В 2015 году число интернет-краж с банковских карт из-за халатности их владельцев выросло на 25% и достигло 75 тыс. случаев. В 2014 году число россиян, которые по собственной неосторожности столкнулись с хищениями денег через интернет- и мобильный банк (ИБ и МБ), составило 60 тыс. человек. Эксперты считают, что показатель в конце года — судя по тренду — будет больше.
Речь идет о россиянах, которые не устанавливали антивирусы на персональные компьютеры (ПК) или сообщали свои логины-пароли для входа в личный кабинет на сайте банка третьим лицам. Это следует из обзора компании Zecurion (один из лидеров в сфере разработки решений по информационной безопасности для банков).
Компания проводила исследование специально для «Известий». В его рамках было опрошено 100 банков-партнеров Zecurion, которые с 2013 года отчитываются перед ЦБ об инцидентах, связанных с хищениями денег со счетов россиян (в том числе через МБ и ИБ).
По оценкам Zecurion, количество пострадавших не по своей вине россиян (потерявших средства со счетов в ходе атаки хакеров на ПК с помощью вирусов, из-за кражи смартфонов) в первом полугодии 2014 года достигло 9 млн. человек (это 10% пользователей интернета в РФ). В первом полугодии 2015-го их число увеличилось на 20%.
По оценке директора департамента аудита защищенности Digital Security Алексея Тюрина, 23 млн россиян активно пользуется ИБ для совершения трансакций через Сеть, заходя в личный кабинет с компьютера; а 17 млн граждан — МБ (через смартфоны/планшеты; на них устанавливаются специальные приложения от банков). По словам Тюрина, число пользователей ИБ за 2014 год выросло на 51%; МБ стали отдавать предпочтение на 58% граждан больше. В Zecurion указывают: кибермошенники чаще атаковали МБ россиян (рост за год на 20%), чем ИБ (плюс 15%).
— Сервисы дистанционного банковского обслуживания несут свои риски: к примеру, ПК часто атакуют с помощью различных вирусов, — комментирует руководитель аналитического центра Zecurion Владимир Ульянов. — Всё большее распространение приобретают атаки на ПК с помощью троянов для кражи логинов-паролей, а затем получение дубликата SIM-карты с целью вывода средств со счета клиента (одноразовые пароли для операции приходят на мобильный телефон). Тем не менее на ПК обычно стоят хотя бы базовые средства защиты (антивирусы, межсетевые экраны), что может пресечь атаку. Впрочем, человеческий фактор не отменишь: иногда клиенты сами открывают страницу ИБ, например, в офисе, отходят от ПК и могут стать потенциальными жертвами хищений. Или подключают ИБ к соцсетям, которые не несут ответственности за утерю денег граждан.
Как отмечает Ульянов, смартфоны еще менее защищены. Многие россияне для упрощения входа в МБ предпочитают вводить четырехзначный код вместо логинов-паролей (это предлагает банк в мобильном приложении для ускорения доступа к счету) и тем самым увеличивают степень уязвимости МБ.
— Кроме того, смартфоны очень уязвимы из-за своей мобильности, — продолжает Ульянов. — Их чаще теряют и воруют, чем настольные ПК, а учетные данные для входа в интернет-банк могут подсмотреть прохожие, посетители за соседним столиком в кафе.
Для снижения рисков атак на ИБ Ульянов предлагает россиянам использовать на ПК несколько операционных систем: одна система будет использоваться для обычной работы и хождения по развлекательным сайтам, а отдельная — для доступа в ИБ, — советует Ульянов.
— Иметь вторую операционную систему на ПК — может, и выход, но удобства не добавляет и от человеческих глупостей точно не защищает, — уверен Евгений Локтев, начальник отдела развития интернет-банка физических лиц Бинбанка.
Между ИБ и МБ Ульянов советует россиянам выбирать первый вариант.
— Скажем, для подтверждения переводов с телефона может ничего не требоваться (или нужен одноразовый пароль, которые присылают на тот же телефон). Понятно, что если аппарат попал в руки злоумышленника, его работа сильно упрощается. В свою очередь, для ИБ обычно требуется или подтверждение по SMS, или отдельная карточка с паролями: появляется еще один уровень безопасности.
Ульянов признает, что всё больше пользователей пользуются МБ в силу простоты и доступности, не слишком задумываясь о вопросах безопасности.
— Логика здесь примерно такая: «Да каким хакерам я нужен», хотя смартфоны не реже заражаются вирусами (ежемесячно бывает 100 тыс. таких случаев — если у пользователя стоит ненадежное ПО), — поясняет эксперт. — Поэтому главная проблема — это даже не ПК, и не смартфоны, а все-таки человеческий фактор. Большинство мошеннических схем направлено против человека и практически нереализуемы без его участия.
Замгендиректора Infowatch Всеволод Иванов советует использовать для платежей ПК и смартфоны/планшеты на платформе IOS: в них меньше уязвимостей. Но Иванов также подчеркивает, что главное — культура клиента: когда клиент реагирует, например, на имитацию обращения банка через фейковое письмо, подмену страницы и SMS или же гражданин добровольно сообщает кому-то свои логины-пароли, он берет на себя повышенные риски.
По данным ЦБ, в 2014 году объем хищений денег с карточных счетов россиян составил 6 млрд рублей. По оценке Group-IB — $289 млн. За 2015 год регулятор еще не оглашал официальные данные по хищению денег у россиян через Сеть. Сейчас ЦБ собирает и анализирует эти сведения в рамках работы Центра по борьбе с киберугрозами FinCERT (запущен летом, но пока не дал ощутимых результатов, из-за того что участие банков является добровольным).
Плюс с 2013 года все банки РФ ежемесячно сдают ЦБ отчетность по нарушениям, связанным с переводами денежных средств клиентов. В ней фиксируются все случаи, связанные с нарушениями при переводе денежных средств клиентами, в том числе через ИБ и МБ. Согласно форме отчетности, банки предоставляют ЦБ таблицу с указанием выявленных нарушений при денежных переводах в бумажном виде. В ней указываются: сам факт инцидента, его дата, оператор платежной системы, последствия нарушения (включая сумму ущерба), предпринятые действия по устранению его последствий, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляются нули. Анализируя отчеты от банков, ЦБ выявляет основные болевые точки банков и платежной системы РФ в целом.
17 сентября 2015 года председатель ЦБ России Эльвира Набиуллина заявила, что «сейчас защита от кибератак входит в топ-3 приоритетов центробанков мира».
По закону «О национальной платежной системе», если средства клиента уже увели мошенники, пострадавший должен обратиться в МВД с заявлением о возбуждении уголовного дела (ст. 159 УК «Мошенничество»). Если мошенническую трансакцию удалось приостановить, банк выяснил в ходе расследования, что клиент действовал добросовестно, тогда средства возвращаются гражданину на счет, с которого они были отправлены.