Команда сервиса Kompra узнала мнение специалистов в сфере корпоративной безопасности, как граждане могут защитить свои финансы.
После перехода в онлайн на фоне пандемии коронавируса активизировались интернет-мошенники, а их методы получения персональных данных и денег граждан стали сложнее и хитрее. Чаще всего злоумышленники вызывают панику, торопят, обещают быструю помощь. Эти методы социальной инженерии помогают обмануть людей и получить доступ к сведениям о банковских картах и приложениях.
Мы поговорили о проблеме интернет-мошенничества с экспертом из крупного банка, экс-сотрудником по безопасности казахстанского сотового оператора и опытным юристом, который сам столкнулся с мошеннической схемой. Участники поделились своим видением, какими уловками чаще пользуются мошенники и как можно защитить финансы.
Никогда не сообщайте SMS-пароли и информацию о вашей карте, если вам звонят "из банка"
Тимур Ишмуратов, заместитель председателя правления АО "Банк ЦентрКредит"
О схемах мошенничества
Чаще всего клиенты страдают от методов так называемой социальной инженерии – попыток выведать по телефону необходимую для мошеннической операции информацию (номер карты, CVV-код). Не менее популярным является "фишинг". Также мошенники используют платную услугу подмены номера, чтобы у клиента во время входящего звонка отображался любой телефон, в том числе и официальные контакты банка. Цель всех этих кейсов – завладеть информацией клиента. В среднем за неделю может быть 30-40 запросов с подобными ситуациями, однако, к сожалению, далеко не все обращаются в кол-центр банка.
Как распознать
Бывают, что Банк звонит клиенту, например, при переводе крупной суммы через приложение, тогда сотрудник банка может запросить подтверждение транзакции или предложить новый банковский продукт, спросить мнение о качестве обслуживания. Но "Золотое правило", которое нужно всегда помнить – Банк никогда не спрашивает номер карты, срок ее действия, CVV-код и код подтверждения.
Нужно быть внимательным и никогда не реагировать на предложения о покупке выставленного на продажу товара, если потенциальный покупатель находится в другом городе, не видел ваш товар в глаза и предлагает оплату сразу. Особенно, если он просит отправить подтверждение о получении оплаты со ссылкой на некий сайт.
Об источниках персональных данных
Прежде всего, это интернет. Строго говоря, мошенниками используются только ФИО, ИНН и номер телефона. Также клиент делится большим количеством информации о себе при подаче объявлений или, к примеру, оставляя комментарии в сети и т.д. Бывают утечки персональных данных от субъектов, которым сами владельцы непредусмотрительно доверили доступ.
Как предотвратить случаи мошенничества
Основная задача банка – обеспечивать развитие информационной системы на шаг впереди конкретных условий, которые складываются на рынке, при этом соблюдая баланс между комфортом и безопасностью клиента. Мы постоянно анализируем поведение мошенников, обучаем сотрудников, составляем информационные сообщения для клиентов.
О технологиях защиты
Помимо классических средств защиты, таких, как 3-D secure, БЦК в последнее время внедряет ряд действительно уникальных технологий для максимальной защиты от мошенничества. К примеру, функцию динамического CVV-кода, при активации которого генерируется разовый CVV в мобильном банке, таким образом никто не сможет повторно использовать один и тот же код. Банк ЦентрКредит первым на рынке Казахстана внедрил эту услугу.
Сейчас обычный CVV-код (трехзначное число на обратной стороне банковской карты) не обеспечивает полной безопасности – некоторые недобросовестные владельцы сайтов могут сохранять себе все данные карт. К тому же, клиенты часто неосторожно отдают карту, например, официантам, которые могут переписать номер и CVV и совершать покупки с вашей карты. При активации динамического CVV три печатные цифры на карте перестают действовать, и вместо них будет генерироваться новый трехзначный код. Это нововведение позволит в разы обезопасить транзакции от возможных мошеннических операций.
Фальшивый розыгрыш на фейковой странице банка в соцсетях
Экс-специалист по безопасности компании-оператора мобильной связи
О схемах мошенничества
Обращения из-за проблем с мошенниками поступают каждый день. Если с баланса банка или лицевых счетов других финансовых организаций пропадают деньги, клиенты первым делом звонят оператору. Первая реакция — возмущение: "Без моего ведома кто-то снял деньги". Работники колл-центра или фронт-офиса пытаются объяснить, что это вопрос не к сотовому оператору, а к банку. Номер — это только точка входа к Kaspi Gold и другим приложениям (Fortebank, Homebank и т. д.). Также часто мошенническая операция может проходить через SMS-подтверждение той или иной транзакции. Но оператор будет непричастен, если абонент сам продиктовал код мошеннику.
В последнее время было много обращений по случаям, когда в Instagram, Facebook, "ВКонтакте" создавались поддельные страницы сотовых операторов или других организаций с розыгрышами и опросами. Пользователи не могут определить подделки официальных аккаунтов, например, им пишут не с bank.kz, а с bank_kz.
Или пользователь может оставить комментарий под официальным аккаунтом со своей жалобой или просьбой, а ответ ему напишет мошенник, который сразу отреагирует с фальшивой страницы и попросит полные данные для устранения ошибки. После чего мошенник входит в личный контакт с абонентом и путем социальной инженерии говорит: "Сейчас мы дадим заявку, вам придет код, продиктуйте или отправьте нам". В 80% случаев пользователи сами раскрывают всю информацию.
