Ежедневно банки одобряют несколько тысяч заявок на кредит, принимают средства от физических и юридических лиц, размещая деньги на своих счетах. Даже незначительные бреши в безопасности могут привести к попаданию крупных сумм в руки мошенников.
Исследования Сбербанка показывают, что в среднем в 600-650 млрд руб. в год оцениваются убытки, которые несет российская экономика от действий киберпреступников. Ежегодно появляются новые методы хищения, создаются разного рода финансовые пузыри и продумываются схемы кражи персональных данных.
По этой причине выявление мошенничества – первостепенная задача для финансово-кредитных учреждений. Им необходимо действовать на опережение, применяя новые технологии с целью защиты клиентов.
Типы банковского мошенничества
Мошенничество в банковской системе по определению – это обманные действия или злоупотребление доверием с целью завладеть денежными средствами или чужим имуществом.
Исходя из этого действия злоумышленников могут быть направлены в отношении:
- Банковского учреждения. Самые простые и популярные способы обмана включают в себя оформление кредитов по поддельным документам, намеренное искажение данных при заполнении заявки или даже фальсификация деятельности фирмы с целью получения крупного кредита для бизнеса. В результате таких действий объект мошенничества и пострадавший – сам кредитор.
- Клиентов банка. Распространены ситуации, когда мошенник оформляет кредит на подставное лицо или использует для заполнения заявки ксерокопию чужого паспорта. Нередки случаи фальсификации украденного паспорта, вклеивания в него новой фотографии. В результате страдает человек, который даже не знает о факте получения на его имя кредита.
Как мошенники берут кредиты на третьих лиц
Самая популярная практика – попытки получения кредита по краденным, подложным документам или по копии паспорта. Легкой жертвой для мошенников становится человек, потерявший удостоверяющие личность документы. Завладев данными клиента, злоумышленник обращается в отделение банка или оформляет заявку онлайн.
Со своей стороны, служба безопасности банка проводит тщательную проверку всех анкет. Поэтому провернуть такое можно только при условии наличия подельников в числе сотрудников банка. Если любой из сотрудников организации заинтересован в участии в преступном сговоре или ему пообещали долю прибыли, совершить манипуляции будет проще. Он становится соучастником в деле хищения.
В результате махинаций пострадавший получает непогашенную задолженность перед банком, к которой не имеет отношения. Поэтому важно внимательно следить за документами, не пересылать фото паспорта посторонним и не передавать в руки третьим лицам.
В банках используются разные методы выявления мошенничества, основной из которых на этапе обработки полученных от клиентов данных – специальная антифрод-система. Ее задача заключается в аналитике данных и поиске отклонений, которые могут оказаться косвенным признаком мошенничества.
Обман с банковскими картами и технические уловки
Махинации осуществляются несколькими путями: от подсмотра пин-кода и вплоть до сложных хакерских атак. Самый примитивный механизм – кража пластикового носителя, если пин-код уже известен. Комбинацию легко подсмотреть у жертвы возле банкомата, затем осталось незаметно завладеть картой.
Фишинг
Фишинг – механизм, суть которого заключается в краже конфиденциальных данных пользователя. Чаще всего злоумышленники звонят, представляясь сотрудником банка, сообщая о якобы незаконном списании или переводе средств. Для отмены операции жертве необходимо назвать код из смс или сообщить секретную комбинацию (CVV-код с обратной стороны).
Жертв подобных действий несколько: физическое лицо, лишившееся средств, и банк, понесший репутационные риски. С точки зрения закона клиент сам виновен в случившемся, поскольку сообщил третьим лицам сведения, которые должен хранить в секрете. Выявление и предупреждение мошенничества в этом случае возможно лишь благодаря повышению финансовой грамотности населения и разработке моделей специального машинного обучения. Эксперты создают специальные модели и обучают их, но на практике это требует дорогостоящих ресурсов.
Более эффективным каналом противодействия выступает работа с клиентами: обучение и разъяснение ключевых моментов информационной безопасности. В первую очередь в зоне риска клиенты в возрасте, отличающиеся особой доверчивостью. Каждый должен помнить, что банковские сотрудники не просят сообщать одноразовые пароли из смс или CVV-коды.
