/img/tv.svg
RU KZ
DOW J 29 354,08 РТС 1 637,75 Hang Seng 29 002,59 FTSE 100 7 674,56 KASE 2 375,60 Пшеница 571,00
Погода:
-15Нур-Султан
-2Алматы
DOW J 29 354,08 РТС 1 637,75
Hang Seng 29 002,59 FTSE 100 7 674,56
KASE 2 375,60 Пшеница 571,00
Лжебанкиры и простачки: почему в Казахстане растет оборот рынка мошеннических операций

Лжебанкиры и простачки: почему в Казахстане растет оборот рынка мошеннических операций

О том, как легко украсть деньги с банковских счетов казахстанцев и почему банки не обязаны защищать своих клиентов от мошенников, но вынуждены это делать, – в материале inbusiness.kz.

19 Декабрь 2019 08:00 5810

Лжебанкиры и простачки: почему в Казахстане растет оборот рынка мошеннических операций

Новости

Все новости

История, связанная с кражей 200 млн тенге с банковских счетов казахстанцев кибермошенниками из России, не потрясла гигантов банковской сферы. По большому счету, это не самое крупное хакерское хищение в истории человечества. Как сообщили в МВД, по фактам краж расследуется 42 уголовных дела. В пересчете на одного – менее пяти миллионов тенге получается. Совокупно достаточно внушительная сумма, в среднем эквивалентна приличным накоплениям на банковском депозите. Впрочем, скорее всего, дела обстоят несколько хуже. И озвученная замминистра внутренних дел Маратом Кожаевым на пленарном заседании мажилиса сумма в 200 млн тенге – всего лишь часть киберворовского размаха.

Социальная инженерия

По данным Нацбанка Казахстана, ежеминутно через национальные платежные системы проходит 5,4 млрд тенге, а в день – 3,3 трлн. Сколько из них попадают под определение «мошеннические» – таких данных нет. Или есть, но скрыты в отчетностях правоохранительных органов.

KPMG (аудиторская фирма, входящая в «большую четверку») в результате рутинного исследования внезапно обнаружила, что каждый второй банк страдает от растущих потерь из-за мошенников. Более 60% респондентов из числа банковских служащих утверждают, что так или иначе, но с мошенничеством уже сталкивались. По данным этого международного исследования, посвященного банковским рискам, социальная инженерия вошла в топ-5 вызовов, стоящих перед банками.

Между тем от турецких кибермошенников уже пострадало более двух тысяч казахстанцев. Аферисты создают клоны сайтов Народного банка и казахстанского филиала Сбербанка России и завлекают доверчивых граждан высокими бонусами, разместив рекламу в соцсетях Facebook и Instagram. Ради бонусов люди переходят по ссылке и авторизуются в личном кабинете на фейковом сайте-клоне. Передав данные по карте злоумышленникам, вместо дополнительных бонусов казахстанцы лишаются всех денег на счете.

По словам экспертов IT-индустрии, турецкие грабители, специализирующиеся на кражах со счетов и депозитов, – просто классика киберворовского жанра. Такой вид мошенничества на языке профессионалов называется «фишинг» (фишинг – разновидность социальной инженерии, основанный на человеческой беспечности, доверчивости и незнании основ сетевой безопасности. – Прим.).

«Зачастую люди сами проявляют неосторожность, оставляя данные своей карты на сомнительных сайтах, отключая уведомления об операциях, снимая деньги в непроверенном банкомате, отдавая карту в руки какому-то официанту, который ее куда-то потом уносит», – объясняет причины участившихся краж с банковских карт Кирилл Сарсенов, руководитель направления противодействия транзакционному мошенничеству SAS Россия/СНГ.

Классика киберворовского жанра

«К сожалению, сегодня самым слабым звеном остается человек, и злоумышленники активно этим пользуются, – говорит Евгений Питолин, управляющий директор «Лаборатории Касперского» в Казахстане и Центральной Азии. – К целевой атаке на финансовые учреждения злоумышленники готовятся заранее, изучают потенциальных жертв в социальных сетях, собирают информацию из открытого доступа, после этого пишут именное фишинговое письмо. В случае массовых атак у злоумышленников нет всей информации, но они легко узнают ее у самих пользователей с помощью социальной инженерии. В переписках с людьми, на различных сервисах объявлений граждане сами добровольно раскрывают данные своих карт, остальное – дело мошенника. Кстати, за последний год Казахстан настигло несколько крупных утечек баз данных, и достаточно просто обзвонить людей из базы и проверить их на наличие одной-двух карт ведущих банков – вероятность попадания в точку крайне высока». 

