Банки должны нести больше ответственности за действия финансовых мошенников, заявила глава Банка России Эльвира НАБИУЛЛИНА на недавнем выступлении в Государственной Думе: «Нужно продолжать работу, и большая ответственность должна быть на банках, потому что сейчас последствия социальной инженерии расхлёбывают только сами люди».

Не так давно мошенничество в финансовой сфере представлялось всем преступлением, совершаемым с применением сложной подготовительной работы, связанным с исследованием жертвы, слежением за ней, привлечением ресурсов по подкупу персонала банков, для выяснения остатков средств на счетах жертвы, и сложными манипуляциями с завладением техническими средствами доступа к счетам.

Однако теперь такая работа по определению наличия или отсутствия денег у жертвы не нужна. Преступный конвейер работает ежедневно, без остановки: всё сводится либо к телефонному разговору по заранее просчитанной схеме, либо к легкомысленному отношению к своим персональным данным, либо проблемам с информационной безопасностью. И если вопросы информационной безопасности финансовые организации и разработчики приложений могут «закрыть» сами, защищая клиентов процедурами и правилами работы сервисов, то оградить доверчивых людей от разговоров с мошенниками средствами информационной безопасности пока не удаётся.

Единственный действенный способ пресечения телефонного мошенничества на сегодня – это прекращение телефонного разговора. «Мобильное мошенничество» легко остановить, просто не устанавливая мобильные приложения, обещающие золотые горы без усилий.

Про мобильные приложения мы поговорим отдельно, но сегодня хотим обратить внимание на телефонные разговоры.

Люди старшего поколения не всегда могут объективно оценить опасность простого разговора с неизвестным. Ну в самом деле, чем опасно общение по телефону? Увы, приёмы, которые используют мошенники, способны принести значительный ущерб и порой не только финансовый. Они основаны на использовании приёмов социальной инженерии – комплекса методов, позволяющих манипулировать людьми. Казалось бы, как можно заставить человека против его воли совершить поступок, какое-либо действие, без физического воздействия на него? И не просто совершать действия, но и делать это в течение долгого времени. Еженедельно появляются новости о том, как тот или иной гражданин, несколько дней переводит деньги мошенникам, повинуясь их распоряжениям. Что это? Зомбирование? Какие-то секретные уловки? Оказалось, всё слишком просто.

У человека есть реакции на внешние раздражители. Если холодно – наденет валенки и свитер, если жарко – кроссовки и футболку. Из окна дует ветер – закроет окно. Водителю светит в глаза солнце – прикроет стекло козырьком. Есть сложные реакции (чай с молоком – одеться – пойти в магазин – купить молока – вернуться – сделать чай – добавить молока), есть простые (собака лает – обойти собаку). Грубо говоря, есть стандартное поведение среднего человека, которое легко предсказать. И есть стандартные реакции, которые также легко прогнозируются. Не забираясь в дебри, скажем, что мошенники используют стандартные реакции. Но не на действия, а на слова.

И для этого мошенники используют специальный алгоритм разговора. Это заранее проработанный и продуманный алгоритм диалога, цель которого – деньги жертвы. Этот алгоритм является базисом, на котором построены все схемы мошенничества. Он называется «претекстинг».

Никакого волшебства. Любая система работает без ошибок, если возможность совершения этих ошибок ограничена. Грубо говоря, если заблокировать операционисту доступ к коррсчёту, то он не сможет случайно или умышленно натворить там бед. В нашем случае мы говорим о «ведении» жертвы по диалогу, не позволяя ей свернуть в сторону – для этого просто не будет возможностей. Более того, так как диалог заранее подготовлен и в нём максимально учтены возможные ответы жертвы, то пауз в разговоре не будет – на каждый вопрос жертвы, звонящий даст уверенный ответ.

Например, при звонке из якобы службы безопасности банка, жертве сообщают, что банк зафиксировал операцию, вызывающую подозрения, например, списание 50000 руб. за покупку игровой приставки в адрес интернет-магазина. Если в ответ жертва сообщит, что у неё нет таких средств на счёте, звонящий без паузы сообщит, что согласно выписке из счёта, сегодня на счёт поступили средства в размере 55000 руб.

