С начала пандемии мошенники украли с банковских счетов граждан России 2,8 миллиарда рублей, на 70% больше, чем в 2019 году. Компания НЭС расскажет, как межведомственные раздоры мешают банкам и государству защищать плательщиков.
Мониторинг черепашьими темпами
Ужасающие темпы роста киберпреступности в 2020 году продемонстрировали неспособность правоохранительных органов и банковской системы обеспечить адекватную защиту. А ведь были тревожные сигналы. В сравнительно тихом 2018 году Сбербанк и Московский уголовный розыск с гордостью отчитались о совместном разоблачении банды мошенников. В победном пресс-релизе Сбера черным по белому написано, что на проверку подозрительной активности банку потребовалось целых полгода.
Ничего удивительного, что при скачкообразном росте активности преступников во время пандемии медлительная система контроля мгновенно захлебнулась. В декабре 2020 года управление МВД по Челябинской области, не справляясь с потоком заявлений о мошенничестве, официально попросило уральский Сбер притормозить выдачу онлайн-кредитов. Чтобы хоть так защитить наших наивных граждан. Но кредитное учреждение не увидело смысла в такой потере доходов.
Спустя два месяца из полиции прилетела ответочка. Настолько необычная, что могла бы сойти за первоапрельский розыгрыш. Но нет, силовики так не шутят, это был официальный пресс-релиз ГУ МВД России по Москве. Во втором абзаце управление обвиняет службы безопасности банков по трем статьям:
- Сотрудники банков своим бездействием потворствуют кражам денег со счетов клиентов;
- Разглашают банковскую тайну;
- Торгуют персональными данными клиентов.
Не смешно, правда? Причиной столь бурной реакции стали результаты проверки 35000 транзакций клиентов Сбербанка, проведенной по поручению Прокуратуры Москвы.
«А в конце, как водится, оргвыводы». Московское ГУ МВД собирается направить обращения в Центробанк и прокуратуру. Прозрачно намекая на небо в клеточку. Присел же в 2020 на два года начальник сектора прямых продаж Сбера Сергей Зеленин. Как раз за утечку данных клиентов.
На следующий день, 2 апреля, пресс-служба Северо-Западного ПАО Сбербанк ответила, что ничего не знает про 35000 транзакций, и вообще Сбербанк никому ничего не передавал. И смех и грех: на заявление московского УВД отвечает питерское представительство. Естественно, они не в курсе, а центральный офис Сбера отмалчивается.
Претензии МВД законны
Стандарт Центробанка СТО БР ИББС-1.0-2010 предписывает банкам реализовывать систему управления рисками, включающую систему обеспечения информационной безопасности (СОИБ). 25 июня Банк России отдельным Положением 716-П уточнил требования к таким системам. В перечень рисков включена возможность присвоения средств клиентов третьими лицами (3.6.2).
Причем пункт 3.6.4. требует от системы управления рисками контролировать, чтобы кредитное учреждение не нарушало прав клиентов и не причиняло им ущерба.
А вот насколько сберовский Security Operation Center соответствует требованиям регулятора — дело мутное.
Антифрод Сбербанка только обучается?
Факт первый: в сентябре 2020 зампред правления и главный спикер Сбера по финансовым мошенничествам Станислав Кузнецов рассказал, что система антифрод — мониторинга уже создана и спасла 850 миллионов рублей, и 80% клиентов от брокеров-мошенников.
Факт второй: почти полгода спустя, в середине февраля 2021 президент Сбербанка Герман Греф сообщил на пресс-конференции, что, оказывается, разработка системы фрод — мониторинга только закончена.
Факт третий. Сервис Сбера «Проверка на мошенничество» был запущен в июне 2020. Вот он, антифрод?
Не спешите радоваться. В пресс-релизе была характерная оговорочка: «сервис поможет расширить систему фрод — мониторинга». Похоже, перед нами столь любимый Грефом народный краудсорсинг, информация о мошенниках собирается руками клиентов и посетителей сайта.
Проведем тест. В феврале 2021 года несколько сайтов брокеров-мошенников были заблокированы Роскомнадзором за предложения финансовых услуг без лицензии. Проверим, что о них знает антифрод Сбера.
На сегодня из 5 организаций, официально признанных незаконными, «Проверка на мошенничество» Сбера распознала только одну. 80% мошенников ей неизвестны.
Сбербанк обучал антифрод руками полиции?
