В России можно взять кредит удалённо, и этим пользуются мошенники — что делают банки и ЦБ, чтобы это остановить Статьи редакции
Просто запрещать онлайн-выдачу денег не будут.
27 декабря программист Николай Толмачёв рассказал, как его обманули мошенники на 1,8 млн рублей. Они под видом сотрудников «Альфа-банка» и МВД получили у него подтверждения для оформления кредита, а потом убедили снять с кредитного счёта деньги и перевести на карту «банка-партнёра».
В таких случаях мошенники не попадают в личные кабинеты жертв напрямую, а используют социальную инженерию, чтобы люди совершили нужные действия — например, подтвердили операцию. В похожую ситуацию попал и Толмачёв.
Мошенники всё чаще оформляют онлайн-кредиты
Злоумышленники брали кредиты на чужие имена и раньше, но в основном для этого использовались поддельные документы, рассказывали в БКИ «Эквифакс». Количество подобных случаев падает благодаря специальным сервисам, которые используют банки, — например, отслеживающим подозрительное поведение клиента.
Случаи с использованием социальной инженерии, наоборот, участились ещё в 2020 году: злоумышленники убеждают пользователя оформить предварительно одобренный ему кредит, а затем перевести эти деньги на их счёт.
Этот вид мошенничества стал популярным, поскольку во многих банках появилась возможность оформить онлайн-кредит, говорил глава отдела по противодействию мошенничеству Центра прикладных систем безопасности «Инфосистемы Джет» Алексей Сизов.
При этом, если мошенники используют социальную инженерию, банки, по данным ЦБ, реже всего возвращают деньги. Они не несут ответственность, поскольку клиент нарушает пользовательское соглашение: он сам снял или перевёл деньги злоумышленникам или раскрыл конфиденциальную информацию.
Банки могут отказывать клиентам в возмещении ущерба при должном исполнении своих обязательств. Так, в случае телефонного мошенничества, когда жертву убеждают прийти в банк и перевести деньги на «безопасный» счет или взять кредит, банк не имеет права отказать и исполнит свои обязательств. Причин возмещать ущерб от данного действия у банка нет.
Во втором квартале 2021 года банки вернули только 7,4% от украденных средств клиентам, рассказывало издание Frank RG в инструкции о том, что делать в случае появления мошеннического кредита.
Будут ли банки усложнять выдачу кредитов
В «Райффайзенбанке» говорили, что считают запрет на онлайн-кредитование слишком жёсткой и неудобной мерой для клиентов. Более эффективным решением там называли повышение защищённости приложений и финансовой грамотности.
«Тинькофф» также не хочет усложнять процессы, рассказали в компании. Вместо этого банк старается повышать финансовую грамотность клиентов и сочетают это с антифрод-технологиями, которые отслеживают нехарактерное поведение и блокируют операции для дополнительного подтверждения — например, если клиент получил кредит и хочет сразу перевести всю сумму.
В ВТБ пообещали создать настройку, с помощью которой можно будет в мобильном приложении или интернет-банке запретить выдачу онлайн-кредитов на своё имя. «Промсвязьбанк» уже позволяет ограничивать онлайн-операции, но для этого пока нужно обратиться в отделение.
Три идеи от ЦБ и Госдумы
Центробанк весной 2021 года говорил, что кражи кредитных средств в среднем составляют несколько десятков тысяч рублей, но рост таких случаев пугает регулятора. За десять месяцев 2020 года были зафиксированы тысячи инцидентов с предодобренными кредитами, говорили в «Газпромбанке».
Парламентарии и регулятор рассказывали про три варианта решения проблемы:
- Депутаты Госдумы подготовили законопроект о праве на «добровольный запрет»: если его примут, россияне смогут заранее отказываться от оформления кредитов на своё имя. Пока действует запрет, банки и МФО будут обязаны отказывать в оформлении, а если договор всё-таки заключат, кредиторы не смогут требовать выплаты задолженности и продавать долг коллекторам.
- ЦБ хочет обязать все банки закрывать онлайн-доступ к счетам по просьбе клиентов. Такая мера ограничивает мошенников в случаях, когда клиентов провоцируют удалённо совершить операции со счетом, говорил регулятор.
- Также ЦБ предложил банкам передавать данные в кредитные бюро в онлайн-режиме и усилить контроль за пополнением карт через банкоматы и терминалы. Это должно помочь, когда россияне под действием мошенников берут кредиты в нескольких банках: следующий банк, к которому обратится клиент ещё за одним кредитом, сразу увидит только что выданный заём.
ЦБ опять пытается изобрести велосипед? Зачем?