Обычно для «развода» выбирают людей, которые в соцсетях оставляют много информации о себе: где были, что купили, сколько потратили и прочие подробности, еще лучше, если для привлечения внимания пост иллюстрируется фотографией чека или скриншотом выписки по карте…

«Один из самых распространенных способов мошенничества сегодня – это звонок от якобы службы поддержки или безопасности банка. Говорящий очень настойчиво и убедительно просит сообщить информацию, необходимую для получения доступа к его счетам в онлайн-банке. Причем, если злоумышленник обладает какой-то личной информацией о пользователе, то такой разговор может выглядеть очень достоверным, – рассказывает Питолин. – Остаток на счете, выписка с историей операций, последние покупки – такая информация может очень многих убедить, что речь идет о реальном звонке из банка, соответственно, много людей могут потерять деньги, если у мошенников будет к ней доступ. Для осуществления денежного перевода злоумышленникам обычно необходимо выведать одноразовые пароли, которые банк направит на номер телефона владельца карты».

«Также очень распространенная схема – это подложный сайт системы интернет-банкинга. Для таких сайтов мошенники могут даже запустить рекламу в соцсетях, чтобы привести трафик. Или еще бесконтактные переводы через банкомат, когда злоумышленник начинает транзакцию без использования карты, вводит сумму, но не завершает операцию, а следующий человек прикладывает свою карту, сам не зная, переводит деньги на телефон, – продолжает Сарсенов. – В этом случае, мы советуем внимательно смотреть, что пишет устройство. Возможно, сначала придется отменить чужую незаконченную транзакцию, а уже потом вставлять или прикладывать свою карту».

Как защититься? Специалисты говорят, самое главное – не поддаваться панике и помнить, что социальная инженерия работает только потому, что выглядит и звучит очень реалистично.

«Злоумышленники часто звонят рано утром или поздно вечером, чтобы звонок был неожиданным. Если звонит кто-то незнакомый по поводу вашего банковского счета и очень настойчиво что-то требует, надо ставить этот звонок под сомнение. Самое главное – никогда и никому не сообщайте CVV и полученный в SMS код, а также другую информацию о карте, даже если это реальный сотрудник банка. Важно также донести до максимально широких кругов пользователей, как выглядит мошенничество, в том числе телефонное, и как ему противостоять», – говорит Питолин.

Почему банк меня не защитит?

На самом деле банк не обязан стоять на страже беспечности клиентов. Банковская карта для того и предназначена, чтобы максимально упростить процедуры оплаты, обналичивания, переводов. При этом банк никак не контролирует все то, что происходит с картой.

Однако репутационные риски для банка не пустой звук. Ограбленные клиенты, как правило, начинают обвинять банк в том, что не заморозил вовремя карту, не приостановил операцию, которая прошла два-три дня назад, не запустил процедуру chargeback (возвратный платеж), не провел полное и квалифицированное расследование.

Поэтому банки вынуждены тратить силы на то, чтобы обеспечить безопасность денег своих клиентов.

«Начиналось все когда-то очень просто, когда карты только появились, для того чтобы заплатить в интернет-магазине, достаточно было сообщить номер карты, и только на этом основании магазин снимал деньги, – рассказывает Константин Пак, директор центра финансовых технологий и инноваций АФК. – Потом стало понятно, что номер карты не самый секретный реквизит. Следующим шагом платежных систем был придуман секретный номер, который называется CVC/CVV. Это дополнительные цифры которые не так явно напечатаны на карте и совместно с номером карты используются для подтверждения платежа. Когда стало понятно, что и эти цифры, в принципе, тоже можно украсть, как дополнительный уровень безопасности для кредитных и дебетовых карт придумали то, что называется 3D-Secure. Это некая комбинация символов, которая хранится отдельно в базе данных, которая не напечатана на карточке и вводится не на сайте интернет-магазина, а на сайте банка в момент транзакции. Когда транзакция пошла, система перенаправляет на сайт банка, и там дальше идет 3D-Secure. Иногда 3D-Secure замещается или сопровождается одноразовым кодом в SMS – так называемая двухфакторная аутентификация, когда часть данных поступает по одному каналу и часть – по второму. Есть и другие технологии, к примеру, система токенизации, когда для платежа используются токены – виртуальные представления карты».

