Широким фродом

Кибермошенничество создает новые вызовы

Борьба с мошенничеством в финансовой сфере ведется в России несистемно и не по всем фронтам, из-за чего в проигрыше оказываются обыватели и бизнес.

В кибервек финансовые операции стали особенно рискованными. И для бизнес-структур, и для физических лиц. Проблема становится все острее, но эффективного средства борьбы с мошенниками пока не найдено

Фото: Alamy / DIOMEDIA

Светлана Сухова

Число мошенничеств с пластиковыми картами и банковскими счетами россиян, именуемое фродом (от англ. fraud), во всем мире стремительно растет. Россия — не исключение. По данным Главного информационно-аналитического центра МВД России, за первые шесть месяцев текущего года количество зарегистрированных фактов мошенничества с электронными платежами резко увеличилось — до 6613 случаев. Это в шесть раз больше, чем за аналогичный период 2018 года. Появляются новые преступные схемы, в которых участвуют помимо хакеров и мошенников еще и банки, и даже представители власти. В пострадавших же оказываются в конечном счете обыватели и бизнес. Не удивительно, что Росфинмониторинг, ЦБ, банковское сообщество, эксперты и правоохранители активно обсуждают пути решения проблемы. Чем эта дискуссия может закончиться? Похоже, созданием… очередного спецведомства, аккумулирующего борьбу с мошенничеством. «Огонек» решил присмотреться к происходящему.

Чудище обло, озорно, огромно…

От того, чтобы стать жертвой фрода, не застрахован никто: даже у одного из бывших руководителей Банка России по информационным технологиям таким образом увели с карты 88 тысяч рублей. Фрод многолик. И с каждым годом появляются все новые схемы.

Так, еще 10 лет назад скимминг (создание «дубликата» пластиковой карты путем воровства данных с магнитной полосы «пластика» и PIN-кода в банкомате) входил в число самых популярных видов мошенничеств. В 2007–2011 годах в Штатах были арестованы более 5 тысяч преступников, замешанных в скимминге, и каждый год, по данным американских властей, появлялись по 20 тысяч новых. Общий же ущерб от деятельности скиммеров еще в 2012 году составил 11,3 млрд долларов. По другую сторону Атлантики — в Великобритании — скиммеры опустошали счета и карты компаний и граждан на 100–170 млн фунтов ежегодно.

С распространением смарт-карт («пластика» с чипами) случаи скимминга, правда, сократились более чем в два раза. На смену ему пришла социальная инженерия.

С последней россияне СМС-сообщения, имеющие одну цель — заполучить личные данные клиента банка с тем, чтобы потом опустошить его счет. Социальная инженерия использует в том числе и таргетированную рекламу: пользователю предлагается поучаствовать в распродаже, лотерее или тестировании, за что обещан приз (подарок, большая скидка), а цель все та же — завладеть данными пользователя карты.

Но и социальная инженерия в топе по мошенническим оборотам не задержалась. Преступники всегда фокусируются на самом слабом звене, а это сегодня — интернет-операции. Они и стали теперь основным «вектором атаки», как утверждают специалисты: уже пару лет назад почти три четверти фрода были зафиксированы при проведении интернет-операций. Согласно отчету Центра мониторинга и реагирования на компьютерные атаки (ФинЦЕРТ), созданного Банком России, два года назад с пластиковых карт россиян были похищены 961 млн рублей (на 10 процентов больше, чем годом ранее), а в 2018 году воровство только усилилось — сумма потерь составила 1,3 млрд рублей.

Конечно, защитные технологии тоже не стоят на месте, и производители интернет-браузеров регулярно добавляют в свои решения элементы защиты от фрода (например, предупреждают пользователя о переходе на подозрительный сайт, используют технологии 3D-secure, в которых для проведения операции требуется ввод дополнительного кода, получаемого в отделении банка, через банкомат, по СМС или с помощью аппаратного генератора кодов). Но и при этом преступность часто оказывается на шаг впереди.