Российский банковский сектор плетётся далеко позади европейского, всё что нужно - брать лучшее из уже придуманного.
Несколько примеров, которые прекрасно работают в Великобритании, и которые должно быть (очень) легко ввести в России:
1. Дать возможность добавлять особую пометку в кредитный файл, что для выдачи кредита нужна дополнительная проверка. Это если утекли данные (паспорт, телефон), и есть риск, что мошенники возьмут на тебя кредит. Или просто хочется, чтобы банки запрашивал больше деталей при выдаче кредитных продуктов (например, могут попросить лично прийти в отделение).
2. Запрет на денежные переводы с кредитных карт. Кредитную карту обычно открыть проще, чем получить кредит наличными, поэтому можно просто отрубить возможность вывода наличных таким образом.
3. Требование ввести имя адресата при денежном переводе. Главный способ борьбы с выводом на "безопасный счёт". Банк просто не даст перевести деньги, если неправильно указать имя получателя. Это не стопроцентная гарантия, но убедить с помощью социальной инженерии перевести деньги на счёт Васи Пупкина будет намного сложнее, чем просто на "безопасный счёт".
Не соглашусь. Российский сектор как раз впереди европейского. И именно от этого возникают все эти проблемы.
С Вашими предложениями согласен за исключением последнего пункта. Там просто номер дадут - и все.
Комментарий недоступен
Даже с первым пунктом по идее сойдёт и банкомат подтверждение телефоном или картой, второй пункт отличный момент, ну а третий по сути неосуществим ибо но номерам гонят либо телефон либо карта
Социальная инженерия - это еще что. Многих на такое не разведешь. Но когда МФО выдают кредиты мошенникам онлайн, и для этого мошенникам нужно только знать паспортные данные жертвы... МФО переводят деньги на карту, которую указал мошенник, и МФО даже не проверяют принадлежит ли карта человеку, на которого оформляется кредит. От этого-то как защититься?? И главное, пролобированные ростовщиками законы позволяют так выдавать кредиты...
Понятно что банки и МФО против усложнений выдачи онлайн кредитов, так как это бьет по их прибылям. А на жертв им наплевать - лес рубят щепки летят.
Отдельно по безопасности интернет банка. Сейчас она сведена к одной смсочке. Достаточно перехватить код в смске для сброса пароля и всё - полный доступ ко всем счетам плюс выдача кредитов. Кстати, еще несколько лет назад интернет банки были гораздо лучше защищены.
Комментарий недоступен
А пароль от банка уже нужен, только смс?
Да, вот это меня тоже больше всего поражает! МФОшки направо и налево раздают онлайн-кредиты по одному лишь селфи с паспортом. Никакой защиты нет абсолютно. Подделать селфи для многих не проблема
Комментарий недоступен
Да че там думать то?
Сделайте возможность ограничить выдачу кредита онлайн без подтверждения доверенного родственника и все тут.
Бабушки/Мамы пооформляют на сыновей. В итоге по выдаче кредита обязательный звонок банка доверенному лицу: ваша мама хочет взять кредит, одобряем?
100% проблем это решит.
предлагаешь чтобы люди сами себя в недееспособные записывали?
Тот случай, когда ЦБ берёт и могет.
Уже несколько раз писал в банк с требованием закрыть возможность получения любых кредитов, кроме случаев, когда я лично стою в офисе с паспортом, но, кроме недоумений, ничего не получал в ответ.
Ничего, теперь придется попрыгать. Не додумались сами, придётся плясать под дудку регулятора, а ведь возможность была.
сделайте функцию отключения взятия онлайн кредита. активация ее по кодовому слову и тд.
как снять свои же, так комиссию отдай, запрос сделай. А как кредитнуться, так два клика.
Но ни то, ни другое Райф, конечно же, делать не собирается. Умно.
Просто запрещать онлайн-выдачу денег не будутА, например, отсрочку в выдаче кредита/кредитных средств, хотя бы в 1 час, они не хотят сделать, чтобы у жертвы была возможность на подумать?
Если час подумать, то жертвы рекламы тоже могут передумать брать кредит. А это не в интересах банка.
Так и сейчас жертвы не всегда за 5 минут это все делают, мошенники просто будут лишний час в уши лить. тот же Николай из поста когда там прочухал, что его обманули? Через пару дней?
Нельзя давать на самостоятельную реализацию, каждый сделает по-своему. Это как с ковидом, каждый руководитель региона\города решил по-своему, одни настаивали на масках, другие забили на это, одни закрывали рестораны, другие не трогали. В итоге общая фрагментация подходов.
