Ольга Арсланова: Это программа «Отражение». Мы продолжаем. У россиян каждый день крадут 440 тыс. руб., это делают мошенники, уводя деньги с банковских карт, – подсчитали эксперты. Петр Кузнецов: Чаще всего преступники используют методы социальной инженерии. Способы обмана постоянно совершенствуются при этом. Ольга Арсланова: Вот пример. Клиент якобы забывает карту в банкомате. Следующий посетитель ее вынимает, и тут появляется забывчивый хозяин карты, проверяет баланс, и выясняется, что со счета уже сняли деньги. Вот на такую последнюю уловку жалуются. Петр Кузнецов: Представляете, да? Никаких программ уже не надо разрабатывать. Просто как-то хорошо забытое старое, что ли, возвращается. При этом находится свидетель в этой истории, который подтверждает версию «пострадавшего» в кавычках. Подобные ситуации не возникают в людных местах, а также в банковских офисах, где к решению конфликта можно тут же привлечь специалистов. Ольга Арсланова: Но мы понимаем, что это всего лишь один из способов. До этого сообщалось в прессе также о том, что мошенники используют образцы голоса клиентов банков. В общем, десятки других различных вариантов для того, чтобы украсть наши с вами деньги. И вот какие объемы в итоге получаются. По данным МВД, за первые 9 месяцев этого года число случаев мошенничества с картами в России превысило 10 тыс. Это в 4 с лишним раза больше, чем за период такой же прошлого года. А ущерб от киберпреступлений, направленных на банки и их клиентов, в России во втором полугодии 2018 и первом полугодии 2019 составил 510 млн. руб. По оценке экспертов, объем потерь сокращается на 85%. Но огромная сумма, на самом деле. Вот отсюда и получились эти 440 тыс. на одного россиянина. Петр Кузнецов: Ну что ж, давайте обсуждать. И в том числе и новые виды мошенничества. Это продолжается, и все больше. Способов защиты, казалось бы, больше, но не так-то все просто, на самом деле. Владимир Ульянов, руководитель Аналитического центра Zecurion. Здравствуйте, Владимир. Ольга Арсланова: Здравствуйте. А если мы вообще говорим о странах, где люди пользуются банками и картами: это большая сумма? Владимир Ульянов: Какая именно? Ольга Арсланова: Вот эти 440 тыс. украденных на каждого россиянина денег. Владимир Ульянов: Или там каждый день? Но надо понимать, что эти цифры, которые вы приводите… Ольга Арсланова: За период, конечно. Владимир Ульянов: …или статистику, которую вы показали. Смотрите, одна цифра растет, другая сильно падает. И мы понимаем, что эти цифры, скажем так, не всегда отражают реальную ситуацию. Да, безусловно, можно сделать какую-то методологию и посчитать одни потери, другие потери в тот или иной год. Но если мы говорим об угрозах, о киберугрозах, киберпреступлениях, о том, что реально происходит каждый день с нами и с нашими соседями, то это совершенно другая ситуация. И, к сожалению, есть такая проблема, что не все эти случаи мы можем посчитать и отследить. Большинство этих происшествий и реальных преступлений происходят как бы за фокусом нашего внимания. Т. е. фактически даже те огромные данные, которые мы читаем: тысячи, миллионы, миллиарды, – это только верхушка айсберга. А реальные потери – это то, что где-то скрыто. Ольга Арсланова: А вот те цифры, о которых мы говорим: правильно ли я вас понимаю, что это случаи, о которых люди заявили? Владимир Ульянов: Заявили, или стало ясно, или банк узнал. Но действительно большое количество случаев происходит незаметно. Или не попадает в эти сводки МВД, или, кто там еще считал. И соответственно они оказываются вне нашего поля зрения. Ольга Арсланова: А они незаметно для кого проходят? Банки же в любом случае, наверное, видят это. Владимир Ульянов: Опять же, если мы говорим о банках: да, банк видит, что есть списание. Но не факт, что сам пользователь знает о