Если жертва заявляет, что у нее нет счёта в банке, от имени которого звонят, в ответ ей скажут, что средства поступили «в соответствии с распоряжением Правительства РФ номер, дата из банков (и станут перечислять все крупные кредитные организации, чтобы наверняка «попасть») в рамках государственной программы объединения обслуживания счетов граждан». Расскажут, что согласно указанному распоряжению, счет жертвы может обслуживаться в любом из уполномоченных банков. Всё это будет говориться уверенно, без запинки.

Когда мы прослушиваем записи этих разговоров, мы часто поражаемся, какую, простите, ерунду несут мошенники. Они не к месту употребляют финансовые термины, путают понятия, говорят совершенно неверные вещи и, тем не менее, говорят это всё уверенно, без запинки и добиваются результата.

Но мало говорить уверенно и без запинки. Мало употреблять красивые слова, жонглировать финансовыми терминами. Для полного подчинения жертвы необходима эмоциональная встряска. Поэтому в любом диалоге, мошенники используют схему «напугать – спасти». Для чего вначале разговора жертве сразу сообщат, что с её счета списана большая сумма денег. Или что со счёта ушли средства в пользу террориста, и жертва становится соучастником преступной сделки. Или иную негативную информацию, способную напугать. Практически все, кому звонили мошенники, даже догадываясь, что их обманывают, испытывали тревогу за свои деньги из-за слов мошенников о списании средств со счёта. В любом случае, даже если мы подозреваем, что общаемся с мошенником, сообщение о том, что мошенникам доступна информация о счёте, будет неприятна.

Итак, напугать получилось. Жертва растеряна. И тут звонящий предлагает выход из ситуации. При этом он всячески демонстрирует её обыденность: «да, неприятно. Но в целом, не страшно. Мы, опытные люди, знаем, как с этим бороться – вам нужно всего лишь…». И вот жертве дают инструкцию для спасения денег. Варианты спасения разные: перевод денег на некий «безопасный счёт», оформление кредита, подтверждение блокировки списания кодом из СМС и т.д. Жертву могут напугать не только потерей денег, но и уголовным наказанием за «разглашение разговора» кому-либо. И родственники узнают о потере денег только через несколько дней.

Конечно, крупные потери случаются нечасто. Тысяча, две, пять – вот ежедневный улов мошенников. Но так как конвейер работает без отдыха и ежеминутно обзваниваются миллионы граждан, то громадный общий объём похищенных средств формируется из этих небольших списаний.

С одной стороны, потеря даже пяти тысяч – это преступление, которое должно расследоваться. С другой, – возврат пяти тысяч потребует колоссальных затрат. Процедура поиска средств пока стандартная¹: запрос в первый банк – ответ через неделю – запрос во второй банк – ответ через неделю – запрос в третий и так далее. А банков в цепочке может быть и десять, и двадцать. В лучшем случае удаётся выйти на дропа (это тот, кто оказывают мошенникам услуги по транзиту и обналичиванию похищенных средств – обычно безработный, подросток, согласившийся заработать, разрешив использовать его банковскую карту – либо снимая деньги в банкомате, либо переводя их по реквизитам за небольшой процент. И перевод, и передача денег осуществляется такому же дропу, которых в цепочках несколько – конечный получатель надёжно скрыт), после чего цепочка обрывается.

Интересно, что некоторые граждане, получая входящие звонки от мошенников, пытаются вывести их из себя, унизить, обругать – заставляя говорить долго, пытаясь выматывать звонящих. Можно сказать, что такие попытки усиливают алгоритм, и лучше от них никому не становится. Алгоритм ежедневно совершенствуется – это аналог нейросети, которая обучается за счёт жертв, внося коррективы в схему алгоритма. Кроме этого, мошенники быстро реагируют на изменения законодательства и нормативных актов – подстраивая алгоритм для использования в новых условиях.

Так, в период самоизоляции сильно развивалось направление, связанное с предложением удалённой работы – гражданам, оставившим резюме на сайтах поиска работы, поступали звонки от работодателей с предложением удалённой работы. Проводили собеседование, просили заполнить подробную анкету, в том числе с указанием платёжных реквизитов для «перечисления заработной платы». Эти данные могли использовать сразу же (просили установить мобильное приложение для контроля работы, которое предоставляло удалённый доступ к смартфону жертвы, с помощью чего «уводили» доступ к счетам), или использовали впоследствии для стандартного хищения средств через «безопасный счёт», пугая жертву значительным объёмом сведений о ней.