В 2018 году, например, эксперты отметили «хит сезона»: одним из самых популярных видов фрода стал рекламный — это когда мошенники обманывают компании, размещающие рекламу в интернете, например путем «накручивания» счетчика просмотров. Согласно интернет-статистике, 22 процента рекламного трафика в США и Канаде были сгенерированы мошенниками, в Евросоюзе — 17,64 процента, а в России и странах СНГ — 39,10 процента. По оценке компании Juniper Research, в нынешнем году рынок мобильной, inn-app и онлайн-рекламы потеряет 42 млрд долларов из-за фрода, а еще через 4 года мошенники отберут у рекламодателей 100 млрд долларов.

Фроды разные важны

Все вышеперечисленное — так называемый «внешний фрод», когда в роли мошенника выступает некое стороннее лицо или организация. Но есть и «внутренний фрод» — когда компания с помощью противозаконных схем выводит свои средства за рубеж. Не всякий отток капитала из страны есть фрод, а лишь тот, где нарушен закон. В 2017-м Росфинмониторинг, курирующий борьбу с отмыванием средств, насчитал 78 млрд рублей ушедших за рубеж средств, имеющих признаки внутреннего фрода. Но это выявленные эпизоды, а сколько осталось невыявленных — тайна, покрытая мраком. Казалось бы, что обывателям с того, какие махинации проводит бизнес, пытающийся уйти от налогов?

На самом деле связь есть и самая что ни на есть прямая. Особенно когда в роли мошенников выступают банки. Ведь из страны утекают не личные сбережения банкиров, а средства с депозитов граждан и со счетов компаний. Образующиеся в этом случае финансовые прорехи приходится «штопать», как правило, из бюджетных средств. Так, на оздоровление только трех банков («Открытие», Бинбанк и Промсвязьбанк), пострадавших от внутреннего фрода, ЦБ пришлось затратить 2,8 трлн рублей. А ведь случаются и прямые потери для физлиц из числа клиентов банка. Так, например, фрод в Мособлбанке был проведен путем ложных транзакций со счетов клиентов банка, замаскированных под деловые операции. Потери клиентов составили 70 млрд рублей (1,4 млрд долларов по тогдашнему курсу). Только по этому эпизоду ущерб сопоставим с объемом потерь от краж с банковских карт (1,3 млрд рублей), о котором отчитывался ЦБ.

Проблема в том, что внутренний фрод становится все сложнее отделить от внешнего — слишком часто эти виды мошенничества соседствуют друг с другом и даже переплетаются. Эксперты указывают на высокую вероятность того, что, боясь быть уличенными во внутреннем фроде, компании и банки будут маскировать проблему под фрод внешний, благо сделать это несложно: банкам, например, достаточно сымитировать или даже осуществить хакерскую атаку на собственную систему, чтобы потом доказывать ЦБ и Росфинмониторингу, что это сделали сторонние лица.

Бороться не искать

Фрод — явление многоликое, но у отечественных борцов с этой напастью даже полной статистики под рукой нет, ее в России просто не существует. Часть данных есть у МВД, но они касаются официальных заявлений граждан по фактам мошенничества. Но как часто россияне идут в полицию? Часть статистики — у банков, но тут другая проблема: каждый банк ведет ее сам, не делясь информацией с другими игроками на рынке. К статистике ЦБ у экспертов также есть вопросы: не ясна методика сбора данных, репрезентативность выборки, критерии оценки.

Самые распространенные схемы фрода

Смотреть

А без точной картины происходящего — числа эпизодов, основных схем и методов мошенничества, выявления всей цепочки от момента увода денег до их отмывания и обналичивания — невозможно адекватно выбрать оружие, способное нейтрализовать зло. Не удивительно, что власти пытаются сегодня бить «из всех пушек», дабы усложнить процесс отмывания денег, но некоторые меры накрывают площадями всю «бизнес-поляну». Именно такой эффект дала последняя инициатива Ассоциации банков России по блокировке поступивших на счет средств, если есть подозрения в том, что это часть мошеннической цепочки. Вроде бы заманчивое предложение, но никто не рассчитывал на «эксцесс исполнителя»: к настоящему моменту заблокирован уже миллион счетов физических и юридических лиц (см. «Огонек» №36), и число блокировок будет только множиться, поскольку банки больше опасаются карательных мер со стороны Центробанка или Росфинмониторинга (в случае выявления халатности в отслеживании нарушителей), чем реакции клиентов, а МВД озабочено только процентом раскрываемости дел, а не объемом перевернутой при этом «породы».