том, что у него деньги украли. Ведь вы же понимаете, что сейчас, когда все уведомления в банках, в большинстве банков, они платные. И даже какие-то 100 руб. в месяц – казалось бы, небольшая сумма, но люди отказываются от нее. Потому что на протяжении года это уже больше тысячи рублей. А если несколько лет посчитаем? И люди пытаются экономить даже на таких, казалось бы, копейках. И при этом могут потерять гораздо больше. Петр Кузнецов: Вы имеете в виду уведомления, да? Владимир Ульянов: Совершенно верно, да. Поэтому с моей точки зрения не совсем правильно, что эта услуга, базовая такая услуга, которая касается безопасности и которая работает в интересах, наверное, не только клиента, но и самого банка, – то, что она платная. Поэтому банкам, по-хорошему, стоило бы сделать эту услугу бесплатной, а деньги взимать за какие-то другие банковские продукты или услуги. Петр Кузнецов: Вот на примере той истории, с которой мы начали. Слышали вы или нет, до этого? Или от нас узнали, что есть такой новый вид мошенничества, что якобы засунул карту, якобы ее забыл, приходит – и якобы у него за это время кто-то снял. Ольга Арсланова: Но это какой-то развод в стиле 90-х, да? Петр Кузнецов: Да, но это на самом деле. Т. е. правда ли, что здесь на самом деле речь-то не в новых программах, не в уязвимости той или иной банковской системы, а на самом деле в человеческой наивности по-прежнему? Владимир Ульянов: Я бы не сказал, что в данном случае есть человеческая наивность. Опять же, это типичная схема развода, вы правильно назвали вещи своими именами. Но мы должны понимать, что фактически подобных схем очень много. И поэтому… Избежать вот этой схемы, наверное, можно. Да, безусловно, не трогать эту карту и вообще отказаться помогать человеку. Но опять же, мы живем в обществе, и мы не можем не помогать другим людям. Это вполне естественно для человека – помогать. Это первый момент. Второй момент: всегда есть какие-то подводные камни, на которые мы можем натолкнуться, хотя стараемся избежать одного… одной истории. Петр Кузнецов: Хорошо, те же, но разве непонятно: в 2019 году лучше никому эти 4 цифры или сколько там на обратной – 3? Какие, кстати, они у тебя? Ольга Арсланова: В системе… Петр Кузнецов: …Но по-прежнему, да, ну понятно, что… Да нет, не особо понятно, что это только о пенсионерах речь идет. Но все равно продолжают называть. Сколько раз и банки предупреждают, и в объявлениях крупно висят при входе в банк, что ни в коем случае, запомните главное правило: банковский сотрудник никогда, ни при каких обстоятельствах не запросит эти важные цифры. Ольга Арсланова: Но тем не менее социальная инженерия… ведь все это так можно назвать? Владимир Ульянов: Да, да, все та же она. Просто чуть-чуть скида. Ольга Арсланова: …приносит заметный… Владимир Ульянов: Так проблема, поймите, что она не в ПИН-коде и не в CVV. Это только маленький кусочек информации, который можно использовать, а можно не использовать. Петр Кузнецов: Не самый-самый ключ? Владимир Ульянов: Смотрите, это как бы то, что лежит на поверхности. Да, можно вот это взять. Но люди примерно уже понимают, что это нехорошо сообщать. И не нужно записывать ПИН-код на обратной стороне карты. И не нужно вот этот CVV сообщать по телефону, когда незнакомец кто-то вам звонит. Но при всем при этом даже подготовленные люди, бывает, что попадаются на удочку мошенников. Потому что эти киберпреступники, социальные инженеры, которые используют методы социальной инженерии, они очень ловко подстраиваются. Они мимикрируют, они стараются действовать максимально похоже на сотрудников банков. В конце концов, вот те же самые звонки из банков, или просьбы подтверждения, или какие-то рекламные акции. Мы постоянно получаем эти звонки. И люди к этому привыкают. Они понимают, что – да, наверное, ну