Станислав Кузнецов: «У мошенников на первый план выходит скимминг» - «Интервью»
Число попыток снять деньги с пластиковых карт с начала года увеличилось в разы, мошенники не оставляют попыток установки на банкоматы фальшивых накладок для считывания данных клиентов банков. Зачастую терминалы цепляют тросом и похищают, чтобы потом разрезать автогеном. От уличных преступников не отстают и хакеры, выуживающие данные с помощью фишинга. О том, как ни один преступник не останется безнаказанным, заместитель председателя правления Сбербанка Станислав КУЗНЕЦОВ рассказал в интервью корреспонденту РБК daily.
Чипы и банкоматы
— Можно ли выделить какое-то одно направление банковского мошенничества, которое встречается наиболее часто?
— У большинства людей преступники ассоциируются с вооруженными людьми в масках, которые забегают в банк и кричат: «Всем лежать, деньги на бочку!» Это вчерашний день, сегодня такое скорее экзотика. Преступники в основном промышляют мошенничеством. Здесь на первый план выходит скимминг — установка на банкоматах или платежных терминалах неких устройств и миниатюрной видеокамеры. Устройства считывают магнитную ленту с банковской карты, видеокамера фиксирует вводимый PIN-код, потом эти данные используются, чтобы снять деньги с изготовленного дубликата карты. В Европе принят целый комплекс дополнительных мер борьбы со скиммингом: ужесточаются наказания за подобные преступления, мало где можно увидеть карты с магнитной полосой, везде используются чипы. У нас наоборот: около 80% карт с магнитной полосой и лишь 20% карт чиповые.
Мошенники работают и «напрямую» с клиентами, разными способами добиваются у них конфиденциальной информации о счетах, номерах карт, PIN-кодах, разовых паролях. Еще одна их «аудитория» — это сотрудники банка, прежде всего операционисты во фронт-офисе. Мошенники пытаются воздействовать на наших сотрудников через поддельные документы и недостоверную информацию, пытаются узнать конфиденциальную информацию о счетах клиентов или путем подложных действий, или попыткой принудить, упросить, убедить.
Кроме этого, мы фиксируем достаточно большое количество нападений на наши устройства самообслуживания и банкоматы — в неделю происходит несколько таких случаев. Приходят, цепляют банкомат тросом, увозят, а потом разрезают автогеном. Попытки взломать удаленно наши автоматизированные системы, прежде всего «Мобильный банк» и «Сбербанк Онлайн», также фиксируются, однако до сих пор не отмечено ни одного случая взлома систем Сбербанка — у нас достаточно степеней защиты, чтобы выдержать подобные атаки.
— Сбербанк планирует отказываться от магнитных карт в пользу чиповых, чтобы бороться со скиммингом?
— Мы переходим на чиповые карты, однако не все клиенты готовы прийти и поменять магнитную карту. Для массового же обмена сегодня нет такой высокой степени угрозы. Тем не менее как только в Европе был принят пакет мер по борьбе с мошенниками, преступники стали мигрировать в другие страны, прежде всего в СНГ и Россию. Этот процесс начался где-то с осени прошлого года, когда мы зафиксировали всплеск случаев мошенничества. В прошлом году, даже с учетом осени-зимы, у нас было 500 случаев скимминга. А за первый квартал этого года уже было зафиксировано 240 случаев скимминга, то есть можно говорить о многократном росте. Сейчас мы в неделю снимаем с банкоматов в среднем два-три, а иногда и три-четыре комплекта незаконно установленного оборудования.
— Появляются ли какие-то новые типы таких устройств?
— Они могут различаться по внешнему виду, но смысл один и тот же — запоминающее устройство, снимающее с магнитной полосы карты всю информацию. Зафиксировав оборудование, мы не бежим его снимать, а вместе с правоохранительными органами начинаем устраивать засады, мониторить, снимать на камеры и фиксировать все, что происходит с этим оборудованием. Благодаря такому взаимодействию количество задержаний преступников резко выросло. При обысках в их квартирах нередко изымаются десятки незаконных устройств. Результативность правоохранительных органов достаточно высокая, но банк тоже не стоит в стороне. На подавляющем большинстве наших устройств самообслуживания и банкоматов установлено антискимминговое оборудование, дорогостоящая штука.
— Сколько стоит один комплект?
— Мы договариваемся с разными компаниями, в среднем цена составляет около 2 тыс. долл. Тем не менее банк несет на себе эту нагрузку. Но оборудование установлено не везде. В основном скимминг встречается в крупных городах, а также в Подмосковье и небольших городах, близко расположенных к крупным. Повальной установки скиммингового оборудования по всей стране нет.
