«Деньги пропали со счета Сбербанка. Восемь тысяч рублей с помощью СМС были переведены на счета в Екатеринбурге, а мой счет был в Ижевском отделении Сбербанка. В полиции сообщили, что хищение денег со счета совершено мошенниками с помощью дубликата сим-карты, притом что сообщения об операциях на мой телефон не приходили. Дело отправлено в архив, никто не собирается искать мошенников. Банк на мое заявление ответил, что разбираться должно МВД, а они ответственность нести не собираются, поскольку таких случаев много», — рассказал нам свою историю «Эксперту» житель Ижевска Яков Мальцев.
Точных данных, сколько денег украдено с банковских счетов граждан, не существует: судя по статистике МВД, в январе–июле этого года в России зарегистрировано немногим более 94 тыс. преступлений, совершенных с использованием компьютерных и телекоммуникационных технологий. Это немного (на 2,4%) больше, чем за аналогичный период прошлого года, но почти ничего нам не говорит — неизвестно, сколько из этих преступлений относятся непосредственно к краже денег с банковских счетов. Раскрываемость по этой категории — 26%. «Статистики нет. Данные по всем мошенничествам со сбережениями не раскрываются, и сказать, насколько эта проблема значима, очень трудно», — подтвердил в беседе с «Экспертом» Дмитрий Янин, председатель правления Международной конфедерации обществ потребителей (КонфОП).
Масштаб потерь
Сами банки практически никогда не разглашают информацию о потерях от кибератак, опасаясь за свою репутацию, поэтому почти все данные о киберубытках носят оценочный характер. Есть оценки Банка России — он получает информацию об инцидентах от всех финансовых организаций, а с 1 июля 2018 года российские банки должны в обязательном порядке информировать ЦБ об экономических последствиях киберинцидентов для себя и своих клиентов. Согласно статистике Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России, ущерб российских банков и платежных систем от действий киберпреступников в 2017 году достиг 1,35 млрд рублей. Объем всех несанкционированных операций, совершенных с использованием платежных карт, эмитированных на территории РФ, в 2017 году составил 961,3 млн рублей.
Но вполне может оказаться, что масштабы потерь от киберугроз гораздо выше цифр, которые приводит ФинЦЕРТ. По данным Bi.zone, дочерней структуры Сбербанка, оказывающей услуги по защите активов и репутации бизнеса в интернете, только лишь в результате деятельности одной киберпреступной группы Carbanak в 2017 году в России было проведено 20 фишинговых рассылок, направленных в 200 банков, 11 из которых прошли успешно и принесли злоумышленникам более 16 млн долларов.
Компания Positive Technologies, специализирующаяся на вопросах кибербезопасности, подводя итоги прошлого года, отметила в своем докладе, что именно частные лица наиболее интересны злоумышленникам: на них пришлось около 26% атак, следом со значительным отставанием идет госсектор (13%), а банки и онлайн-сервисы находятся лишь на третьем месте с восемью процентами. При этом семь из десяти атак совершались непосредственно для вывода денег и лишь 23% — для получения данных.
Подсчитать потери самих банков от кибератак всегда проще, чем потери их клиентов. «Результаты проведенного нами исследования показали, что один день простоя в результате кибератаки до тридцати процентов опрошенных нами банков оценивают в 50 миллионов рублей. Остальные банки, участвовавшие в опросе, оценили возможный ущерб из-за отказа в работе корпоративной инфраструктуры в течение одного дня в сумму от 10 до 50 миллионов рублей (семь процентов опрошенных), 25 процентов — от двух до десяти миллионов рублей, а 38 процентов — в сумму от полумиллиона до двух миллионов рублей, — приводит данные опроса Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies. — Помимо прямых финансовых потерь от киберинцидента необходимо помнить и о последующих затратах на восстановление корпоративной инфраструктуры после вывода из строя всех ресурсов домена. Эти расходы тоже составляют часть общего ущерба. Двенадцать процентов банков оценивают такие расходы еще в 10–50 миллионов рублей, а каждый третий банк (33 процента респондентов) готов потратить на эти мероприятия от двух до десяти миллионов рублей».
Наконец, отдельная и довольно крупная статья потерь — кража баз данных; по информации самих банков, ущерб от нее составляет 50 миллионов рублей и более.
Уязвимы со всех сторон
Множество жалоб на кражу средств с банковских счетов так или иначе связаны с кражей данных из СМС-оповещений, а то и вовсе с подменой сим-карты пользователя. Это довольно распространенная у мошенников схема: получение дубликата сим-карты по подложной доверенности в офисе оператора. Но есть и другие случаи, когда СМС-оповещение, напротив, могло бы спасти ситуацию.
