Все новости

Комментарий по системам аутентификации в журнале ПЛАС

В августовском номере банковского журнала «ПЛАС» опубликован комментарий Павла Есакова, эксперта по системам аутентификации ООО «Потенциал», к статье «Социальная инженерия против банковских клиентов. Причины «успеха» и способы защиты».
Полная версия комментария доступна ниже, полная версия статьи доступна по ссылке на странице журнала:

Социальная инженерия. Без поддержки МВД не обойтись?

В последние несколько лет произошло резкое изменение трендов в сфере мошеннических операций.  Вместо использования различных технических приемов (например, распространение вирусов) мошенники практически полностью переключились на методы социальной инженерии, по крайней мере в отношении розничных клиентов банков. Такое явление, с точки зрения автора настоящей статьи, имеет вполне понятное объяснение. Банки сами предоставили мошенникам чрезвычайно удобный инструмент – перевод средств другому лицу на карту или даже по номеру телефона.

Как известно, дорога в ад вымощена благими намерениями. Вряд ли банки предполагали, что, разрабатывая и внедряя крайне удобный для клиентов механизм, они тем самым одновременно спровоцируют и резкий рост мошенничества, основанный на использовании этого инструмента для мошеннических целей.

Механизм перевода средств с карты на карту стал крайне популярен, и существенный денежный поток не мог пройти незамеченным для мошенников, которые весьма оперативно применили подходы, позволяющие отвести часть денежного потока в нужном направлении. Как известно из опыта карточных платежных систем, покупатели менее болезненно расстаются с безналичными средствами по сравнению с оплатой товара или услуги наличными деньгами. А возможность заплатить за товар или услугу, не вставая с дивана, весьма привлекательна. Именно это обстоятельство, а также один из таких факторов человеческого характера, как жадность, позволили преступникам разработать несложные приемы опустошения банковских счетов населения.

Огромное количество переводов денежных средств, оказавшихся впоследствии результатом мошенничества, было санкционировано самими клиентами, в добровольном порядке, с использованием механизма перевода на карту или по номеру телефона с целью приобретения товара по очень выгодной цене, внесения залога за понравившийся дорогостоящий товар, оплатой налога для получения приза или выигрыша в лотерее и т. д. В результате, не получив обещанный товар или услугу, клиенты обращались в банк с попыткой вернуть денежные средства. По мнению автора, такие инциденты не должны быть включены в статистику отчета ЦБ «О несанкционированных переводах…» в силу определения, так как переводы средств носят безусловно санкционированный характер.

В целом трудно логически объяснить и обращение в банк для возврата средств. Ведь с точки зрения здравого смысла (и закона) имело место банальное мошенничество: мошенники получили деньги, но не предоставили товар или услугу. Ведь такая ситуация может произойти и при оплате товара наличными денежными средствами. Правда, отчет ФинЦЕРТа дает подсказку о причине такого поведения потерпевших: в органы МВД обратилось только 4 процента клиентов банков, пострадавших в результате действий мошенников. Можно предположить, что обращение потерпевших в банк с просьбой вернуть утраченные средства – не более чем отчаянная попытка сделать хоть что-то, ибо открытие уголовного дела в отделении полиции по факту мошенничества в реальной жизни выглядит вполне проблематично.

В ходе юбилейного 10-го ПЛАС-Форума, прошедшего в последних числах мая этого года, представитель Сбербанка привел цифры по объему несанкционированных переводов за 2018 год (точнее общий объем и «санкционированных», и несанкционированных переводов в адрес мошенников). Так, по статистике крупнейшего банка страны, потери от социальной инженерии составили 81% от общего числа инцидентов, а на остальные причины потерь пришлось 19%. Заметим, что данные Сбербанка существенно отличаются от значений, приведенных в обзоре ФинЦЕРТа (97% – социальная инженерия и только 3% случаев – другие причины). Причина таких расхождений в цифрах неочевидна. Одновременно с оглашением данных по количеству несанкционированных переводов под воздействием социальной инженерии был озвучен и процент «самопереводов» – т. е. те самые случаи, когда клиент санкционировал перевод денежных средств в адрес лица, которое после получения средств отказалось предоставить товар или услугу. Это весьма внушительная цифра – 86% от числа операций, связанных с социальной инженерией. Путем несложных математических операций можно подсчитать, что общее число «самопереводов» составляет внушительные 69,96% от общего числа несанкционированных переводов. Приведенные банком цифры свидетельствуют, как минимум о следующем:

  • основной объем несанкционированных переводов таковым на самом деле не является, поскольку операции были санкционированы клиентами банка без какого-либо применения методов социальной инженерии – необходима корректировка статистики, изменение классификации типов несанкционированных переводов;
  • включение «самопереводов» в статистику несанкционированных переводов существенно искажает картину мошеннических операций;
  • имеющиеся системы фрод-мониторинга не могут успешно выявлять такие операции (без существенного усложнения этих систем);
  • банки по непонятной причине пытаются подменить органы внутренних дел, пытаясь по косвенным признакам вычислить мошенников.

Но даже если система фрод-мониторинга, позволяющая оценить риски в случае «самопереводов», будет создана и сможет обеспечивать близкую к 100% эффективность, все равно остается нерешенным вопрос, что делать для пресечения мошенничества. В соответствии с Гражданским кодексом РФ банки не имеют права ограничивать клиента в проведении операций за исключением случаев, предусмотренных законом, например, в рамках 115-ФЗ. Но большинство переводов не содержат признаки операций, подпадающих под действие упомянутого закона. Кроме того, расходы по созданию, обучению и обеспечению функционирования такой системы могут оказаться весьма обременительными даже для крупного банка. Может быть, все-таки стоит предпринять усилия, направленные на то, чтобы клиенты банка, которые перевели деньги мошенникам, обращались в органы МВД? Например, помочь клиентам банка в этом непростом деле, ибо иного реального метода остановить мошенников не существует.

P.S. Дополнительным источником фрода упомянутого типа в ближайшее время может послужить подключение всех банков к СБП – это расширит возможности для мошенников, которые ранее не могли работать с теми клиентами банков, которые не имели в составе предлагаемых сервисов перевода в пользу третьих лиц по номеру телефона.

Все новости