Скорее всего, дело было так. По итогам разработки Сбер получил необученный ИИ, нейросеть, пустую базу данных (нужное подчеркнуть).
Дмитрий Губанов, руководитель направления в лаборатории кибербезопасности Sber Graduate, пишет на сайте, что одна из задач лаборатории — поиск новых источников данных для антифрод — системы.
Надо понимать, подразумевались источники структурированной информации, то-есть база тренировочных примеров. Нельзя просто взять и загрузить в ИИ разноформатные публикации на досках объявлений, форумах и соцсетях, результаты такого обучения будут непредсказуемыми. Сбер попробовал было создать список с помощью сервиса «Проверка на мошенничество». Народ не откликнулся.
Вероятно, после этого кредитное учреждение решило делегировать подготовку базы данных Московскому ГУ МВД. Кстати, а почему не Управлению «К»? Мошенничество с использованием компьютерных технологий — его епархия.
Сотрудники ГУ МВД России Москвы выявляли социальную инженерию?
Какая роль могла отводиться полиции? Дело в том, что созданные до COVID антифрод — системы ориентированы на предотвращение платежей, совершенных без участия клиента банка. Мошенник, завладев картой или ее данными, переводил деньги со своего компьютера (телефона), по своему адресу, привычным ему способом работы с интерфейсом личного кабинета. Антифрод отслеживал изменения:
- IP-адреса;
- цифрового слепка;
- типового сценария платежа.
И подавал тревожный сигнал. Очевидно, что ранее использовавшиеся Сбером американские и израильские антифрод — системы примерно так и работали.
А в 2020 году внезапно обнаружилось, что при мошенничестве с использованием социальной инженерии владелец карты не меняется, его параметры остаются прежними, и антифрод — система не распознает угрозы.
Для обучения антифрода Сберу понадобился массив данных о платежах, в котором компетентные следователи выделили бы случаи социальной инженерии. Неизвестно, удалось ли банку получить желаемое. Скорее всего, полицейские сначала пытались тихо саботировать, а потом возмутились и заявили, что не будут делать чужую работу.
Перед кем отвечает банк за эффективность антифрода?
Уж точно не перед клиентами. В клиентских договорах Сбербанка, термины fraud, фрод, анти — фрод, фрод — мониторинг отсутствуют вообще. В «Условиях банковского обслуживания» пострадавшим от мошенничества предлагается звонить в банк и писать в полицию, управление «К».
И это не только ограничение прав клиента, но и нарушение упомянутого выше Положения Банка России 716-П. Проблема в том, что Закон «О национальной платежной системе» (статьи 8, параграф 5.1, и статья 28, параграф 2), позволяет банку организовывать отслеживание мошенничества в рамках собственной системы управления рисками.
Для чего банку нужна система управления рисками? Для борьбы с убытками. В стратегии управления рисками группы ПАО Сбербанк, раздел «Цели и задачи» так и написано: «минимизация возможных финансовых потерь». Налицо конфликт интересов: не проводя сомнительные платежи, банк теряет доходы.
Банки не защищают клиентов, кивая на ЦБ РФ
Судя по официальным публикациям и ответам на обращения жертв мошенников, Банк России последовательно придерживается политики невмешательства в отношения банков с клиентами. Регулятор утверждает, что:
- Гражданин России, заключающий договор с незаконным предпринимателем, сам обязан отвечать за последствия;
- Полномочия ЦБ РФ распространяются только на лицензированные им организации. Мошенники без лицензий — не его ответственность;
- Возвратные платежи по чарджбэк относятся к оперативной деятельности банков, и у Центробанка нет права в нее вмешиваться.
Эти толкования искажают закон 86-ФЗ «О Центральном банке Российской Федерации», статью 56. Согласно которой, Центробанк имеет право и обязан вмешиваться в оперативную деятельность кредитных учреждений в случае нарушения федеральных законов. Это называется надзорная функция.
За IV квартал 2020 года Центробанк выявил 136 сайтов фейковых банков без лицензии. Спрашивается, зачем? Если регулятор за нелегалов в принципе не отвечает, и не имеет полномочий пресекать?
В статье 74 того же закона прописаны меры, которые Банк России имеет право применять к лицензированным банкам, нарушающим законы. Начиная с штрафа в 0,1% от минимального уставного капитала, это 1 миллион рублей для банков с универсальной лицензией. И вплоть до назначения временной администрации и отзыва лицензии. Санкции применяются, но что-то очень избирательно. За конец 2020 — начало 2021 года лицензий лишились только 6 мелких банков.