В 2014 году Лидия Калентьева получала наследство, и вместе со счетом в Сбербанке ей навязали кредитную карту с лимитом 30 тыс. рублей. Картой Лидия ни разу не пользовалась и решила ее закрыть — и оказалось, что со счета кредитной карты было списано 28 200 рублей. Деньги были списаны для оплаты сотовой связи, в частности звонков в другие города и перевода на счета других мобильных. Оператор МТС подтвердил факт мошенничества, но банк непреклонен и требует с своего клиента теперь уже 60 тыс. рублей, с учетом процентов. В полиции дело сдано в архив, обращение в прокуратуру оказалось безрезультатным — уже дважды Лидии пришлось отбиваться от коллекторов.
Еще один случай: клиент банка использовала счет и карту для оплаты ипотеки. Она надеялась, что деньги, внесенные на карту, там же и хранятся, но оказалось, что они были потрачены на поездки на такси, в том числе по Амстердаму и Берлину, где потерпевшая никогда не бывала. СМС-оповещения по карте подключены не были, и она не знала о несанкционированных списаниях. На это в банке лишь разводят руками: мол, сами виноваты. «У нас нет наказания за то, что банки проводят нетипичные для клиента платежи, — говорит Дмитрий Янин. — Банк начинает нести ответственность за операции по карте лишь после звонка с просьбой заблокировать карту. Но до момента такого уведомления весь риск лежит на клиенте, и какие-то нетипичные сделки — выдача денег или ночные покупки в Замбии — все это не является основанием для наказания банка».
Есть у банков и еще одно оправдание: сети телеком-операторов недостаточно защищены и могут быть взломаны хакерами, а кроме того, уязвимы и сами смартфоны — вернее, установленное на них программное обеспечение, включая приложения, даже официальные. «Мобильные телефоны не просто звонят и отправляют СМС — это компьютеры в кармане, на них установлено огромное количество программ. Естественно, программы могут быть уязвимы и иметь какие-то дырявые места», — поясняет Мария Воронова, руководитель направления консалтинга компании Infowatch.
Какие опасности может нести в себе программное обеспечение, описывают эксперты по безопасности компании Positive Technologies в отчете за 2017 год. Специалист нашел дырку в ПО Apple Pay в версии iOS 10.3: при оплате сообщение с телефона может быть перехвачено и подменено, благодаря чему преступник может многократно списывать в свою пользу деньги со счета, изменить сумму списания и адрес доставки товаров. Эта «дыра» работала не только при оплате непосредственно в точке продаж, но и при совершении операций удаленно или в случаях привязки счета к мобильному приложению другой компании, например какой-то из служб такси. При этом, если пользователь заметит пропажу денег, то Apple Pay окажется ни при чем, ведь кража произошла не на стороне платформы, а на стороне платежной системы, платежная система укажет на продавца, а логика продавца товара или услуг проста: он свои обязательства по покупке или продаже выполнил, а кто за них заплатит, ему все равно. Конечно, платежные системы, банки, продавцы и разработчики устраняют «дыры» в своем ПО и выдают клиентам рекомендации по безопасности, но гарантировать, что новая уязвимость не будет найдена или создана, никто них не может.
«Современные технологии телефонной связи практически беззащитны перед преступниками — можно легко перехватывать звонки и СМС, генерировать фальшивые звонки с любого нужного телефонного номера (например, у абонента будет высвечиваться номер колл-центра банка), наконец, можно легко перевыпустить чужую сим-карту по поддельной доверенности, — предупреждает Дмитрий Кузнецов. — На сегодняшний день проблема не имеет технического решения. Банки, как и их клиенты, самостоятельно обеспечить надежность телефона как удостоверения личности не могут».
Так что пока все участники удаленных платежей ловко переводят стрелки друг на друга и на самого клиента. «В среднем банковские мобильные приложения довольно безопасны, но при условии, что пользователь не пренебрегает антивирусными средствами и базовыми правилами информационной безопасности, — говорит Даниил Чернов, руководитель направления безопасности приложений “Ростелеком-Solar”. — Но, как правило, в случае хищения средств с использованием мобильного приложения ответственность лежит на клиенте, так как он не обеспечил безопасность устройства. Доказать вину банка или разработчиков ПО в данном случае очень сложно».