В это же время появились и методы, направленные на хищение средств у юридических лиц. Организация удалённой работы, особенно у небольших фирм, невнимательно относящихся к информационной безопасности, позволила мошенникам оформлять и совершать платежи по звонку в бухгалтерию «от руководителя».

Хотя в данной статье мы не говорим подробно об иных методах мошенничества, всё же упомяну способ, который появился и регулярно «всплывает» в ответ на информацию о запуске государственных социальных программ, об инициировании или повышении объёмов выплат разным «льготным» категориям граждан – речь идёт о предложении помощи в получении субсидий, льгот, пособий, возврате налогов и т.д. Для этого, как правило, мошенниками создаются мобильные приложения, обещающие такие выплаты без сбора и оформления необходимых документов – достаточно лишь указать свои персональные данные и реквизиты для зачисления средств. Программа сообщает о найденных пособиях из разных бюджетов, льготах, компенсациях. При запуске приложение имитирует поиск и обязательно итоговое начисление – около 300 тысяч рублей: пользователю сообщается, что к получению ему лично «подготовлено социальных платежей на 300 тысяч рублей». Для получения средств предлагается оплатить услуги «юристов по оформлению операции из бюджета». Понятно, что сумма, направленная на «оплату услуг», исчезает навсегда. Объёмы скачиваний таких приложений и отзывы обманутых пользователей позволяют судить о многомиллионных доходах мошенников.

В итоге мы имеем ежедневный вал звонков от людей, вооруженных прекрасно работающим, постоянно совершенствующимся способом хищения средств граждан.

Теперь о том, как с этим бороться.

Да. Методы информационной безопасности позволяют уберечь средства граждан, если сама операция выглядит подозрительно или получателем является «токсичное» лицо, ранее замеченное в транзитных переводах или в подобных операциях.

Однако, что делать с тем, кто просто совершает перевод на 1 тысячу рублей? Или возвращает ошибочно перечисленные ему средства от незнакомца по реквизитам, продиктованным этим незнакомцем? Как определить, что человек, совершающий операцию, делает ее добровольно, а не под воздействием мошенника? Опрашивать каждого клиента – не выход. Задерживать операции – опасно. Формировать механизмы контроля, наподобие процедур ПОД/ФТ? Это тоже приводит к задержкам, ошибкам, снижению удовлетворённости клиентов и закрытию счетов.

На базе Ассоциации российских банков создан Комитет по повышению финансовой грамотности. Мы предлагаем кредитным организациям присоединиться к нам, войти в Комитет для создания единого центра компетенций по вопросам защиты граждан от социальной инженерии и организации взаимодействия банковского сообщества в рамках решения проблемы финансового мошенничества. Мы возьмём на себя организацию встреч с МВД, Министерством финансов, для выработки взаимодействия по данному направлению.

Исходя из опыта (а мы еженедельно проводим по несколько семинаров с гражданами, участвуем в формировании контента, пишем статьи, публикуем инструкции по финансовой безопасности), можем сказать, что единственное работающее сейчас решение –  простое и, простите, скучное:

Банковскому сообществу сейчас вместо формирования солидного объёма лекций о принципах и условиях работы экономики, об инвестициях в криптовалюты, работе с драгоценными металлами, необходимо делать упор на финансовой безопасности и финансовой гигиене.

Для того, чтобы остановить волну хищений средств, необходимо в каждой кредитной организации страны выделить всего одного человека, в обязанности которого будет входить еженедельное информирование клиентов о том, как себя вести в случае звонка по поводу его финансов. Причём всеми материалами для такого информирования мы его обеспечим.

Комитет готов оказывать поддержку кредитным организациям в части организации и проведения мероприятий с гражданами – у нас есть готовые программы обучения, спикеры, материалы.

Только так мы сможем остановить масштабные хищения. Этими действиями мы снизим нагрузку на МВД, уберём значительную часть гневных комментариев на банковских форумах и поднимем социальный авторитет сектора и Банка России. 

Текст: Максим СЁМОВ, Председатель Комитета по повышению уровня финансовой грамотности АРБ, руководитель направления Управления методологии бизнес-процессов Азиатско-Тихоокеанского банка

Материал также опубликован в печатной версии Национального банковского журнала (май 2023)