Со счетов крупнейших российских банков пытались похитить более 24 млрд рублей

Только в первом полугодии усиление банками антифрод-защиты позволило сохранить более 24 млрд рублей средств клиентов крупнейших кредитных организаций, в число которых входят Сбербанк, ВТБ и Альфа-Банк.




При этом, по уточненным данным регулятора, в 2018-м из-за действий злоумышленников с карт граждан было несанкционированно списано около 1,4 млрд рублей — на 44% больше, чем годом ранее. Информации об ущербе в 2019-м пока нет: ЦБ раскрывает ее раз в году, а банки и вовсе не делятся такими данными. Как утверждают в кредитных организациях, похитить деньги мошенникам удается только в 3–4% случаев. Но эксперты по информбезопасности считают, что несанкционированные списания происходят намного чаще, а самое слабое место в защите банков — человеческий фактор, который приводит к утечкам данных клиентов.

Счет на миллиарды

С прошлого года, когда был принят так называемый закон об антифроде, Центробанк существенно ужесточил требования к банкам в отношении защиты данных клиентов и средств на их счетах. Однако мошенников это не останавливает. По уточненным данным ЦБ, в прошлом году различными обманными способами только со счетов физлиц мошенникам удалось получить деньги около 417 тыс. раз на общую сумму 1,38 млрд рублей.
Даже специалисты пока не могут оценить, какой ущерб клиентам банков нанесли злоумышленники в первом полугодии 2019-го. Кредитные организации такие данные практически не раскрывают, а Центробанк публикует информацию в целом по системе один раз в год. Но о размахе деятельности мошенников можно судить по данным о суммах, хищение которых со счетов клиентов удалось предотвратить. Впрочем, и этой информацией банки делятся неохотно — в силу чувствительности темы. Для «Известий» сделали исключение пять организаций (Сбербанк, ВТБ, Альфа-Банк, Почта Банк и МКБ), входящих в десятку крупнейших розничных (совокупно более 60% средств клиентов, более 70% рынка карт).
За первое полугодие в Сбербанке предотвратили хищения со счетов клиентов на сумму 18 млрд рублей, в ВТБ — 5,4 млрд рублей, в Альфа-Банке — не менее 700 млн рублей, в Почта Банке — 135 млн рублей и в МКБ — 10 млн рублей. Таким образом, только у клиентов этих банков мошенники пытались похитить более 24 млрд рублей. В Центробанке эти данные комментировать не стали.
— Статистика нашего аналитического центра показывает, что количество попыток краж денег со счетов граждан растет. Исходя из этого также увеличиваются и объемы предотвращенных списаний, — пояснил «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов.

Не на все сто

В среднем предотвращается 96–97 попыток злоумышленников из 100, сообщал на Международном финансовом конгрессе в Санкт-Петербурге зампред правления Сбербанка Станислав Кузнецов. То есть в 3–4% случаев мошенникам всё же удается пробить защиту банков, а это, по самым приблизительным расчетам, потеря сотен миллионов рублей средств клиентов.
Впрочем, эксперты по информбезопасности сомневаются, что доля успешных для преступников попыток столь мала. По словам старшего аналитика Digital Security Александра Круглова, существующие проблемы безопасности позволяют предположить, что до стопроцентной защиты счетов еще очень и очень далеко — не так давно компания проанализировала системы защиты банков, входящих в топ-200.
— Основные уязвимости и проблемы безопасности, к сожалению, до сих пор встречаются на публично доступных веб-ресурсах. Существующие бреши потенциально позволяют злоумышленникам рассчитывать на реализацию атак в отношении большинства рассмотренных финансовых организаций. Если учесть, что проверка проводилась лишь для публично доступных ресурсов, а вглубь систем исследователи не проникали, ситуация представляется и вовсе тревожной, — пояснил представитель Digital Security.
Владимир Ульянов из Zecurion полагает, что одна из ключевых проблем кредитных организаций в обеспечении информбезопасности, особенно когда речь идет о счетах физических лиц, — даже не технологическая защищенность, а утечки информации. То есть тот самый пресловутый человеческий фактор, который и позволяет мошенникам получать данные клиентовбанков.
— Без информации о своих жертвах, даже при использовании методов социальной инженерии, результативность попыток мошенников будет почти нулевой, — говорит Владимир Ульянов. — Чем больше информации, тем легче обмануть и выведать необходимые сведения, например одноразовый пароль для подтверждения операции.
Эксперт напомнил, что в 2019 году было зафиксировано большое число сообщений от клиентов Сбербанка.
— Их массово атаковали мошенники, при этом обращались по имени и знали, сколько денег на их счетах, — рассказал представитель Zecurion. — Это свидетельствует о возможных утечках информации о клиентах. Сегодня утечки информации и инсайдеры являются более серьезной угрозой, чем хакеры — и для коммерческих компаний, и для госорганизаций. Сотрудники знают, где хранится информация, какую ценность она представляет, как ее можно использовать и даже то, как она защищается. Поэтому в отсутствие специализированных систем предотвращения утечек возможность вынести данные на флешке или перекинуть через интернет, а в некоторых случаях даже сфотографировать на телефон не представляется сложной.
Кроме того, сотрудники банка могут поспособствовать мошенникам, сами того не желая. Так, как отмечалось в обзоре основных типов компьютерных атак в кредитно-финансовой сфере ФинЦЕРТ, «в финансовых организациях система защиты, как правило, хорошо организована, поэтому главным вектором проникновения в инфраструктуру остается социальная инженерия, применяемая в 49% атак». Действительно, сотрудники банков всё чаще подвергаются атакам со стороны злоумышленников — например, открывая письма из сомнительных email-рассылок. И в этом случае ключом к счетам клиентов становится уже легкомыслие служащих кредитных организаций.

Самозащита от нападения

Эксперты по информбезопасности полагают, что требований Центробанка по антифроду сейчас достаточно и дополнительно ничего вводить не нужно, важно неукоснительно следовать существующим стандартам и регламентам. От этого зависит в том числе и доля предотвращенных мошеннических операций. Но не только кредитные организации должны беспокоиться о безопасности средств. Эксперты в очередной раз подчеркнули и необходимость повышения киберграмотности граждан.
— Наша безопасность в наших руках, и чем более осведомленными будут рядовые пользователи о потенциальных рисках, тем лучше станет и защита самих банков, — уверен Александр Круглов.
По мнению Владимира Ульянова, кредитные организации также могут способствовать усилению защиты за счет введения бесплатных SMS-уведомлений обо всех операциях.
— Сейчас многие люди отключают уведомления, потому что даже небольшая сумма в 60–100 рублей в месяц на горизонте нескольких лет становится ощутимой, — подчеркнул он.
Особенно это важно для людей старшего поколения, которые и так наиболее уязвимы к методам, которые активно используют мошенники, уточнил эксперт.
« Марии Мотузной присудили 100000 рублей за...
Для россиян установили норму провоза в багаже... »
  • +8

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.