Клиент всегда виноват
Другой нашей собеседнице пришлось совсем туго: свой депозитный счет в одном из крупных банков она открывала онлайн, из личного кабинета, два года им пользовалась, а потом он исчез вместе со всеми деньгами. У банка в системе отражаются закрытые вклады, деньги с которых ушли на текущие счета, но исчезнувшего счета нет, как нет и денег, которые на нем хранились. «Сумма, для меня существенная, испарилась, — говорит пострадавшая. — По документам банка все вклады закрыты и деньги вернулись на карту. То есть о счете, о котором я говорю, ни одного упоминания вообще нет. Но я помню другое движение денег между счетами и картой. Поскольку все операции были только онлайн, я не могу понять, что и как произошло. Единственный выход я видела в сквозном пересчете всех средств. Это какая-то мистическая история, поскольку абсолютно никаких доказательств у меня нет, а по документам из банка все сходится, и я уже сомневаюсь, в здравом ли я уме. Это дико неприятное чувство. Но все-таки надеюсь, что это либо чудовищная ошибка, либо какое-то мошенничество и с моим разумом все в порядке».
Очевидно, что в этом случае произошел либо сбой в системе, либо масштабная кибератака, но ни в том ни в другом инциденте банк признаваться не готов.
Случаи таких мистических исчезновений средств со счетов, открытых онлайн, не единичны — в этом случае удобство оборачивается против клиента: у него не остается на руках никаких подтверждений, что счет был открыт. Это вообще серьезная проблема новых банковских технологий.
«Удобство — это меньше сложных технологий и меньше проверок, — говорит Артем Гавриченков, технический директор Qrator Labs, компании, которая оказывает услуги по киберзащите российских банков и платежных систем. — А чем меньше проверок, тем ниже защищенность, и чем более простые технологии используются, тем проще злоумышленнику их обходить. Однако это совсем не значит, что чем больше проверок, тем выше безопасность. Нужен некий баланс между удобством и строгостью защиты, и этот баланс обычно далек от того состояния, которое пользователь без специального образования и навыков считает удобным для себя».
Но проблема не только в том, что клиенты хотят удобных и простых онлайн-сервисов, — российские банки пока еще не осознали, что данные нужно серьезно защищать. За редким позитивным исключением у финансовых организаций, не входящих в топ-10 крупнейших банков России, стратегия информационной безопасности просто отсутствует, полагает Артем Гавриченков. Хотя хакерам кража данных именно «оптом» становится все более интересной. «Следует отметить смену методов действий злоумышленников: еще четыре-пять лет назад они выводили деньги преимущественно путем взлома “андроидов” (устройства с операционной системой Android. — “Эксперт”) у частных лиц, далее был бум взломов внутренних сетей банков, в которые проникали также для последующего вывода денег. Сейчас банковские сети защищены лучше, и злоумышленники адаптировали сценарии атак, все так же нацеливаясь на внутренние сети банков (для вывода денег), но с использованием фишинговых рассылок или писем от имени предварительно взломанных контрагентов и партнеров целевого банка», — рассказывает Дмитрий Кузнецов. А это означает, что сейчас хакерам проще получить доступ к базам данных с информацией о клиентах, после чего уже прицельно атаковать напрямую частных лиц. Такая атака не опустошает клиентские счета сразу, и банку нет нужды сообщать об угрозе всем клиентам.
Зато у банков есть стратегия защиты от клиентов, которые лишились своих денег.
«Чаще всего банки в правилах оказания услуг, например в онлайн-кабинетах, большую часть ответственности перекладывают на клиента. Клиент не читает правила и ставит галочку, что он со всем согласен. И в случае возникновения проблемы ему эту “простыню” условий предъявляют. Соответственно, большинство этих историй заканчиваются не в пользу клиента, поэтому доказать здесь что-либо действительно чаще всего невозможно», — отмечает Дмитрий Янин.
Когда клиент банка теряет деньги, получается, что обратиться за защитой ему фактически не к кому. «Человек вынужден бороться с банком, который значительно сильнее. Нынешнее законодательство на все сто процентов нелояльно клиенту. Я бы не советовал людям даже нанимать юристов, они могут лишь получать деньги, не всегда даже добросовестный адвокат в состоянии помочь, потому что, когда практически все риски по онлайн-сделкам лежат на потребителе, юристу остается очень мало возможностей для борьбы за клиента», — говорит Дмитрий Янин.
Но есть у банков и альтернатива киберзащите, киберграмотности и кибергигиене — страховка от кражи средств со счета. Сбербанк, например, предлагает за страховку на 350 тыс. рублей заплатить 5310 рублей, что при ставке депозита 6,7% составит почти четверть дохода по вкладу. Или попросту сократит доходность по такому вкладу на 1,5 процентного пункта, до 5,18% годовых.