ЦБ заметил рост объема несанкционированных операций по картам
За 2018 год общий объем несанкционированных операций по выпущенным российскими банками платежным картам составил 1,3847 млрд руб., что на 44% превышает показатель предыдущего года (961,3 млн руб.), следует из отчета Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ).
По данным регулятора, число выявленных несанкционированных транзакций по картам за год выросло почти на треть (до 417 тыс.), а средняя сумма одной такой операции составила 3,32 тыс. руб. (на 9,6% больше, чем в 2017 году).
Значительный рост объема и числа несанкционированных операций в ЦБ связывают как с общим увеличением платежей по картам, так и с ростом «выявляемости».
«Увеличение количества покушений на хищение и увеличение сумм похищенных денег связано не с тем, что преступники стали больше воровать или больше атаковать наших граждан, а с тем, что Банк России провел вместе с кредитными организациями довольно серьезную работу. Это и изменение формы отчетности, и внедрение систем антифрода, и некоторые другие меры, которые привели к тому, что выявляемость таких преступлений стала выше», — отметил первый заместитель директора департамента информационной безопасности Банка России Артем Сычев.
ЦБ также впервые раскрыл данные о том, как банки возмещают владельцам карт средства, похищенные злоумышленниками. «В третьем квартале 2018 года (после введения данного параметра в отчетность) банки вернули клиентам 230 млн руб. Данные за четвертый квартал будут агрегированы в ближайшее время», — говорится в сообщении пресс-службы ЦБ.
В ЦБ отмечают, что мошенники все более активно используют для хищения средств с платежных карт платежи через интернет и мобильные устройства, за год объем несанкционированных операций без предъявления карты (Card not present transaction, CNP) вырос на 48,3% — с 726,4 млн до 1,0775 млрд руб. В то же время объем несанкционированных операций, осуществленных в организациях торговли и через банкоматы, составил 307 млн руб., что на 31,9% больше, чем в 2017 году (232,6 млн руб). В общем объеме несанкционированных операций доля CNP-транзакций в 2018 году составила 81,4% (в 2017 году было 75,6%).
«Растущая доступность платежных услуг, осуществляемых посредством сети интернет, приводит к смещению интереса злоумышленников от банкоматов и организаций торговли в сторону CNP-транзакций, каналов дистанционного банковского обслуживания. С учетом развития финансовых услуг, совершаемых через сеть интернет без предоставления карты, мы прогнозируем сохранение восходящего тренда миграции несанкционированных операций в CNP-среду», — отмечается в отчете ФинЦЕРТа.
Эксперты отмечают, что в подавляющем большинстве случаев (97%) злоумышленники используют для хищения средств либо методы социальной инженерии (владельца карты побуждают «самостоятельно совершить перевод в пользу мошенников путем обмана или злоупотребления доверием»), либо незаконный доступ к платежной карте, украденной у владельца или похищенной у него, или ее данным.
За пределами России с выпущенных российскими банками платежных карт было списано 564,2 млн руб., что составляет около 40% общих потерь. Почти такая же сумма (522,5 млн руб.) была похищена в Москве, во всем остальном Центральном федеральном округе общая сумма несанкционированных операций составила всего 55,7 млн руб.
В Банке России отметили также, что пострадавшие от действий злоумышленников владельцы карт далеко не всегда обращаются за помощью в полицию. В отчете ФинЦЕРТа говорится, что об обращении в полицию банкам сообщили только 4% пожаловавшихся на хищение средств клиентов.
«Не обращаясь в правоохранительные органы и не требуя от государства принятия предусмотренных законом мер, занимая тем самым пассивную позицию, пострадавшие сами фактически стимулируют злоумышленников, формируя иллюзию их безнаказанности и провоцируя на дальнейшую активность», — предупреждают в ЦБ.
Мошенники пользуются неграмотностью
Активность мошенников действительно возросла, но также возросла их раскрываемость и пресечение несанкционированных операций со стороны банков, отмечает и руководитель дирекции мониторинга электронного бизнеса Альфа-банка Алексей Голенищев.
«Это связано с ростом самих карточных операций, появлением новых цифровых продуктов и услуг, развитием интернет-коммерции», — сказал он.
В процентном отношении к общему объему транзакций по картам (32 млрд руб. в 2018 году) рост несанкционированных операций остается незначительным, обращает внимание гендиректор «Лаборатории цифровой форензики» Александр Мамаев. Так, по данным ЦБ, доля объема несанкционированных операций в общем объеме операций, совершенных с использованием карт, в 2018 году составила 0,0018% против 0,0016% в 2017 году.
Значительное проникновение карточных технологий в повседневную жизнь порождает появление множества новых форм мошенничества, считает Голенищев. «Социальная инженерия применяется все более активно, так как остается эффективным способом для получения от клиентов различной конфиденциальной информации», — сказал он.
По мнению Ильи Шарапова, технического директора компании ТСС, специализирующейся на производстве средств криптографической защиты информации, мошенники все чаще будут атаковать обычных клиентов в силу того, что надежность банковских систем безопасности будет возрастать, а требования регуляторов ужесточатся.
«Этот тренд будет продолжаться, пока в головах клиентов банков не сложится устойчивое понимание сути социальной инженерии и осознание, что никому и никогда нельзя сообщать данные карт, кодовые слова и одноразовые пароли. А также пока банки не начнут массово переходить к более защищенным от социальной инженерии технологиям, при которых даже полученные мошенниками конфиденциальные данные будут бесполезны для совершения мошенничества», — подчеркнул Голенищев.
С повышением цифровой и финансовой грамотности пользователей количество массовых несложных атак начнет снижаться, соглашается ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. Однако он предупреждает о том, что хакеры будут применять все более сложные техники в целевых атаках на банки, из-за чего их будет трудно обнаружить.