Злоумышленники в 80% случаев используют два механизма вывода похищенных средств: через мобильные платёжные системы (pay-сервисы) для бесконтактной оплаты и переводы между счетами жертвы. Об этом рассказал заместитель Председателя Правления Сбербанка Станислав Кузнецов на полях XXI Международного банковского форума (16+).
Развитие систем антифрода в банках заставляет мошенников придумывать новые способы вывода украденных денег. По оценкам Сбера, примерно половина похищаемых телефонными мошенниками средств сейчас выводится по следующей схеме: злоумышленники убеждают жертву установить на смартфон приложение мобильной платёжной системы (если оно ещё не установлено) и привязать к устройству банковскую карту, которая принадлежит мошенникам.
Аферисты сообщают жертве данные карты и код подтверждения из СМС, после чего человек самостоятельно вводит их в установленное приложение бесконтактной оплаты. Затем он вносит наличные (как собственные сбережения, в том числе снятые со счетов в разных банках, так и кредитные средства) через банкомат на карту мошенника, привязанную к приложению бесконтактной оплаты на своём телефоне. Таким образом, операции по внесению денег с привязанной карты идентифицируются как операции, совершаемые владельцем мобильного устройства, хотя по факту доступ к карте имеют злоумышленники.
Мошенничество совершается под воздействием стандартных уловок. Например, от имени МВД, ФСБ, Центробанка жертву убеждают, что она вносит деньги на "безопасный счёт", ей также обещают возместить расходы за проезд до банкомата или потери по процентам (если человек снимает деньги со вкладов).
Операции по внесению наличных на токенизированные карты зачастую не имеют лимитов, поэтому такой механизм вывода часто используется при адресных атаках на людей с потенциально большими суммами на счетах. Также использование схем с pay-сервисами запутывает цифровые следы, что затрудняет расследование хищений.
До 30% похищенных денег выводится с помощью me2me-переводов: жертву убеждают перевести деньги со своего счёта в хорошо защищённом банке на свой же счёт в другом, менее защищённом банке. Если такого счёта нет ― просят его открыть. После этого деньги похищаются в обход антифрод-системы менее защищённого банка, либо жертва может обналичить их через банкомат, чтобы передать аферистам.
Станислав Кузнецов, заместитель Председателя Правления Сбербанка:
"Мы видим, что предпринимаемые профессиональным сообществом меры действительно мешают злоумышленникам вести свою преступную деятельность. В числе этих мер, например, борьба с подменой номеров, информационный обмен между участниками рынка, период охлаждения при подозрении на мошенничество и так далее. В результате число мошеннических звонков россиянам во втором полугодии сократилось в 3,5 раза.
Однако мошенники не сдаются и придумывают новые механизмы, которые нам надо сломать, чтобы защитить деньги россиян. Около 80% хищений сейчас происходит с помощью me2me-переводов или привязки токенизированных карт злоумышленников к приложениям для бесконтактной оплаты. Чтобы перекрыть кислород злоумышленникам, необходимо ввести лимиты на операции по токенизированным картам, а также период охлаждения между их установкой на устройствах и активацией. Что касается me2me-переводов, они имеют низкий уровень риска, банковские антифрод-системы их пропускают. Поэтому необходимо пересмотреть текущий стандарт риск-индикаторов для переводов между своими счетами. В первую очередь ужесточение стандарта должно касаться банков-получателей — например, они должны строже и внимательнее относиться к операциям по снятию наличных, если клиент недавно перевёл деньги на счёт из другого банка. Таким образом мы существенно осложним деятельность злоумышленников.
Клиентам банков я рекомендую прекращать разговор, если звонящий предлагает вам установить мобильное платёжное приложение и привязать к нему карту или совершить перевод на свой счёт в другом банке: это явный признак мошенничества".
