За 2023 год мошенники похитили со счетов граждан 15,8 млрд руб. Почему им это удалось?
Глава Центробанка РФ Эльвира Набиуллина прилетела в Екатеринбург, чтобы провести работу над ошибками и озвучить решения, которые помогут защитить деньги граждан.
Сегодня в Екатеринбурге завершается Уральский форум «Кибербезопасность в финансах», участниками которого стали глава Центробанка РФ Эльвира Набиуллина и топ-менеджеры крупнейших банков страны. На пленарной сессии они обсудили проблему кредитного мошенничества, а глава Банка России даже назвала борьбу с этим видом мошенничества главной задачей на 2024 г.
Что сейчас мешает защищать средства граждан, какие законы будут приняты для решения этой проблемы и как на ситуацию влияет развитие искусственного интеллекта? DK.RU выбрал ключевые заявления.
О масштабах проблемы
Эльвира Набиуллина, председатель Банка России:
— По нашим данным, в прошлом году увеличилось количество атак, отраженных банками. Но увеличилось и количество успешных атак — почти 1,2 млн операций совершаются без согласия клиентов.
Доля средств, возмещенных людям, пострадавшим от кибермошенников, выросла с 4,4 до 8,7%, но эта цифра все равно достаточно низкая.
По-прежнему люди берут миллионные кредиты и отдают их мошенникам. По нашей статистике, каждый четвертый рубль, похищенный из банков, это заемные средства. У каких-то банков эта доля больше, у каких-то — меньше. Люди не просто теряют деньги — иногда у них появляется большой долг, который приходится выплачивать всю жизнь.
Мы много делаем для защиты средств граждан, многие банки научились защищать свои интересы, но видим, что кибермошенники очень изобретательны. Поэтому, к сожалению, перелома пока не произошло.
Станислав Кузнецов, заместитель председателя правления Сбербанка:
— Согласен, за последнее время удалось сделать многое. Сегодня кредитные организации надежно защищены с точки зрения инфраструктуры. Улучшилась нормативная база. Появились профессиональные стандарты в области управления рисками в кибербезопасности. Была разработана единая система телефонного антифрода. Но ущерб от действий мошенников продолжает расти. Знаю, что, по подсчетам Центробанка, в прошлом году было похищено 15,8 млрд руб. (в 2022 г. было на 11,5% меньше).
Есть ощущение, что мы все время находимся в состоянии догоняющих. Мы научились управлять рисками по традиционным направлениям, но появились новые. За последний год их появилось как минимум три: сим-боксы, виртуальные АТС и мессенджеры. Мы фиксировали до восьми миллионов телефонных звонков в сутки гражданам России, а с учетом мессенджеров эта цифра достигает 15 млн попыток в сутки.
Все больше мошенничеств происходит с использованием кредитных средств. Сегодня это уже около 30% от всех случаев. И мошеннику удается не просто завладеть деньгами человека, но и убедить его оформить кредит, зачастую на крупную сумму. Суммы очень большие: из 276 млрд руб нам удалось не допустить передачи мошенникам 100 млрд руб.
Что мы сделали? В частности, по номерам телефонов, где мы предполагали, что это мошеннические действия, на свой страх и риск вводили «период охлаждения». Практика показала, что людям, которые попались на уловку мошенников, достаточно 24 часов, чтобы понять, что их развели, и отменить заявку на кредит.
Кроме этого, два года назад мы объявили программу борьбы с дропперами (это люди, которые осознанно или неосознанно помогают мошенникам, предоставляя им доступ к своему счету для транзита похищенных средств за вознаграждение, — прим.ред.). За этот период количество дропперов, которые работают с нашими инструментами, карточками, уменьшилось не менее чем в 10−12 раз. Мы видим подозрительные действия со стороны таких клиентов, самостоятельно их вычисляем. Однажды в качестве эксперимента заблокировали несколько тысяч карточек дропперов. Ожидали, что будет большое количество жалоб, но не получили ни одной. Значит, попали на 100% — модель работает правильно.
Нужен обмен информацией о мошеннических схемах и пользователях, которые обращаются за нашими инструментами в подозрительных обстоятельствах. Это позволит исключить ситуации, когда мошенник отправляет жертву оформлять кредит сначала в один, а затем во второй банк. Параллельно нужно развивать киберграмотность как отдельное образовательное направление для всех возрастов.
Что делать?
