Мошенники украли у клиентов банков в России свыше ₽3 млрд за три месяца
Из них только ₽222 млн было возвращено их жертвамВо втором квартале 2021 года мошенники украли у банковских клиентов более 3 млрд руб. путем несанкционированных переводов со счетов. Это почти в полтора раза больше, чем во втором квартале 2020 года, когда без согласия клиентов было переведено 2,1 млрд руб. Однако рост по сравнению с первым кварталом 2021 года не такой значительный — тогда мошенники украли 2,9 млрд руб. (это тоже в 1,5 раза больше, чем в тот же период 2020 года), следует из опубликованной статистики ЦБ.
Как мошенники похищают деньги
Из этих 3 млрд руб. банки вернули клиентам только 7,4% украденных средств. В прошлом году этот показатель был выше и составлял 12,8%. Снижается и доля социальной инженерии — основной причины, по которой банки отказывают в возврате средств (так как в этом случае клиенты совершают операции самостоятельно под психологическим воздействием мошенников). Если в апреле-июне 2020 года доля социнженерии по всем операциям без согласия клиента составила 68,6%, то в эти же месяцы текущего года — 47%. Эта тенденция наблюдается минимум второй квартал подряд.
«Методы социальной инженерии по-прежнему остаются основным инструментом злоумышленников для хищения денег у граждан. При этом телефонное мошенничество является одним из главных каналов таких действий», — отмечается в сообщении ЦБ. В отчетном квартале ЦБ инициировал блокировку порядка 12 тыс. мошеннических номеров, что более чем в два раза превышает аналогичный показатель прошлого года. Банк России также заблокировал 804 мошеннических сайта, которые маскируются под ресурсы реально существующих финансовых организаций, — это на 72,3% меньше по сравнению с прошлым годом. Резко выросло число заблокированных сайтов финансовых пирамид: с четырех во втором квартале 2020 года до 74 во втором квартале 2021 года.
Наибольшая доля использования методов социальной инженерии зафиксирована при краже денег через онлайн-банкинг физлиц — 81,8%. Кроме социальной инженерии для кражи денежных средств мошенники используют фишинг (мошеннические сайты и ссылки) и вирусы, а также находят уязвимости в программном обеспечении. При этом эксплуатация уязвимостей ПО стала единственным методом атак, где зафиксировано сокращение числа атак, — на 70%, до 56 инцидентов.
Наибольший объем денежных средств мошенникам удалось украсть через онлайн-банкинг физических лиц — 1,2 млрд руб., хотя в 2020 году лидерство принадлежало сегменту оплаты товаров и услуг в интернете (1,1 млрд руб.). В этом же году через этот канал мошенники украли 856 млн руб. Через банкоматы и онлайн-банкинг компаний злоумышленники похитили 435,5 млн руб. и 481,8 млн руб. соответственно. Наибольший объем средств банки возвращали, если мошенники похищали деньги через интернет-магазины, — 22,1% против 16,4% годом ранее. Возврат средств при покупке товаров через левые сайты является стандартизованной процедурой в большинстве банков, объясняет специалист практики имущественных и обязательственных отношений юридической фирмы Amulex.ru Виктория Соколова. Меньше всего было возмещено при хищениях через онлайн-банкинг юридических лиц — 0,2% (против 13,6% в 2020 году). При краже через банкоматы и онлайн-банкинг физических лиц этот показатель составляет 3,9 и 1,3% соответственно (годом ранее было 18,2 и 6%).
Почему хищения растут, а возвраты падают
ЦБ полагает, что доля социнженерии при совершении операций без согласия клиента сократилась, в том числе за счет повышения финансовой грамотности, сказал представитель регулятора. Но, чтобы сделать качественные объективные выводы о новых трендах в сфере противодействия киберпреступности, необходим объем информации, полученной за больший промежуток времени, нежели квартальная или полугодовая статистика, добавил он.
Снижение доли социальной инженерии — закономерный процесс, поскольку методы мошенников становятся широко известными населению, говорит Виктория Соколова: «Мошенники, в свою очередь, стали использовать различные компьютерные приемы, позволяющие ввести в заблуждение даже опытных пользователей электронными услугами. Например, создание фальшивых сайтов-близнецов, прикрытие кнопки «оплатить» названием — «получить деньги» и т.п.».
Снижение доли возврата похищенных средств напрямую зависит именно от того, какую информацию гражданин передал мошенникам. Если будет установлено, что он сообщил пароли или коды доступа CVV, велика вероятность отказа в возврате денег, объясняет юрист. «Осознание того, что произошел обман, приходит не сразу, из-за чего банк успевает обработать транзакцию, а злоумышленник вывести полученные средства. Помимо упущенного времени есть сложности с тем, чтобы доказать факт мошенничества», — добавляет аналитик по информационной безопасности Positive Technologies Яна Юракова.
По словам Соколовой, большая доля запросов по возврату похищенных денежных средств приходится на отъем денег с помощью инвестирования, а также покупки и продажи криптовалют на мошеннических сайтах. Например, многие пострадавшие игнорируют информацию о легальном перечне брокеров с сайта ЦБ, так как там говорится только о российских компаниях. В таких ситуациях жертвы сами переводят деньги «иностранному» брокеру-мошеннику, которому даже не нужно знать CVV-код и номер счета жертвы, отмечает эксперт.
«Банки могут отказывать клиентам в возмещении ущерба при должном исполнении своих обязательств. Так, в случае телефонного мошенничества, когда жертву убеждают прийти в банк и перевести деньги на «безопасный» счет или взять кредит, банк не имеет права отказать и исполнит свои обязательства», — объясняет главный эксперт «Лаборатории Касперского» Сергей Голованов. Причин возмещать ущерб от данного действия у банка нет, добавляет он.