Фарминг
Разновидность мошенничества, в процессе которого на устройство жертвы загружается вредоносный код. С его помощью заменяется информация по IP-адресам, после чего пользователь автоматически перенаправляется на поддельные сайты.
Далее ему предлагается вписать персональную информацию, которая будет использована злоумышленниками. Цели фарминга – пользователи мобильного и онлайн-банкинга, а также платежных систем или валютно-обменных сервисов. В отличие от фишинга от жертвы не требуется дополнительных действий, перенаправление на сайты выполняется автоматически.
Хорошая новость – фарминг работает только с малоизвестными финансовыми учреждениями. Нельзя заменить главную страницу Сбербанка на поддельную, легко получив доступ к деньгам клиентов. Такой тип хищения практически не встречается.
Скимминг
Этот способ обмана уже стал классическим, но сегодня встречается все реже по мере популяризации карт с чипами. Злоумышленники используют для кражи денег специальные устройства – скиммеры. Они выпускаются в виде небольшой накладки на отверстие для приема карты в банкомате.
Пока жертва снимает наличные или выполняет другие действия, скиммер копирует информацию с магнитной полосы карты. Продуманно изготовленную накладку сложно отличить даже профессионалу: она тонкая, практически незаметная, выполнена в той же цветовой грамме, что и банкомат сети.
Помимо скиммера мошенники пользуются миниатюрными камерами, позволяющими подсмотреть пин-код. Далее скопированные данные дублируют на карту-болванку, что позволяет снимать со счета деньги.
Методы обмана с использованием банкоматов постепенно приходят в Россию с Запада. Мошенники покупают оборудование для скимминга всего за несколько десятков тысяч рублей, в год специалисты службы безопасности снимают свыше 1200 установленных в банкоматах устройств. Чаще всего их обнаруживают в удаленных районах, где нет достаточного освещения и большого потока людей.
Ливанская петля
Это попытка кражи физического объекта – банковской карты в момент ее отправки в банкомат. Отверстие для приема карт оборудовано специальными устройствами, которые захватывают пластиковый носитель и не дают пользователю достать его.
Сейчас принимаются активные меры профилактики мошенничества, пострадать от такого практически невозможно. Современные модели банкоматов исключают такую возможность, а карта остается внутри, пока ее не достанут инкассаторы.
Мошенничество с помощью интернета
С помощью мобильного и интернет-банкинга удобно выполнять привычные действия без необходимости посещать отделение: оплата в интернете, денежные переводы на счета или карты, оплата ЖКХ или интернета, пополнение мобильного и пр.
В этом случае мошенники создают вирусы, заражая ими приложения. Вирус способен подменять оригинальное окно для ввода логина и пароля или может перехватывать данные, тем самым конфиденциальная информация попадает в руки злоумышленников. Вирусы способны получать доступ к приложению для смартфонов и к смс-сообщениям с одноразовыми паролями.
Другие вирусы блокируют полученные от банка смс-уведомления о транзакциях, в результате обманутый человек долго не подозревает о случившемся. Велика вероятность работы вируса в фоновом режиме, что снижает вероятность своевременного обнаружения.
Проведенное специалистами Positive Technologies исследование показало, что практически в каждом мобильном приложении есть уязвимости технического характера. В рамках исследования изучали 14 банковских приложений от разных организаций, все программы были скачаны из официальных магазинов Google Play и AppStore.
Свыше 76% найденных уязвимостей злоумышленники могут использовать, не имея доступа к телефону. Достаточно установки на смартфон вредоносного ПО, ссылку на которое легко отправить фишинговым письмом или в смс. По этой причине проверка на мошенничество необходима для всех банков без исключения. Обязателен регулярный аудит программ и проведение проверки их защищенности.
Еще одна проблема в интернете – небезопасная оплата покупок в онлайне. В сети масса сайтов, где для оплаты вещей, техники, музыки или книг требуется ввести номер карты, срок действия и код с обратной стороны. Перехват данных может случиться при помощи установленных на сайте скриптов.
Сами пользователи должны предпринимать меры борьбы с мошенничеством:
- для оплаты в интернете использовать только виртуальные карты;
- активировать аутентификацию с помощью одноразовых кодов;
- выполнять оплату только на проверенных сайтах.