Эльвира Набиуллина, председатель Банка России:
— Нужно постепенно менять наш менталитет, подходы к информационной безопасности. Одна из важных проблем сегодня — борьба с дропперами. Необходимо усилить профилактику, работу по созданию негативного образ дроппера как сообщника преступника. Потому что сегодня ты предоставляешь свою банковскую карту за тысячу рублей, а завтра твоего родственника обворовывают на гораздо большую сумму.
Нужен контроль за оформлением кредитов. Сейчас на рассмотрении в Госдуме находится законопроект о самозапретах. После принятия закона граждане смогут оформить запрет на выдачу кредитов без личного присутствия в отделении. Но, как мне кажется, и это не решит проблему в полной мере. Необходимо усилить защиту на уровне самих банков, в частности повысить качество всех антифрод-процедур (сервисы, которые защищают от мошеннических действий).
Здесь могут быть три барьера.
- Первый — в тех банках, где не выстроены антифрод-процедуры при выдаче кредитов, их необходимо выстроить.
- Второй — нужно внедрить период охлаждения при выдаче крупных кредитов, например, с 1 млн руб. У банков есть возможность «затормозить» перевод на подозрительный счет, а по кредитам они такой возможности не имеют. Срок охлаждения можно обсуждать.
- Третий — мы уже обсуждали со многими банками, что нужно ввести лимиты на внесение наличных в банкоматах с использованием цифровых токенизированных карт (используются без физического носителя, работают со смартфона). Сейчас мы видим, что многие жертвы мошенников стали «уходить в наличные»: они берут кредит в одном банке наличными, а потом с помощью цифровых карт зачисляют эти деньги на «безопасный счет» мошенника. Другой вариант — ввести ограничения на зачисление наличных средств на только что открытые карты.
Нужно повышать качество репортинга об операциях, совершенных без согласия клиента. Улучшать обмен информацией между банками о выявленных мошеннических схемах.
Есть серьезнейшая проблема, связанная с нехваткой кадров в сфере информационной безопасности. Ежегодно нам нужно обучать как минимум 7 тыс. таких специалистов. Крупные финансовые организации с поиском квалифицированных кадров в этой сфере справляются — доучивают специалистов, предлагают им высокий уровень вознаграждения. Небольшим банкам сложно с ними конкурировать.
Анатолий Аксаков, глава Комитета Госдумы РФ по финансовому рынку:
— Как депутат я постоянно получаю обращения в свой адрес со стороны людей, обманутых мошенниками. Причем среди них есть довольно высокообразованные люди, которые занимают серьезные позиции во властной иерархии: у кого-то украли деньги, кто-то сам по непонятным причинам перевел их на счет мошенников.
Считаю, что нужно активнее прививать культуру финансовой грамотности. Например, в Чувашии, которую я представляю, мы уже договорились с Министерством образования республики ввести курс финансового образования. Сначала распространим его на учеников старших классов, затем постепенно дойдем до детского сада. На таких уроках дети должны получать интересную информацию, которая поможет им не только защитить себя от действий злоумышленников. Возможно, в будущем кто-то из этих ребят будет работать на финансовых рынках, и успешно применять эти знания на практике.
Согласен с тем, что нужно пресекать действия дропперов. Когда я встречаюсь с людьми и рассказываю о таких схемах, они задают вопросы, почему действия дропперов не ограничиваются.
Вадим Кулик, заместитель президента — председателя правления ВТБ:
— Много внимания уделяется борьбе с кибермошенничеством в контексте хищения денег у физлиц. Действительно, здесь нужно совершенствовать модели определения фрода. Выстраивать инструменты обмена данными между банками.
Важный момент — все мы переходим на российское ПО. Оно менее зрелое, часто использует всевозможные открытые библиотеки. Нужно активнее работать с управлением потенциальными уязвимостями.
Сегодня нам нужно готовиться к следующей волне активности киберпреступников. У них уже появились новые инструменты. Мы видим первые случаи подмены голоса, использования дипфейков. Есть кейсы, когда банковская видеоконсультация приводила к тому, что деньги уплыли. К этому виду фрода мы пока не готовы от слова «совсем». И здесь нужно будет создавать целую серию новых процессов и технологий. Нужно перестать воспринимать себя только как банки, больше вкладываться в защиту данных.
Читайте также на DK.RU:
Финансы для «чайников»: азы бюджетного планирования и инвестирования