из банка позвонили. Они знают о киберпреступниках, поэтому, если на той стороне вам рассказывают про то, что у вас сейчас могут списать деньги, своровать, – конечно же, человек начинает верить. Но он не поверит, если просто, условно говоря, кто-то случайным образом набрал его номер. Но если он обращается по имени-отчеству, если он знает, что есть счет в таком конкретном банке, если он знает, сколько денег на этом счету, то человек уже предполагает, что никто другой, кроме сотрудника банка, не может такой информацией обладать. И он… Ольга Арсланова: А еще и номер банка… Владимир Ульянов: …открывает. Открывает ту информацию… Петр Кузнецов: Еще и на телефоне сам номер банка, да. Владимир Ульянов: Есть такое, да. Это тоже как бы уловка, которую, казалось бы, очень сложно, ведь нельзя подделать номера. На самом деле очень просто это делается, и очень не за дорого можно сделать. Поэтому, конечно же, доверять тем входящим звонкам, которые мы принимаем, или электронной почте, которая приходит в наши ящики, – это тоже как бы… нужно максимально скептически к таким входящим сообщениям относиться. И только это: максимальная бдительность, скептицизм, – может немного помочь. Петр Кузнецов: Т. е. самый действенный способ у этих мошенников – это угроза, да? Прежде всего угроза блокировки, угроза снятия со счета и т. д. Т. е. в таких условиях… Ольга Арсланова: Когда человек в стрессовой ситуации. У него критическое мышление отключается… Петр Кузнецов: …пугают и когда «давай-давай скорее, потому что сейчас через минуту, вот у вас, мы видим, что прямо снятие пошло, у нас есть возможность где-то задержать его в виртуальном поле и еще есть способ вернуть». Да? Владимир Ульянов: Совершенно верно. Да. Вот такие как бы нехитрые уловки, но тем не менее они на психику человека очень хорошо работают. И люди вот попадают в такую ситуацию, особенно если они в неудобном где-то месте: в транспорте, еще что-то, он плохо слышит, не может понять вообще, что за ситуация. Конечно же, он не хочет потерять эти деньги. И он не хочет идти и долго разбираться в отделении банка, предоставлять паспорт, какую-то справку, что-то еще приносить, чтобы убедить, что действительно такого нет. А ему предлагают решить проблему здесь и сейчас. И конечно, когда это делает мошенник, ему, собственно, фактически вся информация у него уже есть. Потому что где-то раньше он эту огромную базу данных, с данными того же самого пользователя, которому он звонит, он своровал у кого-то, купил. И опять тут проблема по области информационной безопасности. Наибольшая проблема это не в хакерах, не в программах-шпионах, которые там где-то на смартфонах или на компьютерах могут работать. Они действительно, конечно, работают. Но это вот только маленькая-маленькая угроза. А большая проблема – это в собственных сотрудниках, которые сидят в банках и эту информацию сливают. Налево, направо, за деньги, по незнанию. Кейсов, случаев на самом деле очень много, вот этих историй. И когда эта информация попадает к злоумышленникам, они уже понимают, как ее можно использовать. Как надавить на человека. Используя вот эти нехитрые приемчики психологические, они выуживают ту информацию, которая им позволит деньги своровать. Вот какой-то маленький кусочек. Подтверждение в СМСке, которое приходит. Или пароль от Интернет-банка. Вот заставляют. И человек, даже подготовленный человек, который знает про такие угрозы, про такие схемы, который занимается информационной безопасностью (даже такие случаи известны), и то они информацию отдают. Ольга Арсланова: А где этих социальных инженеров готовят? Что это за люди? Кто этим занимается, у кого квалификация требует вот такие схемы? Владимир Ульянов: Удивительно, если вы не получали никакого такого звонка. В принципе, много людей сталкиваются с подобными вещами. И они уже понимают, что есть более осведомленные, менее осведомленные. Т. е., в принципе, как и везде. Кто-то, действительно, получил вот эту базу и погнал, начиная с первого номера, и обзванивает всех подряд. Кто-то да попадется. Но он особо не запаривается. Есть более сложные схемы… Ольга Арсланова: Но это группировки какие-то, не знаю, преступные? Кто это? Потому что, честно говоря, я не помню, чтобы показывали вот такие закрытые дела. Вот открыли банду киберпреступников, во главе их стоял какой-нибудь выпускник-программист… Петр Кузнецов: Это единичный случай. Вот недавно мы обсуждали. Это исключение из правил. Ольга Арсланова: Кто вообще это организует? Как это все выстроено? Интересно просто. Владимир Ульянов: К счастью, бывает и такое, когда сообщают о поимке, о раскрытии банды, о том, что взяли, условно говоря, 40 человек, и оказалось, что они находятся в разных городах или даже в разных странах. Если мы говорим о серьезных киберпреступных группировках, то действительно это обычно территориально распределенная организация, где каждый человек имеет какую-то свою роль. Кто-то обзванивает, кто-то добывает данные, кто-то идет и снимает деньги в конечном счете в банкомате или делает покупки в Интернет-банке. У каждого своя роль. Поэтому свести всю эту схему как-то воедино, понять, кто за что отвечает, и всех желательно одновременно взять, потому что иначе они как-то разбегутся, поменяют место жительства. Особенно если мы говорим о главах этих группировок, которые, конечно же, располагают и деньгами, и сведениями, и какими-то запасными аэродромами. Поэтому вот взять всех так вместе бывает, конечно же, проблематично и тяжело. Но, по счастью, бывает, что раскрывают такие схемы. Но в этом случае мы должны понимать, что раскрыть подобное преступление – это проблематично. Действительно, даже для правоохранительных органов крупной страны, какой является Россия. Поэтому тут необходима вовлеченность и интерес других стран, других каких-то компаний, корпораций, которые так или иначе могут быть задействованы. Может быть, даже как промежуточное звено. Потому что когда информация идет от одного компьютера к другому (вот тот же самый взлом, или какая-то схема атак, или даже телефонный звонок), он по ходу дела может проходить через какие-то промежуточные точки. И чтобы выстроить всю эту схему, нужно собрать данные со всех этих точек. Петр Кузнецов: Уважаемые телезрители, позвоните нам, расскажите. на какую уловку, не дай бог, конечно, попались вы в последнее время. Или, наоборот, вам удалось всего этого дела избежать. И как, важный момент в этой истории, вел себя банк. Потому что очень много нам пишут сейчас про ответственность банка, которая как бы размывается… Ольга Арсланова: И о бездействии. Петр Кузнецов: …и о бездействии, потому что да, эта ответственность как-то в этой истории размывается. Давайте Наталью послушаем из Вологодской области. Ольга Арсланова: Здравствуйте. Зритель: Здравствуйте. Петр Кузнецов: Расскажите, Наталья, пожалуйста. Зритель: Я проживаю в Череповце. И мне позвонили в это самое, ну как, позвонили, представились: служба безопасности. Что у меня это самое, собираются с Уфы, ну в Уфе, снять с моего счета деньги. Я человек пожилой, мне 63 года. Я, конечно, сразу расстроилася и, это самое, тем более этот звонок был с 900 – как сбербанковский. А я все время, я там всегда Сбербанку это самое… ой, я чуть волнуюся… Ольга Арсланова: Так. И что было дальше? Зритель: Я им себя доверяю. И получилось так, что я все выложила. Но у меня эта карта была застрахованная. Петр Кузнецов: Застрахованная? Зритель: Да. И мне потом… Правда, когда вот только сняли, я сразу в Сбербанк пошла. Потом они меня отправили в полицию. В полиции сняли все данные. Завели уголовное дело. И сказали, вот это было понедельник 23-е сентября, и сказала мне следователь подойти в четверг. И в четверг я подошла к ней за этими документами, чтобы как бы подать в Сбербанк. Ольга Арсланова: Так, и что было? Зритель: И когда это самое, я карту-то сразу не заблокировала, я не знала, что ее надо было заблокировать сразу. Петр Кузнецов: И они за это время с вашей застрахованной карты все сняли? Зритель: Да. Страховой пришел отказ из-за того, что я карту не заблокировала в течение двух суток. Ольга Арсланова: А, понятно. А вот здесь тоже вопрос к банкам. Достаточно ли хорошо они информируют о таких угрозах своих клиентов? Ведь такие случаи наносят урон репутации банков тоже. Владимир Ульянов: Вопросы к банкам прежде всего. Вопрос: если человек пришел и рассказал им, что у него списывают деньги, и есть какая-то операция неподтвержденная, несанкционированная, то в этом случае банк прежде всего что делает? Блокирует карту. Для меня удивительно, почему сотрудник банка первым делом сам этого не сделал. Обычно даже не при личном обращении, при любом телефонном звонке: есть подозрение мошенничества – карта блокируется. Это нормальная практика. А другое дело, каким образом она потом – перевыпускаться, активироваться, еще что-то будет. Но это потом нужно решать. А вот сейчас самое главное – предотвратить дальнейшее списание с карты. Почему это не сделал банк – большой вопрос. И опять же, вот те же самые страховки. Для меня это, честно говоря, вызывает удивление. Почему банк продает страховку на свой собственный банковский продукт? Почему не обеспечивает безопасность этих самых данных, этих самых карт? Ольга Арсланова: А потом еще и отказывается страховку выплачивать, потому что… Владимир Ульянов: Всегда можно найти формальный повод. Петр Кузнецов: Но а были случаи, есть случаи, когда банк возвращает украденную сумму? Или он сразу разводит руками… Владимир Ульянов: Есть. Петр Кузнецов: …и «Извините, да, это нас касается, но вот…» Владимир Ульянов: В каждом конкретном случае может происходить по-разному. И в большинстве случаев, опять же, банки… обычно это все-таки организации клиентоориентированные. Бывает, что даже в нарушение каких-то формальных принципов или, там, не знаю, есть законодательство, по которому банку нужно возмещать деньги. К примеру, если пользователь обращается в течение… (ну, вкладчик, клиент)… в течение суток с момента этой операции, банк должен сначала вернуть деньги, а потом уже начать расследование и понять, кто виноват. Сам ли вкладчик, или кто-то еще. Может, кто-то внутри банка. Но в любом случае деньги возвращаются. Бывает, что человек обратился позже. Он где-то за рубежом был или не получил вот эту СМСку о том, что списание было, своевременно. Но даже при этом бывает, что банк возвращает деньги. Именно ради того, чтобы показать, что мы клиентоориентированы. А потом старается вернуть эти деньги. И в конце концов, нужно понимать, что деньги клиента – это и деньги банка. Фактически это одно и то же. Банк ими пользуется. Поэтому нельзя вот так разделять: это ваши деньги и, пожалуйста, ваши проблемы. Петр Кузнецов: Да, можно сказать, просто носитель средств этого клиента, общих. Ваши меры безопасности от мошенников? Что делаете, как предупреждаете? С этим вопросом наши корреспонденты вышли на улицы разных городов. Вот какие ответы получили от наших телезрителей. СЮЖЕТ Ольга Арсланова: Как вы оцениваете уровень подкованности жителей российских городов? Все верно? Владимир Ульянов: Неплохо. Но больше всего мне понравился совет снимать деньги со сберкнижки. Если мы говорим о киберпреступлениях… Ольга Арсланова: Т. е. тут точно шансов не будет. Владимир Ульянов: …в этом случае надежнее. Ну как, нет, на самом деле есть… Ольга Арсланова: Ну только если вы идете с этими деньгами по улице и какой-нибудь олдскульный, простой преступник может их отнять. Петр Кузнецов: И потом в новостях появляется: ограбили… Владимир Ульянов: …бабушку на 2 млн. Петр Кузнецов: …5 млн. руб., да, в Москве украли у безработного. Ольга Арсланова: Да. Давайте послушаем Михаила из Свердловской области. Здравствуйте. Зритель: Здравствуйте. Ольга Арсланова: Слушаем вашу историю. Зритель: У меня к вам такой вопрос. 30 ноября я утром положил деньги за Интернет. Затем вечером открыл онлайн-банк (у меня карточка ВТБ), открыл онлайн-банк и вижу, что у меня с карты на карту был перевод 10 тыс. 140 руб. А я этого не делал. Т. е. я написал сразу, обратился в горячую линию, мне сказали: был взломан онлайн-банк и был перевод. Затем я, сегодня вот понедельник, сегодня я написал жалобу в банк, что вот так-то и так-то у меня случилось. И скажите, пожалуйста, какую-то ответственность банк вообще несет? И могут вернуть вообще эти деньги? И как это мне сейчас быть? Петр Кузнецов: Причем конкретно. Но у вас намного больше, хочется надеяться, больше же было 10 тыс., да? Зритель: Да-да-да. Петр Кузнецов: Т. е. это какая-то незначительная часть? Зритель: Да-да, было где-то 80 тыс., 90 тыс., 10140 сняли. Петр Кузнецов: Мне даже больше интересно, почему вот какая-то конкретная сумма. Хорошо, что так вы. Потому что – снимай все, чего, какие 10 тыс.? Ольга Арсланова: Или 10 раз по 10. Владимир Ульянов: Но опять же, тут нужно понять, почему такое произошло. На самом деле так часто действительно бывает, как вы описали. Что сначала списывается какая-то небольшая сумма. Если она действительно списалась… Петр Кузнецов: А, проверка? Владимир Ульянов: …то начинают повторные операции приходить. И в этом случае нужно действительно заблокировать. Петр Кузнецов: Смотрите, как оперативно отреагировал человек по этой сумме незначительной. Владимир Ульянов: Да, но опять же… Или если не заблокировал и если можно списывать, то списывается дальше. До тех пор, пока не обнуляется. Или, к примеру, запрашивается 100 тыс., а если нет 100 тыс., то 50, потом 20. И так, пока не подберется к той сумме, которая реально есть. Петр Кузнецов: Но об ответственности еще спросил наш телезритель. Мы в принципе проговорили, но вот конкретная история. Как банк, что к банку, с какой стороны подойти? Владимир Ульянов: Самое главное – это своевременно заявить об этой спорной операции. В течение суток. Потом нужно… Петр Кузнецов: 30-го – это в принципе уже сколько получается… Владимир Ульянов: Насколько я понимаю, что там в течение дня все происходило. Если человек вечером сообщил об операции, которая произошла когда-то с утра или когда положил там деньги, то в принципе это укладывается в этот временной интервал. Поэтому тут все хорошо. И я надеюсь, что банк оперативно отреагирует на это, разберется и деньги вернет. Петр Кузнецов: Тем более что это не та сумма, да? Владимир Ульянов: Тем более, что если не будет доказано то, что пользователь каким-то образом посодействовал этому списанию. К примеру, он где-то раскрыл свои данные об Интернет-банке: логин, пароль. Или кому-то передал. Даже по телефону когда сообщают, вот тем же самым злоумышленникам. Ольга Арсланова: Тоже уже с целью заработка. Владимир Ульянов: Если человек там выдал, он сам сказал, и даже если его принудили к этому или, что называется, развели, – то в любом случае человек причастен. Но если он ничего никому не рассказывал, то большой вопрос: откуда эти данные у злоумышленников? Может быть, все-таки они из банка их взяли, эти данные, и вошли с логином-паролем и сняли деньги? Ольга Арсланова: Но этот вопрос оставим риторическим. Спасибо вам большое за комментарии. Владимир Ульянов, руководитель Аналитического центра Zecurion, был у нас в гостях. Мы говорили о мошенничествах и о том, сколько денег воруют преступники с карт российских клиентов.