Как предотвратить случаи мошенничества
Для оператора мошеннические кейсы становятся имиджевыми рисками, потому что у пользователя складывается ощущение незащищенности. Хотя как такового материального убытка оператору не было нанесено, мы старались дать рекомендацию и оказать техническое содействие. Когда кто-то обращался в правоохранительные органы, мы входили в контакт с сотрудником полиции и по запросу клиента максимально предоставляли необходимые следствию данные в рамках дозволенного. Правильно оформленная и направленная следствию служебная информация служила доказательством для установления личностей мошенников.
Кроме того, операторы сами проводят исследовательскую работу. После сообщения о подозрительном звонке, мы изучаем активность номера и откуда поступал вызов. Если абонент звонил на несколько похожих номеров подряд, заканчивающихся на одинаковые цифры (4343, 4344, 4345 и т.д.), то блокируем его.
О технологиях защиты
У сотовых операторов есть определенные инструменты для противостояния мошенникам. Например, когда блокируется один номер, система проверяет устройство, на котором стоит SIM-карта. Карта и телефон по требованиям регулятора должны быть зарегистрированы на кого-то, так определяются все другие номера звонившего. Если есть определенная закономерность в поведении абонента, все номера уходят в блок, чтобы с них не могли проводить мошеннические действия.
В нашей компании мы выясняли канал, по которому номер ушел в продажу. В каком городе, через какую магазинную сеть, в качестве продажи или бонуса с другими номерами. Так мы могли понять, где мошенник может покупать SIM-карты. Выяснив канал, накладывали штрафы за незаконную продажу и помощь мошенникам, привлекали к ответственности. С одного звонка мы выжимали необходимые данные, чтобы оператор мог максимально предотвратить неправомерные действия.
О взаимодействии банков и сотовых операторов
Банки, как и операторы, к огласке таких моментов относятся ревностно. Тесно взаимодействуют и сотрудничают в основном только в рамках делопроизводства: собирают данные и стараются максимально помочь следствию, но пока не более. Думаю, в этой части есть ответственность государственного регулятора: нужно поставить общую задачу и операторам, и сектору финансов, чтобы выстраивать совместную защиту от мошенников.
Мошенники с OLX и других сайтов объявлений
Алена Бурковская, практикующий юрист-международник
О схемах мошенничества
Я столкнулась с мошенничеством 9 мая 2020 года: мне позвонили неизвестные лица, представились потенциальными покупателями на дачный участок, который я продаю. Предложили внести задаток, я согласилась и сказала, что номер привязан к карте Kaspi. В связи с пандемией все было закрыто, и мы согласились приехать на сделку уже 29 числа. Я ждала сумму задатка, которую в итоге не получила, а уже вечером при проверке наличия денежных средств, увидела, что с карты другого банка у меня пропала крупная сумма — 420 000 тенге.
Куда обращаться
Я позвонила в службу безопасности своего банка, мне тут же заблокировали карту, и потом в ходе расследования выяснилось, деньги были списаны через приложение Kaspi. Возбуждено уголовное дело по факту кражи денежных средств. Сейчас оно до сих пор находится у следователя, на данный момент выяснено, что деньги похищены заключенными, которые таким образом ежедневно с сайтов krisha.kz, olx.kz, satu.kz берут номера любых граждан и под видом задатка предлагают скинуть определенную сумму. А далее через мобильное приложение могут украсть ваши деньги. Я разговаривала с другими людьми и писала пост в социальных сетях, на что многие откликнулись и сказали, что проблема существует давно и глобально.
О технологиях защиты и возмещении ущерба
Я обращалась непосредственно в банки, где мне объяснили, что технически все защищено. Но как потом выяснилось по переписке, фактически, проверка не проводилась. Выявилась странность: банк говорит, что мне присылали пароли и логины, которые я якобы передавала мошенникам. Но фактически мне SMS не приходили. Не знаю, как такое могло произойти, и такой случай произошел не только со мной.
В каждом банке предусмотрена статья расходов, из суммы которой банк обязан возмещать клиенту ущерб. Но проблема в том, что нужно доказать свою невиновность в случившемся, что обычным гражданам часто сделать сложно. Банк сделал меня крайней, и сумма мне не была возмещена. В таких ситуациях работает только закон о защите персональных данных.
Атаки мошенников на банковских клиентов из Казахстана и СНГ продолжаются, а схемы становятся все более изощренными. Эксперты напоминают о важных правилах, соблюдая которые вы защитите себя и свою компанию: не разговаривайте с мошенником, проверьте сохранность денег на счете, звоните в колл-центр банка по возникающим вопросам. Информацию о пароле, реквизитах, CVV-коде или SMS-коде подтверждения нельзя передавать, даже если человек представляется сотрудником банка. Обращайте внимание на ссылки, по которым переходите, и не заполняйте анкеты с личными данными. Простые методы защиты помогут избежать финансовых и других крупных потерь.
Подписывайтесь на Telegram-канал Atameken Business и первыми получайте актуальную информацию!
Мнение редакции может не совпадать с мнением автора