Текущая проблема есть, т.к. банки не рискуют особо шкурой. Процессинг жалоб это херня на фоне тех прибылей, которые они по-прежнему имеют. Как только тема фрода начнёт очень сильно сверлить финансы банка, тогда начнётся движуха.
"В ВТБ пообещали создать настройку, с помощью которой можно будет в мобильном приложении или интернет-банке запретить выдачу онлайн-кредитов на своё имя. «Промсвязьбанк» уже позволяет ограничивать онлайн-операции, но для этого пока нужно обратиться в отделение."
Что мешает мошеннику попросить "отключите вот эту галочку в приложении?". Ничего.
Что нужно сделать:
Со стороны власти создать единую систему антифрода (framework), которая даст хоть какие-то минимальные правила все банки без исключения. Есть же OpenAI проект в котором участвует толпа компаний. Тут тоже можно закоопиться.
Для мобильных операторов тоже нужен framework, который задаст им специфичные правила. Обязать в этом участвовать мобильных операторов. Им по дефолту запретить лёгкий перевыпуск симок, аля пришёл хз кто и по доверенности действующему абоненту всё нафиг перевыпустил и снял бабло. Тогда это будет интегральное решение, а не "каждый бьётся как может или... не бьётся". Вести единую базу телефонных авантюристов, чтобы в своём приложении моментально предупреждать клиентов о возможном мошенничестве.
По дефолту отключать все опции, которые позволяют легко вывести деньги. Те кому они будут нужны - включат.
По дефолту нельзя просто так взять кредит на определённые суммы. Чел тратил условные 60к в месяц и вдруг берёт кредит и переводит кому-то 1.800.000? Это типа норм и без подтверждения?
Повысить для банков риск шкурой за отлынивание от правил этой системы. Чтобы при каждом подобном случае у них начинало зудеть.
Нельзя сделать систему суперудобной и одновременно супербезопасной. Если можно расстаться с деньгами в 1 клик, всегда найдутся Данилы-мастера, которые помогут тебе это сделать :)
Комментарий удален модератором
я вобще считаю, что за онлайн кредит, надо рожу банкам бить
Как они доказывают, что кредит я брал, там есть моя подпись? Которую я ставил лично, нет! - пусть лесом идут
Вы в договоре ДБО договорились с банком, что код из смс - аналог вашей собственноручной подписи.
Николай Толмачёв сам взял кредит и перевёл деньги мошенникам. Такое никакой регламетацией не предотвратить.
А банки , в частности Альфа-банк, не возвращают деньги, даже если деньги явно украдены со счёта и ЦБ ничего не хочет с этим делать.
Если честно, лично мне хватило бы просто кнопки на Госуслугах. Оно тоже взамываемо, но хоть какая-то защита.
Но от социнженерии конечно не поможет, тут остается только борьба с дропами/обналом.
А как насчет того чтобы правоохранительные органы интенсивнее боролись с мошенниками? Насколько знаю, сейчас обращения в полицию мало к чему приводят. Почему бы не создать отдельную группу в МВД куда стекались бы все обращения граждан. Сейчас такими расследованиями занимается полиция по месту жительства, но она мало что может сделать, да и мошенники и обнальщики сами зачастую далеко находятся. Пусть эта группа собирает данные, обобщает, работает с операторами связи, изымает записи разговоров, объединяет дела если голоса мошенников одинаковые и так далее. Более серьезно надо к этому подойти.
Фильмов насмотрелись? )
Это всё конечно хорошо и нужно, но главное не выйти на самих себя верно?)
Защита населения от самого населения.
Теперь уже всерьез, без регистрации и SMS, в прямом эфире, у главного регулятора страны!
"например, если клиент получил кредит и хочет сразу перевести всю сумму."
Почти все мошенники переводят деньги небольшими суммами (по 15к). Причем антифрод на такие операции не срабатывает в должной мере.
Все решается проще - запрет на выдачу онлайн кредитов по заявлению пользователя. Но судя по ответам ростовщиков - их все устраивает, пока все риски лежат на пользователях.
нужно запретить выдавать деньги программистам
Нужно разрешать полностью блокировать интернет-банк по обращению клиента с возможностью разблокировки только при личном посещении банка. По аналогии с запретом через МФЦ на операции с недвижкой по доверенности. Только вот когда я попросила банк отключить меня от ИБ, сотрудница с круглыми глазам ответила, что ИБ это часть ДКО и его никак не отключить, и вообще, это совершенно безопасно.
Что сейчас с этим законопроектом? Можно ли как-то заставить банк отключить клиента от ИБ?