Некоторые банки идут еще дальше и предлагают за отдельную плату страховать пластиковые карты. В России эта услуга набирает популярность.

«В 2018 году продукт «Защита банковских карт» СК «Сбербанк страхование» приобрели более пяти миллионов человек, сборы по страхованию карт выросли на 30%, а по итогам 2019 года прогнозируется рост более чем на 20%», – цитирует «РГ» Олесю Дунаеву, руководителя управления разработки продуктов и маркетинга СК «Сбербанк страхование».

Однако, по словам Кирилла Сарсенова, все зависит от законодательства каждой отдельной страны.

«Но даже если государство изначально настаивает на возмещении ущерба, человеку предстоит доказать, что со своей стороны сделал все, что мог, и не раскрывал данные карты по неосторожности», – говорит Сарсенов.

То есть даже по застрахованной карте банк может отказать в компенсации украденных средств, если «было нарушение правил пользования застрахованной банковской картой, установленных банком, в том числе вследствие сообщения ПИН-кода карты третьим лицам».

Катерина Клеменкова

Смотрите и читайте inbusiness.kz в :

Проверить контрагента по бизнесу по базе данных станет возможным в конце 2020 года

Об этом в интервью корреспонденту ATAMEKEN BUSINESS сообщил директор департамента общественного мониторинга и работы с административными барьерами Ербол Устемиров.

23 Декабрь 2019 11:17 4389

Проверить контрагента по бизнесу по базе данных станет возможным в конце 2020 года

В конце следующего года заработает интегрированная база данных, где будут сведения об административных правонарушениях, налоговой задолженности и так далее.

«База данных даст предпринимателям возможность проверять своих контрагентов: является ли он лжепредпринимателем, осуществляет ли он свою деятельность», – говорит он.

Кроме того, будет действовать так называемый принцип должной осмотрительности. Если предприниматель перед сделкой увидел своего контрагента в базе в «красной зоне», но, тем не менее, заключил с ним договор, значит, он взял все риски на себя. И если по истечении времени, к примеру трех-четырех лет, налоговики предъявят ему требования по уплате налогов, то их действия будут признаны правомерными. А бизнесмену придется потратиться.

«Но если предприниматель проверил его в базе года три-четыре назад, и контрагент находился в «зеленой» зоне, осуществлял нормальную предпринимательскую деятельность, то этот принцип будет защищать предпринимателя от необоснованных требований госорганов», – пояснил Ербол Устемиров.

В НПП «Атамекен» надеются, что соответствующие поправки в закон будут приняты в ближайшее время, и такая база данных заработает в конце 2020 года.

«Если вы кондитерская и входите на новый товарный рынок, например на рынок Караганды, вы благодаря такой базе можете просмотреть всех потенциальных поставщиков, тех, кто находится в «зеленой» зоне. Это те, кто не привлекался по нарушениям в области СЭС,  это предприятие не проходит процедуру банкротства, что в последующем вам может осложнить  жизнь. Из 10 предприятий вы выберете подходящую компанию», – говорит заместитель директора департамента Мурат Оспанов.

По мнению представителей НПП, создание такой базы данных повлияет и на сокращение теневой экономики. «Когда в России ввели аналогичную базу, у них по итогам прошлого года число обнальных компаний сократилось в пять раз, с 1,1 млн до 200 тысяч», – добавил Мурат Оспанов.

Ранее президент Касым-Жомарт Токаев заявил, что для борьбы с теневой экономикой и незаконным оборотом финансовых средств правительство совместно с Национальной палатой предпринимателей создаст открытую интегрированную базу данных по субъектам бизнеса.

Айгуль Тулекбаева

Что нужно знать, чтобы с вашей карты не украли деньги

Банкам не нравится, когда кто-то пытается ограбить их клиентов.

12 Декабрь 2019 08:25 6351

Что нужно знать, чтобы с вашей карты не украли деньги

Мошенники постоянно изобретают новые способы, как украсть деньги с карт клиентов банков. Простой и надежный способ защитить себя от этого: НИКОМУ НЕ ГОВОРИТЕ ПАРОЛИ ИЗ СМС-СООБЩЕНИЙ!