У банка в арсенале есть и другие меры по борьбе с подобными преступлениями. Например, мы искусственно блокируем большое количество карт, которые подозреваем в скимминге. Допустим, где-то было установлено оборудование, или скомпрометирована карта, или мы уточнили какую-то информацию у правоохранительных органов. В таких случаях мы блокируем целую серию карт сознательно, чтобы деньги не были выведены со счетов, информируя об этом клиентов. Мы приносим извинения и в короткий срок перевыпускаем карту. Если раньше это занимало две-три недели, то сегодня в отдельных случаях изготовить новую карту мы можем за несколько часов.
— Как удается выявлять скимминговое оборудование?
— В первую очередь этим занимаются службы, работающие с банкоматами. Также обнаружить установленное оборудование может инкассация, сотрудники кассовой службы, ремонтные бригады. Есть еще специальные обходы и объезды, в том числе нашей службы безопасности. Кроме того, мы выстраиваем специальную систему поощрения и мотивации наших сотрудников.
— Как производится это оборудование?
— Это все кустарное производство, хотя многие устройства сделаны с высоким качеством. Каких-то базовых знаний изготовление скимминговых устройств, конечно, требует, но специального образования на уровне университета не нужно. Те, кто устанавливает это оборудование, его не производят, они приобретают уже готовые комплекты. Подавляющее большинство задержанных — это граждане Молдавии, Приднестровья, Украины, некоторых других стран ближнего зарубежья. И российские граждане, безусловно, тоже есть.
Интернет и SMS
— Выявляются ли незаконные операции по выводу средств клиентов через интернет-банк?
— Такая проблема есть. Увеличивается количество попыток выводить деньги с использованием «Сбербанк Онлайн». Но речь идет не о взломе системы банка, а о фишинге, выуживании данных у клиентов. То есть это та ситуация, когда сами клиенты вольно или невольно, в том числе, например, заражая свои компьютеры вирусными программами, передают информацию. Мы на этапе создания системы предвидели подобное и для защиты от мошенников сделали так, что все финансовые операции, совершаемые в «Сбербанк Онлайн», подтверждаются одноразовым SMS-паролем, который отправляется вместе с реквизитами самой операции. Одноразовый пароль — очень критичный элемент безопасности, его нельзя никому разглашать и ни в коем случае нельзя вводить, если полученные в SMS реквизиты относятся к операции, которую вы не совершали. Но есть клиенты, которые либо вводят полученный пароль, не проверяя реквизиты, либо поддаются на так называемую «социальную инженерию».
Допустим, вам кто-то позвонил и представился менеджером Сбербанка. Вам говорят: «Знаете, вы только что получили SMS о проведенной операции. Это сбой в наших системах. Чтобы операцию отменить, нужно ввести код, который содержится в SMS». Или просят этот код сообщить. В нашем SMS написано: «Проверьте реквизиты. Не используйте пароль для отмены или подтверждения операции, которую вы не совершали. Никому не сообщайте пароль». К сожалению, некоторые клиенты на эти уловки мошенников попались. К нам обратилось несколько сотен человек, которые в течение полутора последних лет столкнулись с такой проблемой. Мы очень долго обсуждали в банке, что делать. Банк не компенсирует потери, когда люди сами добровольно отдают деньги из собственного кошелька преступникам, — в этом нет вины банка. Тем не менее некоторое время назад состоялось заседание комитета по розничному бизнесу банка, были проанализированы особенности преступлений против клиентов, пострадавших за этот период.
И оказалось, что среди этих клиентов много пенсионеров и людей, которых нельзя назвать богатыми. Услуга интернет-банка новая, люди не предполагали такого вида обман, а мы, возможно, не провели должной информационной работы. В связи с этим было принято решение восстановить средства на счетах клиентов, пострадавших от фишинговых атак, общая сумма возмещения составила 52 млн руб., его смогут получить около 600 человек — почти все пострадавшие клиенты за последние полтора года. Но это разовая акция, проведение которой не означает, что люди из-за своей невнимательности или беспечности могут совершенно спокойно передавать кому угодно все свои коды. Вы же свой кошелек не отдаете направо и налево?!
— Если клиент сам передает данные по счетам, как банк может бороться с фишингом?
— Мы должны рассказывать как можно больше о том, какие бывают типовые ситуации. Когда клиент приходит в банк, наши сотрудники рассказывают о необходимых мерах безопасности. В том числе клиенту понятно объясняется, зачем при вводе PIN-кода в устройстве самообслуживания прикрывать клавиатуру рукой, а еще лучше использовать преимущества чиповой карты. Такую работу мы проводим во всех отделениях банка. Но даже в случае успешной фишинговой атаки мы 70—80% выведенных средств перехватываем.
— Как?
— У нас есть свои секреты, я не буду сейчас о них говорить. Мы не допускаем вывода денег на другие счета. Защита создается специальными продуктами и методиками.
— А ваши IT-технологии помогают добраться до мошенников?
— Мы очень тесно сотрудничаем с правоохранительными органами. Сегодня мы смело можем утверждать, что уровень раскрытия преступлений, связанных со Сбербанком, приближается к 100%. Мы не знаем ни одного случая, который бы завис на полгода-год или остался бы не раскрытым. Для нас это вопрос чести.
