С 1 января 2013 года после вступления в силу 9-й статьи федерального закона ФЗ-161 от 27 июня 2011 года «О национальной платежной системе» в случае перевода денежных средств без согласия клиента оператор (банк) должен будет возместить ему ущерб.

Глубинная причина мошенничества – наличие возможности и безнаказанность действий. Криминологи утверждают, что большинство экономических преступлений совершается именно в силу способствующих обстоятельств. До 80% сотрудников способны совершить мошенничество просто в силу возможности реализовать задуманное и остаться при этом без наказания. К этому стоит добавить слабость контрольных процедур и неэффективность исполнения законодательства и судебной практики. Следующая причина – наличие мотива. Это может быть выгода или давление. Еще одна причина – оправдание. Люди, которые осознанно идут на мошенничество, склонны себя оправдывать. Это может быть индивидуальный стимул вида «сделаю только один раз» или «само в руки плывет».

Основные способы мошенничества

Мошенничество в системах ДБО (дистанционного банковского обслуживания) в отношении юридических лиц является сейчас одной из наиболее актуальных и сложно решаемых проблем для банковского сообщества. При этом страдают, в основном, небольшие фирмы, которые не слишком осведомлены в области информационной безопасности. Сценарии подобных махинаций уже широко известны, поэтому опишу их совсем коротко.

Например, внесение на клиентский компьютер различными способами вредоносного ПО, которое затем либо тривиально ворует ключ электронной подписи клиента, в том случае, если не применяются носители ключа, не позволяющие его извлечь, либо дает возможность злоумышленнику воспользоваться электронным ключом клиента удаленно, запустив клиент ДБО на своем компьютере. Клиент при этом должен оставить носитель ключа электронной подписи клиента подключенным к своему компьютеру, что, ввиду свойственной человеку лени, он и делает, не извлекая носитель ключа даже в то время, когда работы с ДБО не ведется. Тем самым злоумышленник получает отличную возможность поуправлять его счетом. На этом можно было бы поставить точку – счет клиента под контролем злоумышленника, деньги списываются, и все. Но с подобным методом мошенничества до неприличия просто бороться. Достаточно запретить использование клиента ДБО с IP-адресов, не принадлежащих клиенту. Ведь подобный клиент – небольшая фирма – использует обычно всего один-два IP-адреса (как правило, из офиса и из дома главного бухгалтера), и проблема была бы легко решена установкой обычных разрешений только на эти один-два адреса и запрещений входа со всех остальных.

Однако не все так легко и просто. В этом извечном противодействии брони и оружия опять победило оружие, то есть мошенники. Разработано новое вредоносное ПО, которое позволяет отправлять платежи прямо с компьютера клиента – этакий аналог удаленного управления. На самом деле и программа для удаленного управления тоже сгодится, если брать во внимание полное пренебрежение многих клиентов правилами информационной безопасности и всеобщую компьютерную неграмотность. Поэтому возможностей у злоумышленника для совершения мошеннических действий хоть отбавляй. Подобный клиент может просто не заметить, что его компьютер находится под внешним управлением и «живет своей жизнью», выполняя какие-то операции сам по себе. Своеобразный бунт искусственного разума в стилистике «Матрицы».

После того, как злоумышленник отправлял нужные платежи в нужном ему направлении, компьютер клиента блокировался различными способами. Сначала это была DDoS (Distributed Denial of Service – отказ в обслуживании) атака на банк, чтобы не дать клиенту проверить остаток по счету. Затем, поскольку компьютер клиента уже находился под контролем, злоумышленники могли стереть всю информацию, маскируя это под технический сбой и выигрывая себе время. Пока клиент восстанавливал компьютер и заново заходил в систему ДБО, деньги уже уходили со счета и их успевали снять со специальных счетов-дропперов.

Последние версии ПО, разработанные злоумышленниками, стали еще более изощренными. Используя уязвимости в программах компьютера-клиента, это зловредное ПО мало того, что позволяет произвести перечисление денег, но еще и корректирует демонстрируемую клиенту сумму остатка на счете на сумму перечисления. Остаток соответствует ожиданиям клиента, и злоумышленник выигрывает себе время. Обман вскрывается либо после сверки платежей и выявления расхождений, либо пока не закончатся деньги на счете, и при попытке выполнить перечисление платежка вернется с сообщением «недостаточно денежных средств на счете для перечисления». Клиент-то уверен, что деньги у него на счете есть.

При этом свежие версии этого вредоносного ПО не обнаруживаются известными антивирусами. Разработчикам антивирусного ПО, чтобы изловить зловредную программу, препарировать ее, включить в базу данных сигнатуры для последующего уверенного обнаружения, нужно время.

Итак, если деньги еще не были сняты мошенниками, но перечисление уже выполнено, банку, в котором находится счет-получатель (специальный дропперский счет или пластиковая карта), нужны юридические основания для того, чтобы не дать злоумышленникам снять деньги. И это даже при условии, что банк знает, что операция мошенническая! А для того, чтобы злоумышленника назвать мошенником, необходимо эту формулировку согласовать с правоохранительными органами. И, самое главное, добиться того, чтобы заявление в полиции приняли и по нему начались процессуальные действия.

Есть еще одна хитрость: заявление необходимо подать по месту совершения преступления. И вот тут-то и начинается самое веселое. Что считать местом совершения преступления в случае, если преступление совершено в Интернете, например, если банк-плательщик и клиент – жертва мошенничества – находятся в Новосибирске, банк-получатель имеет юридический адрес в Москве, а дропперский счет открыт в Петербургском филиале жителем, прописанным в Ленинградской области, а сама операция перевода денег осуществлялась вообще неизвестно откуда, например, человек управлял компьютером, сидя где-то во Вьетнаме с неустановленного IP-адреса? Благодаря этой пикантной особенности, полиция зачастую отказывается принять заявление, рекомендуя подавать заявление «в другом месте», поскольку полицейские отлично понимают, что это с большой долей вероятности очередной «висяк» – дело, которое так и не будет никогда раскрыто, и по которому надо будет писать кучу бумаг без явного результата на выходе и возможности получить поощрение или иные выгоды. И пока происходит юридическая процедура, злоумышленники спокойно снимают деньги исчезают с глаз долой. Цель достигнута. Занавес.

Пластиковые карты

Тут вариантов мошенничества еще больше, поскольку в качестве платежного средства, пластиковые карты с магнитной полосой применяются с начала 70-х годов. Вот далеко не все варианты мошеннических действий с картами:

1. Подделка карт, когда информация с магнитной полосы, полученная различными способами эмбоссируется на пластик (белый пластик) или переписывается магнитная полоса уже готовой карты.

2. Использование чужого банковского счета или карты для заказа услуг, при этом доступ к счету или карте получают различными способами: например, с использованием поддельного заявления на изменение адреса или требования повторного выпуска кредитной или дебетовой карты, либо путем поддельного заявления и доверенности на изменение телефонного номера клиента, либо подделки заявления на перевыпуск SIM-карты на существующий номер в случае использования наиболее популярного sms-канала авторизации для получения доступа.

3. Двойная прокатка карт в торговых точках.

4. Получение карты по поддельному заявлению при предъявлении поддельных документов.

5. Использование украденных или потерянных карт, когда карта вовремя не заблокирована по причине несвоевременного информирования банка клиентом или задержки блокировки со стороны банка по тем или иным причинам.

Что касается интернет-мошенничества, тут список возможных сценариев весьма обширен:

– всевозможные мошеннические транзакции с использованием номеров уже полученных тем или иным способом реквизитов карт. Свежие данные карт являются ходовым и быстро портящимся товаром, и группы злоумышленников торгуют этой информацией, в том числе эта информация, к сожалению, довольно часто утекает от недобросовестных сотрудников, имеющих к ней доступ;

– злоупотребления торгово-сервисных точек в сети Интернет (изменение цены, повторные неавторизованные операции: в случае совершения покупки производится еще одна или несколько операций, которые владелец карты не одобрял);

– получение доступа к счету путем внедрения различными путями вредоносного ПО на компьютер клиента, с которого производится работа со счетом/картой с целью получения контроля над счетом. Сценарий ничем не отличается от описанного выше в ДБО для юридических лиц, правда случаев таких меньше, поскольку меньшее количество систем обслуживания физических лиц является типовыми, а сумма, на которую могут рассчитывать мошенники, также меньше, все-таки бюджет даже небольшой фирмы, как правило, крупнее личного бюджета обычного человека, поэтому количество эпизодов мошеннических операций несколько меньше.

Основная проблема, связанная с карточным мошенничеством – это принципиальная уязвимость применяемой уже более сорока лет технологии, разработанной во времена, когда глобальные сети только упоминались в научной фантастике, да и то редко. Поэтому попытки снизить риски сейчас путем введения каких-то высокотехнологичных мер защиты по использованию карт с магнитной полосой напоминают попытку водрузить ультрасовременный мощный двигатель от «Феррари» на боевую колесницу времен начала нашей эры.

Карта с магнитной полосой была и осталась платежным средством, которое должно предъявляться непосредственно продавцу ее владельцем, и его личность при этом проверяется и удостоверяется при помощи предъявляемого владельцем документа. Однако при бурном развитии Интернета карта, как удобное платежное средство в автоматизированных расчетах, стала применяться все шире, понадобились новые механизмы защиты. Так, на карте появился дополнительный код CVV – специальный код, нанесенный на обратную сторону карты и предназначенный для автоматизированной проверки. Данная мера оказалась далеко недостаточной: ведь эти данные легко подсмотреть, держа карту в руках. Они же содержатся в интернет-магазине при проведении интернет-операции и могут быть скомпрометированы. Дальнейшим развитием защиты операций стала дополнительная аутентификация, или 3D-secure, которая, кроме всего прочего, отправляет запрос по независимому каналу обмена информацией (обычно это sms) или предлагает иные варианты независимой от компьютера, на котором производятся операции, авторизации, такие, например, как изящный бумажный рулончик с одноразовыми паролями.

С целью снижения рисков, связанных с хищением реквизитов карты, получили распространение виртуальные карты, которые создаются для интернет-операции, но не эмбоссируются на пластике, оставаясь исключительно в системе управления платежами в виртуальном электронном виде. На нее переводится определенная сумма денег. После проведения операции или ряда операций за короткий промежуток времени карта уничтожается. С целью защиты от копирования магнитной полосы и иных видов мошенничества, связанных с применением карт с магнитной полосой, карты постепенно заменяют на чиповые, защита которых значительно выше. Однако этот процесс идет весьма медленно, поскольку требует модернизации и замены многих элементов инфраструктуры, таких, как банкоматы, платежные терминалы и т. д.

Из вышесказанного напрашивается совершенно правильный вывод, что, несмотря на все применяемые меры защиты, часты случаи реализованного мошенничества, использующего как уязвимости технических средств, так и социальную инженерию. Поэтому отдельной проблемой, которую необходимо решать, является разрешение спорных ситуаций в правовом поле, поскольку Интернет, будучи трансграничной сетью, игнорирует политические границы. Правовые споры при взаимодействии через Интернет, а тем более преступной деятельности, являются кошмаром для правоохранительных органов и лакомым кусочком для юридических фирм. К счастью, предпринимаются попытки создать общий правовой базис подобных отношений. В системе международных документов особое место принадлежит и Конвенции Совета Европы о преступности в сфере компьютерной информации ETS № 185, подписанной в Будапеште.

Значимость этого нормативно-правового акта переоценить трудно, ведь сегодня Интернет используется весьма широко как поле для развивающейся коммерции. При этом существуют огромные возможности и для мошенничества: преступление по законам одной страны может не считаться преступлением по законам другой, и мошенник вполне легально может избежать ответственности. Главное при этом – не попасться в руки правоохранительных органов этой первой страны до истечения срока давности. Таким образом, эта Конвенция предназначена, в том числе, для эффективного противодействия преступникам в сети Интернет. Несмотря на то, что она была принята Советом Европы, она открыта для подписания любыми государствами, независимо от того, являются ли они участниками ЕС или нет. Вот почему в Конвенцию вошли также такие государства, как США, Россия и Япония.

Развивается законодательство и в России. Уже действует ряд статей УК за преступления в сфере компьютерных технологий, 14 июня 2011 года был принят федеральный закон о национальной платежной системе ФЗ-161. При этом отдельные его главы и пункты из глав вводятся в действие постепенно. Часть пунктов 9-й статьи вступают в действие с 1.01.2013. А пункты 12 и 15 вводят полную финансовую ответственность банков за все несанкционированные операции, совершенные от лица клиента. Также, 4-й пункт вводит обязанность банков информировать клиентов о каждой операции, совершенной по его электронным средствам платежа, что, безусловно, увеличит контроль со стороны клиента за состоянием его счета, поскольку до этого подобная услуга была опциональной, а зачастую еще и платной, и не все клиенты к ней подключались.

Но, несмотря на это, можно прогнозировать всплеск мошенничеств, в том числе и со стороны недобросовестных клиентов, пытающихся «украсть у самих себя», благо формулировки закона это позволяют, а потом получить «автоматическую» компенсацию от банка.

Предотвратить всплеск попыток мошенничества банкам помогут дополнительные меры безопасности: внедрение систем контроля платежей, дополнительных факторов аутентификации, таких, как одноразовые пароли и sms-ключи для совершения операций, а также другие средства проверки платежей. В случае инцидента клиента попросят объяснять, при каких обстоятельствах у него одновременно украли (списали со счета) не только деньги, но и мобильный телефон, не защищенный блокировкой и PIN-кодом.

Получат распространение средства защиты современных мобильных телефонов, поскольку наиболее распространенный независимый канал дополнительной авторизации часто использует мобильные телефоны для sms-оповещения. Получит широкое распространение и страхование банковских информационных рисков.

Большая работа предстоит юристам по отстаиванию интересов банков в судах. Клиент тоже не сразу получит свои деньги, поскольку закон не оговаривает срок, в течение которого деньги должны быть возвращены клиенту, что дает возможность банкам задерживать выплаты, а клиентов также тратить массу времени и сил, решая вопрос с банком через суд.

Вводя «презумпцию виновности» банков, федеральный закон «О национальной платежной системе» побуждает банки выстраивать более сложную систему информационной безопасности электронных платежей. Это сделает дистанционное обслуживание и операции с пластиковыми картами более безопасными, но куда более дорогими и менее удобными, от чего точно не выиграют ни клиенты, ни банки. Как выполнить требования закона, при этом не просто освоить бюджеты, а еще и выстроить действующую систему безопасности, – эти темы станут ключевыми на семинаре «Национальная платежная система: защитим банковский бизнес», который пройдет 24 апреля в Novotel Moscow Centre.

Узнать подробнее…