АнтиФинРазведка

Самый честный блог о финансовой системе Российской Федерации

Двусоставное мошенничество: блокировка мобильного и списание денег со счета.

2021-12-07 МАКСИМмошенничество

В сети сообщают, что преступники модифицировали форматы обмана населения: теперь для кражи денег со счета они блокируют номер, а потом, оперируя данными, которыми завладели в результате использования социальной инженерии, меняют идентификационную информацию для входа в личный кабинет мобильного банка. В результате таких нехитрых комбинаций человек лишается всех средств. Эксперты сомневаются, что в существующих условиях можно защитить финансы от такого угона.

На сайте vc.ru пользователи одного из крупнейших интернет-банков рассказали о новой схеме мошенничества, реализуемой в два шага:

первый - правонарушитель, завладев паспортными данными, блокирует номер телефона, привязанный к мобильному банку;

второй – через «горячую линию кредитной организации» производится удаленная замена идентификационной информации, позволяющей беспрепятственно входить в личный кабинет.

Почему такое двусоставное мошенничество опасно?

Если раньше правонарушители ломали систему в лоб, то сейчас они стали явно хитрее: блок на идентификационный номер позволяет закрыть лазейку быстрого обнаружения факта нарушения входа в личный кабинет (банк направляет смс-сообщение, но оно не будет доставлено, так как мобильный телефон буквально «выпадает» из зоны доступа).

Почему это происходит?

1.Несовершенство законодательства. Так как в федеральных актах не прописываются правила смены основных идентификационных данных, то каждая кредитная организация устанавливает свои «форматы игры» (у Сбера, например, это приложение и банкомат; для Тинькофф – голосовая авторизация по номеру «горячей линии» и приложение).

2.Внутренние проблемы:

а) недостатки квалификации привлеченных кадров. Для работы внутри тех.поддержки не нужно образование, опыт и консультация старших товарищей: достаточно лишь купить наушники и выучить определенный «скрипт»;

б) утечки персональных данных;

в) слабая «антифрод система».

3.Сложности в обнаружении правонарушителя. Если гражданин обратится к правоохранителям, то ему необходимо предъявить доказательства того, что в указанный период времени он не входил в мобильный банк (не звонил по номеру горячей линии), а также не производил соответствующей смены телефонного номера. Однако сами правоохранители, основываясь на поступившей информации, вряд ли смогут найти преступников: к сожалению, существующая система поиска денег крайне неповоротлива.

Что делать?

Вариантов мало:

1.Постоянно контролировать доступность мобильной связи;

2.Выбирать только те банки, которые устанавливают дополнительные ограничения при смене номера мобильного телефона (например, блокируют крупные операции на сутки или требуют обязательной фотографии паспорта в руках);

3.Использовать параллельно две сим-карты: с основным и виртуальным номерами. «Малозасвеченный контакт» применять исключительно в качестве средства авторизации в мобильных банках.

Устанавливать ли кодовые слова?

Одна из систем защиты удаленного общения с банком – кодовое слово.

Предполагается, что оно необходимо в первую очередь для подтверждения идентификации обращающегося.

Однако, как отмечают пользователи технологических сайтов, в большинстве случаев кредитные организации при коммуникации не спрашивают никаких кодовых обозначений, ссылаясь на то, что установить дистанционно личность субъекта возможно и путем рандомных вопросов (номер и серия паспорта, последняя операция в сети, номер телефона авторизации и так далее).

Как должно быть: если установлен тот факт, что банк, осуществляя какие-либо действия при идентификации пользователя, не произвел необходимые операции для надлежащего подтверждения личности гражданина, то это однозначно квалифицируется как недобросовестные действия кредитной организации (Решение № 2-1544/2015 2-30/2016 2-30/2016(2-1544/2015;)~М-1095/2015 М-1095/2015 от 22 июня 2016 г. по делу № 2-1544/2015).

Исключение из правил только одно: если финансовая организация докажет, что гражданин, общаясь с преступниками, сам передал им смс-пароли, кодовое слово и иную необходимую для доступа информацию, то в этом случае все иски будут отклонены.

Сдавать ли биометрию для дешифровки голоса при звонке по «горячей линии»?

Пока этого делать не стоит: если «стандартные» персональные данные успешно и быстро взламываются, то никто не даст гарантий, что биометрические сведения не будут использованы для создания дипфейков.

Глава InfoWatch Наталья Касперская, комментируя данный аспект, указывает:

- Моя личная рекомендация: ни в коем случае не сдавать биометрические данные, не вестись на “удобство”. Их практически с гарантией украдут, продадут, “сольют”. Давайте нам сначала объяснят: как эти данные планируется защищать, в том числе от своих сотрудников. При этом мне лично непонятно, а зачем вообще нужно использование биометрии?

Какие способы считаются наиболее эффективными для борьбы с мошенничеством в финансовом секторе?

«Известия» в начале 2021 года перечисляли некоторые варианты действий, способные уменьшить число краж средств:

1.Двухфакторная аутентификация с использованием разных устройств: например, мобильное приложение установлено на одно устройство, а подтверждение операции поступает на другое устройство.

2.Внедрение политики полного недоверия (устройство, подключенное к мобильному банку, должно «доказать», что имеет право на запросы, и то, что запрос был действительно направлен клиентским приложением).

К сожалению, указанные способы защиты пока в России не применяются. И вряд ли их введут в качестве обязательных на законодательном уровне.