Этого в большинстве случаев достаточно, чтобы сохранить свои деньги. Как это работает? Рассказываем.

Мошенники могут находиться в любой стране мира. Они заходят в интернет-банк, вводят ваш номер телефона и пытаются сменить пароль.

Но откуда они знают номер телефона и имя-отчество клиента банка? Банки «сливают» им свои базы?

Мошенникам вовсе не обязательно иметь в своем распоряжении базу клиентов (и банки едва ли будут делиться этой информацией). Чаще всего номера телефонов они находят в Интернете. Например, на сайтах бесплатных объявлений. Узнать имя и социальное положение они могут в соцсетях, через различные мессенджеры и сервисы.

Итак, мошенник пытается сменить пароль от вашего личного кабинета в интернет-банке. Банк, видя это и желая удостовериться, что пароль меняет сам клиент, а не кто-то другой, присылает вам СМС-код. И предупреждает: «Никому его не сообщайте!».

И тут вам звонит мошенник. Он представляется сотрудником банка, обращается к вам по имени и говорит: «Кто-то пытается сменить ваш пароль. Ваши деньги хотят украсть! Чтобы мы могли это пресечь, скажите, какой код вам пришел по СМС».

От неожиданности человек может растеряться, испугаться и назвать код. Чтобы этого не произошло с вами, вспомните, как мама говорила: «Дверь никому не открывай!», и добавьте к этому заученному с детства правилу: «СМС-код никому не говори!»

Помните: если «сотрудник банка» по телефону просит назвать секретный код из СМС-сообщения – это не сотрудник банка.

Секретный код – это и есть ваша защита от мошенников. Взломщик не может зайти в ваш личный кабинет в интернет-банке без этого кода. Поэтому он звонит вам и хитростью выманивает заветные цифры из СМС.

Если вы сообщили код, преступник с его помощью меняет пароль и получает доступ к вашему личному кабинету на сайте банка.

Как мошенники «кредитуют» клиентов

Банкам не нравится, когда кто-то пытается ограбить их клиентов. Поэтому они не только отправляют СМС-коды, но и отслеживают подозрительные операции. Нестандартную транзакцию банк заблокирует и позвонит вам, чтобы уточнить: это действительно вы отправляете деньги?

Но появляются новые банковские услуги, и преступники находят новые способы воровства. Последняя «мода» – мошенники, получив доступ к вашему личному кабинету, от вашего имени оформляют кредит онлайн. А поскольку деньги, выданные по кредиту, можно снять только в банкомате, они просят вас сходить и снять.

Почему вы делаете это? Потому что преступник представляется сотрудником банка. Он знает все о ваших тратах в последнее время (еще бы, ведь вы сами дали ему доступ в свой личный кабинет!). Он звонит вам по телефону и говорит, что кредит нужно срочно обналичить, чтобы преступники не успели им воспользоваться.

Вы бежите в банкомат и срочно обналичиваете кредит. Но он вам не нужен.

«Ничего страшного, – говорит мошенник, который продолжает представляться сотрудником банка, – просто закиньте эти деньги на свою карточку. Это можно сделать в банкомате или в терминале. Ваш кредит будет считаться погашенным».

Вы уже привыкли делать то, что он говорит. Идете в терминал и закидываете деньги на свою собственную карту в полной уверенности: никто, кроме сотрудников банка, не видит эти деньги. Но ведь вы дали секретный код мошеннику, и теперь он в вашем личном кабинете видит все. И забирает все.

Причем мошеннику для этого незачем вступать в преступный сговор с кем-либо. Вы любезно предоставили ему доступ в свой личный кабинет, и теперь он легко переводит деньги с вашего счета на свой где-нибудь в Зимбабве.

Это называется социальной инженерией – когда мошенники, как и много лет назад, пользуются доверчивостью людей, но обкрадывают их с применением новейших цифровых технологий.

Банки в ответ находят новые способы защиты. Но пока еще никто не изобрел способ надежно защитить вас без вашего участия. Не сообщайте никому секретный код из СМС-сообщения.

Смотрите и читайте inbusiness.kz в :

Подписка на новости: