• 107016, Москва, ул. Неглинная, д. 12, к. В, Банк России
  • 8 800 300-30-00
  • www.cbr.ru
Что вы хотите найти?

Мы выявили схему обмана с размещением QR-кодов в общественных местах

6 февраля 2023 года
Интервью
Поделиться

Мошенники придумали новую схему обмана с QR: в общественных местах они размещают коды, при переходе по которым гражданам обещают соцвыплаты. Под предлогом их начисления у людей выманивают данные для хищения денег. Об этом в интервью «Известиям» рассказал зампред Банка России Герман Зубарев. Для защиты от злоумышленников ЦБ готовится внедрить двухдневный «период охлаждения», в течение которого подозрительные переводы будут приостановлены. Если банк не выполнит необходимых процедур по защите клиента, он должен будет вернуть всю похищенную сумму в течение 30 дней, заявил Герман Зубарев. Законопроект с этими нормам получил одобрение заинтересованных ведомств, в ближайшее время его планируется принять в первом чтении.

Звонки через мессенджеры — восходящий тренд

— Прошлый год показал, как быстро телефонные мошенники подстраиваются под актуальную повестку: в свои легенды обмана они оперативно интегрировали новости о спецоперации, о санкциях, о частичной мобилизации. По данным Банка России, появились ли уже в 2023 году новые сценарии мошенничества?

— Несмотря на внешнее многообразие мошеннических легенд, которые простому гражданину всё труднее распознать, злоумышленники всегда используют два базовых сценария. Они либо предлагают что-то заманчивое — скидки, выплаты, бонусы, либо запугивают, например, потерей денег, уголовным преследованием, оформлением кредита на ваши паспортные данные и так далее.

Сейчас злоумышленники пытаются использовать технические новинки. Мы выявили схему обмана с размещением QR-кодов в общественных местах. В объявлениях предлагается получить бесплатную консультацию о гарантированной социальной выплате. Когда человек сканирует QR-код, он попадает в чат-бот в мессенджере. Далее выясняется, что ему якобы положена выплата. Пособия для социально незащищенных, выплаты студентам, семьям с детьми — у мошенников заготовлен целый перечень таких обещаний, чтобы завлечь и обмануть как можно больше людей. Далее злоумышленники под предлогом оформления якобы полагающейся выплаты запрашивают у человека личные и финансовые сведения. На самом деле эта информация нужна им для хищения денег с карты.

— Где именно размещаются такие QR-коды?

— Там, где они очень заметны, но при этом их размещение трудно контролировать — на стенах домов, в подъездах, на остановках, на парковках, других общественных местах и других объектах наибольшего скопления людей. Это не новый вариант взаимодействия с жителями городов — раньше, например, рекламу с номерами телефонов часто размещали на асфальте. Использование чат-ботов у людей вызывает дополнительное доверие, создавая ощущение работы автоматического сервиса какого-то официального ведомства.

— Мессенджеры всё чаще используются в мошеннических схемах. Например, в прошлом году банки зафиксировали, что злоумышленники стали обзванивать россиян с помощью месенджеров вместо сотовой связи. В Банке России видят риски в развитии таких технологий?

— Такие риски существуют. Злоумышленники и раньше пользовались мессенджерами для голосовых звонков. Другое дело, что сейчас такие звонки — восходящий тренд. Мошенники вынужденно переходят на этот способ контакта, потому что применять обычную телефонную связь всё сложнее. Мобильные операторы обязаны противодействовать мошенническим звонкам, действуют антиспам-сервисы, которые в том числе продвигают и банки.

Несмотря на всплеск интереса мошенников к популярным мессенджерам, их основным каналом по-прежнему остается телефонный звонок. Мы активно боремся с этими киберпреступниками. Например, в 2022 году, по предварительным данным, мы инициировали блокировку более 750 тыс. номеров, что в четыре с лишним раза превышает данные за предыдущий год. Это максимальный показатель с 2019 года, когда мы начали работу с операторами связи по блокировке таких номеров.

К сожалению, в случае с мессенджерами контроль со стороны операторов связи не работает, так как звонок идет через интернет-линию. Очень высок уровень анонимности звонящего, поэтому привлечь его к ответственности крайне сложно. К таким звонкам надо быть еще более внимательным, чем к традиционным телефонным. Не надо раскрывать свои личные и финансовые данные. Настоящие сотрудники банков, работники правоохранительных или государственных органов не звонят гражданам через мессенджеры, не рассылают фото или сканы документов.

«Период охлаждения» и возврат средств

— В прошлом году ЦБ выдвинул инициативу — обязать банк-плательщик на два дня приостанавливать зачисление денег на подозрительные счета, которые содержатся в специальной базе Банка России. Когда, по вашим расчетам, получится запустить этот механизм — так называемый период охлаждения?

— Законопроект об этом подготовлен при участии Банка России и в сентябре прошлого года внесен в Госдуму. Надеемся, что в ближайшее время он будет принят в первом чтении.

ФинЦЕРТ Банка России ведет базу данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, в которой содержатся в том числе сведения о совершенных операциях, о плательщиках и получателях денежных средств. Сведения этой базы будут доводиться нами до банка-отправителя и банка-получателя платежа, и они, в свою очередь, будут обязаны использовать эту информацию в своих антифрод-системах.

Документ предусматривает, что банк плательщика в течение двух дней не будет подтверждать перевод на счет, который содержится в нашей базе данных. «Период охлаждения» нужен, чтобы у гражданина было время на осмысление происходящей ситуации. Ведь он не сразу осознает, что находится под влиянием аферистов, которые под различными предлогами пытаются убедить его расстаться с деньгами. За два дня человек сможет обдумать свои действия или кто-то из родственников может заметить, что происходит что-то неладное.

— Инициатива об обязанности банка возвращать похищенные у россиян деньги вызвала дискуссию в профессиональном сообществе. Удалось ли прийти к консенсусу с кредитными организациями относительно сроков и суммы возврата?

— Она включена в тот же законопроект, который находится в Госдуме. Почему мы ее предлагаем? Сегодня по закону клиент банка не вправе рассчитывать на возврат похищенных денег, если он нарушил условия договора, то есть передал реквизиты карты, SMS-код, логин и пароль от интернет-банкинга. Однако, как мы с вами и говорили в начале, к сожалению, сейчас широко распространено мошенничество с использованием методов «социальной инженерии», когда человек под воздействием киберпреступников раскрывает им эти данные или добровольно переводит деньги. В итоге доля возврата очень низкая — за девять месяцев 2022 года всего 4,8% от всего объема похищенных денежных средств возвращено банками пострадавшим гражданам.

Мы стремимся изменить ситуацию с возвратами, стимулируя банки лучше защищать своих клиентов и повышать качество работы антифрод-систем. Если эти функции кредитная организация выполняет некачественно, она будет нести финансовую ответственность.

Инициатива предусматривает, что если банк — отправитель платежа получил от нас информацию из базы о случаях и попытках перевода денежных средств без согласия клиента, но не учел ее в своих бизнес-процессах и совершил перевод на такой счет, то он обязан будет вернуть клиенту похищенные средства в полном объеме в течение 30 дней.

Кроме того, банк — получатель платежа сможет ограничивать дистанционный доступ к счету, если информация о таком счете есть в базе о случаях и попытках осуществления переводов денежных средств без согласия клиента.

По законопроекту достигнут консенсус, завершилось межведомственное согласование, все заинтересованные министерства и ведомства его поддержали. Кроме того, мы намерены дополнительно обсудить с рынком и экспертами инициативы регулятора по противодействию кибермошенникам и социальной инженерии в середине февраля на уральском форуме «Кибербезопасность в финансах» в Екатеринбурге.

— Банк должен будет вернуть всю сумму в любом случае или только при определенных условиях?

— Законопроект предполагает, что банк должен предпринять все разумные меры по защите клиента. В первую очередь речь идет о «периоде охлаждения». В то же время банк не вправе ограничить клиента в распоряжении деньгами. И если, несмотря на двухдневный «период охлаждения», на попытки банка разубедить клиента, он всё равно настоял на переводе, тогда банк освобождается от обязанности компенсировать похищенное.

Случаи ошибочного попадания в базу дропперов единичны

— Когда речь идет об ограничении дистанционного доступа к счетам из базы ЦБ о подозрительных трансакциях, появляются опасения, что туда могут попасть добросовестные россияне. Каким образом формируется эта база?

— База формируется на основе данных, которые банки и операторы платежных систем передают в Банк России по жалобам клиентов о несогласии с операцией. В ней большое количество параметров — уникальных идентификаторов, в том числе сведения о совершенных операциях, о плательщиках и получателях денежных средств. Должны быть весомые доказательства, чтобы счет попал в нашу базу данных о случаях и попытках по операциям без согласия клиентов. Если, например, покупатель товара на маркетплейсе остался недоволен, хочет вернуть деньги и пишет заявление в банк, то это не значит, что кредитная организация автоматически признает счет продавца мошенническим.

Поэтому сейчас случаи ошибочного попадания в базу единичны, и для них установлен механизм быстрого исключения сведений из базы. Человек может обратиться для этого с заявлением в свой банк или в интернет-приемную Банка России, после чего в течение нескольких дней будет принято решение об исключении из базы. Добросовестным клиентам банков, которые не вовлечены в противоправную деятельность, опасаться не стоит.

— Можно ли базу ЦБ с информацией о подозрительных операциях назвать «базой дропперов»?

— Официально у нее другое название, как я уже говорил. Однако эксперты и участники рынка также называют ее «базой дропперов». Это лица, которые занимаются выводом и обналичиванием похищенных денег.

— Сколько сейчас в ней содержится счетов россиян?

— Речь идет о десятках тысяч. При этом утверждать, что именно столько злоумышленников действует в России, неправильно. Во-первых, у мошенника может быть несколько счетов, через которые выводятся похищенные деньги. Во-вторых, информация о дропперском счете появляется в нашей базе, когда пострадавший обратился в свой банк с заявлением о хищении денег, банк проверил информацию и направил ее в ФинЦЕРТ Банка России — специальное структурное подразделение регулятора, на базе которого с участием всех банков проходит информационный обмен, в том числе о подозрительных операциях при денежных переводах. Но далеко не все пострадавшие от мошенников граждане обращаются с заявлением, в том числе в полицию.

Наталья Ильина

Известия, 06.02.2023

Сохранить в PDF