Приоритетом ЦБ является мониторинг ситуации, чтобы на основании собираемых данных рассчитывать риски для банков и, не исключено, в будущем менять требования по формированию их резервов. Все это хорошо, но как реально помочь людям, пострадавшим от фрода?

Силовые методы, даже не столь радикальные, как блокировки счетов или переводов, как показывает практика, не всегда эффективны. Можно, конечно, разыскивать и арестовывать конечных бенефициаров call-центров, которые сегодня активно используются для «фишинга» личных данных (эффект дает, но картины не меняет: если накрыли один криминальный call-центр, тут же возникает новый и, как правило, уже за рубежом, а с этим справиться намного сложнее). Еще можно страховать риски, но и эту меру трудно назвать действенной для всего спектра мошеннических операций. Так что максимум, на что сегодня могут рассчитывать пострадавшие,— на возвращение украденного.

Закон «О национальной платежной системе» обязывает банк вернуть похищенные с карты клиента средства. Правда, при условии, что клиент сообщил о краже в течение суток после получения от банка уведомления об операции и компрометация данных карты произошла не по вине клиента.

Надо ли говорить, что выполнить первое и доказать второе непросто? По словам финансового омбудсмена Павла Медведева, вернуть деньги удается редко — банки успешно доказывают вину клиента в компрометации карты. Год назад ЦБ обязал банки отчитываться о выполнении требований клиентов компенсировать им украденное, но результаты отчетов широкой общественности пока неизвестны.

Один за всех

На этом фоне в экспертном сообществе вызревает консенсус: эффективность мер можно серьезно повысить, если в стране появится единая структура, ответственная за борьбу с мошенничеством как внутренним, так и внешним. Только единый центр принятия решения и анализа информации способен оперативно реагировать на меняющуюся ситуацию, подстраиваться под новые условия и даже выстраивать взаимодействие со своими западными аналогами.

Такие структуры за рубежом уже создаются. Первые шаги в этом направлении сделаны в Индии, ОАЭ и Сингапуре. Пока закладывается фундамент — строятся так называемые KYC-бюро (Know Your Customer — «Знай своего клиента»). В Сингапуре, правда, реализацию проекта сейчас слегка притормозили, оценив затраты и осознав, на сколько они могут превысить ожидаемый результат. Так что не нужно особо задействовать воображение, чтобы представить, как растут сметы в России и в какую сумму это может вылиться здесь. Но альтернатива просто не просматривается, тем более что процесс создания суперведомства можно удешевить, если такая структура возникнет на базе одного из ведомств, сегодня курирующих проблему фрода,— Центробанка, МВД или Росфинмониторинга.

Чтобы такая структура заработала эффективно, потребуется мощная цифровая информационная платформа для анализа миллионов транзакций, способная в дальнейшем выявлять новые схемы мошенничества. Речь идет о гигантских объемах данных, где не обойтись без инструментов искусственного интеллекта, предиктивной аналитики и роботизации. Гипотетическому «нацбюро» потребуется «видеть» клиента со всеми его связями и бизнес-активностями, для чего нужно будет интегрировать информационную платформу с данными целого ряда министерств и ведомств (ФНС, МВД, ФТС и т.д.). Затраты на создание такой системы будут измеряться в миллиардах рублей, но в России они окупят себя быстро, если принимать во внимание даже те масштабы проблемы, о которых известно сегодня.

Уже сейчас специалисты прогнозируют новые «слабые места» мировой финансовой системы — финтехи. Речь о компаниях, предоставляющих нетрадиционные сервисы. Ряд финтехов уже стали суперкорпорациями, способными составить серьезную конкуренцию банкам. Например, Alibaba или тот же Apple — настоящие империи, запускающие внутренние системы расчетов и имеющие миллиардную клиентскую базу. Весь вопрос в том, когда фрод перестроится на работу с ними — завтра, послезавтра, а может, уже сегодня? И в этом случае число потенциальных жертв мошенничества возрастет в разы, достаточно сравнить число клиентов Alibaba и среднего российского банка. Словом, времени на раздумья остается все меньше.

Вся лента