с заявлением.
«Укажите, что вы не давали согласие на проведение операции, потребуйте заблокировать и перевыпустить вашу карту, а также заблокировать личный кабинет согласно статье 9 Закона «О национальной платежной системе»», — советует юрист.
«Большинство пострадавших осознают, что стали жертвами мошенников, и обращаются в банк и к правоохранителям спустя несколько дней, когда объективно сделать уже ничего нельзя, — рассказывает Евгения Лазарева.
По словам эксперта, отследить транзакции и заблокировать прохождение средств возможно лишь при сверхоперативном реагировании и мгновенном оповещении банка о том, что потребитель был обманут.
Чтобы сократить количество преступлений с применением методов социальной инженерии, необходимо первым делом навести порядок в телефонии, лишить мошенников возможности подменять номера, полагает Денис Калугин. По данным Центробанка, около 80 % злоумышленников звонили гражданам с подменных номеров банков, сообщает РБК.
Техническая возможность блокировать подменные, похожие на банковские номера существует, но для того чтобы телекоммуникационные компании могли это делать, нужна правовая основа. Соответствующего закона пока нет.