— Какое самое крупное мошенничество удалось раскрыть?
— Я думаю, что это недавний случай, произошедший около месяца назад. В Иркутске средства клиентов переводились на счета преступников. Через сложную схему выводилось 129 млн руб., успешно вывели около 80 млн руб., остальное удалось задержать. В краже средств не были виноваты наши IT-системы: преступники использовали поддельные документы. Они приходили в офис и по фальшивому паспорту получали дополнительную карту к счету. Потом преступники приходили еще раз, меняли номер сотового телефона и писали соответствующее заявление, чтобы сообщения мобильного банка приходили на другой номер. В результате у настоящего клиента не было никакой информации о движении денег. После этого через использование современных IT-технологий деньги с одного счета попадали на второй, потом на третий и так далее, в итоге потом средства выводились из банка. Первопричиной было применение поддельных документов. Но, к большому сожалению, мы столкнулись с предательством своего сотрудника из иркутского отделения. Замешанный в преступлении сотрудник сбежал, мы его нашли вместе с правоохранительными органами: он был задержан в Сочи и этапирован в Иркутск. Половина оставшейся суммы уже возвращена в банк, по остальным средствам мы проводим работу. Еще не все участники банды задержаны, хотя несколько человек уже арестованы. Эта операция проводилась полицией при поддержке ФСБ, сейчас ведется следствие.
— Замешанный в деле сотрудник был руководящего уровня?
— Нет, это рядовой сотрудник, он просто имел доступ к определенному типу информации о клиентах. К сожалению, такие случаи бывают, хотя и крайне редко. Важно, что мы достаточно быстро их раскрываем.
Звонок в ЦБ
— Достаточно ли у банков инструментов для борьбы с мошенниками?
— Очевидно, что нужно улучшать законодательство. В этой сфере мы имеем единую позицию с соответствующими подразделениями ЦБ. Нужны какие-то изменения для того, чтобы поддержать политику противостояния новым видам банковских преступлений, связанными с кибератаками, взломами, использованием IT-технологий. Необходимость изменений понимают и в Росфинмониторинге, поэтому я думаю, что вскоре поправки в законодательство будут вноситься. Необходимо сделать более жестким наказание за некоторые виды банковских преступлений.
Кроме того, нужно обязать банки ужесточить внутренние процедуры по защите IT-систем и противостоянию киберпреступности. Нам представляется, что здесь должен быть единый стандарт, который может регулироваться законодательством. Сегодня и банки, и законодатели должны очень внимательно отслеживать существующие и появляющиеся тренды. Если активно развиваются IT-технологии, а мобильный телефон и компьютер становятся кошельками, значит, и законодательство не должно опаздывать.
— Удается ли выявлять счета, куда выводятся средства клиентов?
— Со многими банками есть соглашения, на основании которых мы помогаем друг другу предотвратить сомнительные операции. Зачастую службы безопасности банков взаимодействуют в оперативном режиме и все подозрительные операции перепроверяют по несколько раз. Это стало правилом хорошего тона в российской банковской системе. Взаимодействие такого рода охватывает более сотни банков точно. Сотрудничество это есть не только в Москве, но и на региональном уровне. Счета Сбербанка иногда используются для вывода средств клиентов других банков, но подобных случаев мы фиксируем все меньше. Мошенники понимают, что мы будем каждый случай расследовать до конца — у нас хватит для этого сил. Пока мы не найдем преступников, мы не остановимся.
Могу привести недавний пример, когда пострадало большое количество пенсионеров и людей, получающих различные социальные выплаты и использующих систему пособий на приобретение лекарств. В Москве стали в массовом порядке предлагать людям получить некую компенсацию за лекарства, которые им положены. Чтобы получить компенсацию, пострадавшим предлагалось заплатить налог, давался номер счета Сбербанка, куда надо было перевести деньги. Большое число людей легко поддались на такую достаточно примитивную схему мошенничества. Некоторые люди доверяют подобным звонкам, потому что мошенники представляются службой социальной поддержки. «Вы были когда-то в данном санатории, мы можем компенсировать потраченные деньги. У нас же подарки невозможны в стране — вы налог заплатите», — говорили звонившие. Доверчивые пенсионеры рассказывали, сколько они потратили на санаторий, и мошенники просили перевести 13% от суммы в качестве налога. После получения средств на счет мошенники обещали компенсировать полную сумму траты, однако это не происходило. От аферы пострадали несколько сот человек, от каждого пострадавшего злоумышленники получали по чуть-чуть, по несколько тысяч рублей, но в итоге получилась достаточно внушительная сумма. По этому случаю служба безопасности Сбербанка тесно взаимодействовала с партнерами из других банков и полицией. В результате большая банда была задержана: туда входило 27 человек, у них был даже собственный call-центр. Все деньги удалось перехватить. Я думаю, что в ближайшее время средства будут возвращены пострадавшим.
Интервью взяла Екатерина БЕЛКИНА