В результате, снисходительность регулятора позволяет банкам безнаказанно отделываться от жалоб клиентов шаблонными отписками, и не проводить расследования спорных ситуаций, перекладывая работу на правоохранительные органы.
Истории пострадавших, которых Сбербанк переадресовал в полицию
Крупнейший банк России лидирует и в этом. Каждый отказ в передаче документов клиента на чарджбэк заканчивается предложением обращаться в полицию. Таких случаев очень много, только у нас задокументировано 3300.
Пример 1
Мужчина поверил рекламе псевдоброкера Arotrade, и перевел ему в 2019 году 700000 рублей. Подал в Сбербанк заявление о спорной операции, но получил стандартную отписку: банк не обязан передавать документы на опротестование, решайте вопрос с брокером сами, если считаете его мошенником — обращайтесь в правоохранительные органы.
Пример 2
В начале 2020 года пострадавшего обманули деятели из 24broker, на 50000 рублей. Поскольку он делал платежи с карты VISA Сбербанка, то опротестовал платежи. И получил отказ, с предложением обратиться в правоохранительные органы.
Пример 3
Мнимый брокер Global.FX нагрел гражданина на 13300 рублей в начале 2020 года. Сбер отклонил заявление на чарджбэк, предложив решать дело с брокером в судебном порядке. Либо (сюрприз!) обращаться в полицию.
Проблема в платежах с карты на карту?
Все эти межведомственные разборки только отвлекают внимание от реальных способов решения проблем. Еще в апреле 2020 года Банки.ру, Group-IB и Badbank сообщали, что значительная доля платежей в онлайн — казино и брокерам — мошенникам проходят через платежные шлюзы банков для перечислений с карты на карту (P2P).
По мнению Badbank, криминальная схема реализуется при непосредственном участии отдельных банков. Дело в том, что большое число платежей Card2Card у одного держателя карты — характерный признак отмывания денег. Поэтому большинство банковских платежных форм ограничены лимитами на час и сутки.
Достаточно всему банковскому сообществу установить необременительный суточный лимит в один P2P-платеж по карте, и схеме придет конец. Однако этого не происходит. Совсем наоборот: всем известные кредитные учреждения прогоняют через свои P2P-шлюзы платежи жертв мошенников круглосуточно и безо всяких ограничений.
Вот этим обстоятельством полиции действительно стоит заинтересоваться. Как-никак налицо отмывание средств, приобретенных преступным путем, в особо крупном размере, и с использованием служебного положения. УК РФ, статья 174, параграф 4 «б».
переводы псевдоброкерам, переводы мошенникам, которые методами социальной инженерии вынудили клиентов перевести деньги куда-то, это всё же на совести клиента, деньги переведены добровольно, претензии только к себе надо предъявлять. ну и мошенников должна полиция искать, это в их компетенции. а вот как работают внутренние органы и работают ли вообще это уже другой вопрос.
Василий, здравствуйте! Спасибо за мнение!
Однако Уголовный кодекс с ним не согласен. Статья 159: мошенничество - хищение имущества путем обмана или злоупотребления доверием.
Кстати, это Сбер принимает решение или платёжная система?
Здравствуйте, Михаил! Спасибо за вопрос!
Сбербанк как эмитент принял решение не передавать документы эквайеру.
Вот только что было про «волшебные» сервисы подписок от Мегафон, которые помогают... Мне кажется, подчеркну, это только мое мнение, что схемы банковского мошенничества это та же серая отрасль, которая прекрасно сосуществует вместе и при помощи самих банков. И ровно потому же, почему существует прибыль в 17 миллиардов у ооо которое ничем кроме подписок не занимается, существует и бизнес «жутких бандитов, устраивающих грабеж населения» с невозможностью расследований и серьезных дел.
Полиция ничем интересоваться не будет, им вообще на все пофиг, пришлют отписку и все. Зарплата идет и дальше со своими проблемами посоветуют разбираться самостоятельно. Сосед надоел курить на балконе, написал заявление, пришел ответ, не нравится? Обращайтесь в суд. Они даже участкового не отправили, просто тупо отписались.
Никто не защитит клиентов. Даже в государстве бардака меньше чем в сбербанке, а его служба безопасности не сильно отличается от той службы безопасности что вам обычно звонят - беременных девок кошмарят чтоб увольнялись вместо декрета.