Силовые структуры
12:05, 25 декабря 2014

Карты, деньги... Надежно ли защищены наши средства?

Анастасия Кислякова
Фото: Евгений Павленко / «Коммерсантъ»

Число преступлений, связанных с хищением денежных средств с пластиковых карт и электронных кошельков с использованием услуги «мобильный банк» растет с каждым годом. Пострадать могут клиенты любой финансовой организации. Вернуть свои деньги возможно, если найти преступника или если пострадавший сможет доказать, что кража произошла по вине банка или сотового оператора. «Лента.ру» разбиралась в проблеме.

Все не так просто

Если у вас украли деньги с помощью услуги «мобильный банк», то не надейтесь на скорый возврат средств. Некоторые пытаются решить проблему месяцами, как, например, Руслан Альховой, у которого неизвестные в апреле 2014 года сняли с карты Сбербанка более 80 тысяч рублей.

Как рассказал Руслан «Ленте.ру», в ответ на его обращение банк сообщил, что спорные операции по перечислению денежных средств были проведены на основании sms-сообщений. Однако номер телефона, который использовался при отправке распоряжений в тот момент, не принадлежал Руслану. Ранее он был записан на его родственницу, но потом, вероятно, его оформили на третье лицо. Таким образом, потерпевший не мог отправлять sms-сообщения о подтверждении перевода денег.

По словам пострадавшего, Сбербанк отказался выплачивать деньги, ссылаясь на то, что перевод средств осуществлялся через «Мобильный банк» и, соответственно, был законным.

«Уголовное дело по статье 159.3 УК РФ «Мошенничество с использованием платежных карт», которое было заведено еще в мае, находится без движения. Следователь утверждает, что пока не удается определить, кто совершил преступление, Сбербанк и оператор сотовой связи не предоставляет ответы на запросы полиции, ссылаясь на конфиденциальность отношений с клиентами», — говорит Руслан.

Представители Сбербанка отказались давать какие-либо комментарии «Ленте.ру».

Статистика раскрываемости подобных преступлений крайне плоха, и в большинстве случаев банки не возмещают украденную сумму. Олег Худяков, юрист портала «Сердитый гражданин», рассказал «Ленте.ру», что, как правило, банки ссылаются на пункт в договоре, где указано, что ответственность за сохранение данных карты (пин-коды, логины и пароли, CVV код) возлагается только на владельца карты. Значит, в утечке этих данных виноват он сам. «Банковские системы давно автоматизированы, и в переводе денег со счета на счет сотрудники банка практически не принимают участия. То есть если пришел запрос на перевод, проверяются всего лишь данные авторизации и аутентификации владельца карты и если все верно — нет причин не осуществлять перевод, так как это обязанность банка перед клиентом», — пояснил Худяков.

Проще всего тем потерпевшим, кто не получал никаких уведомлений на телефон. Ведь по девятой статье федерального закона 161-ФЗ «О национальной платежной системе», вступившего в силу 1 января 2014 года, банк обязан информировать своих клиентов о совершении каждой операции с использованием электронного средства платежа. В противном случае финансовая организация обязана вернуть деньги в полном объеме, независимо от того, по чьей вине было допущено мошенничество. Однако в статье не указано, что уведомления должны приходить в виде sms-сообщений. Говорится лишь, что банк информирует «в порядке, установленном договором с клиентом». Таким образом, сообщение может прийти и по электронной почте.

Если уведомление пришло, то пострадавший может рассчитывать на компенсацию только в том случае, если своевременно уведомит банк, что лишился карты либо электронное средство платежа используется без его согласия. Не уложился в срок — согласно части 14 статьи 9 закона 161-ФЗ, банк освобождается от обязанности компенсировать потери.

В случае Руслана Альхового уведомления на телефон якобы приходили. Ему надо доказывать, что номер был зарегистрирован на третье лицо, либо ждать, когда найдут преступника.

То же касается и операторов сотовой связи. Если удается доказать, что утечка информации произошла по вине оператора, то последний обязан возместить все потери еще в рамках досудебного разбирательства.

По словам адвоката Краснодарской коллегии адвокатов «ДЕ-ЮРЕ» Антона Пуляева, следователь лукавит, заявляя о невозможности получения информации о том, кто использует «спорный» телефонный номер.

Пуляев пояснил, что в соответствии со статьями 186 УПК РФ «Контроль и запись переговоров» и 186.1.УПК РФ «Получение информации о соединениях между абонентами и (или) абонентскими устройствами», в случае если переговоры подозреваемого или обвиняемого могут содержать важные сведения для уголовного дела, их разрешается контролировать или записывать.

«Кроме того, следователь вправе поручить оперативным сотрудникам провести оперативно-розыскные мероприятия, направленные на установление лица, причастного к совершению данного преступления», — добавил Пуляев.

Если следователь не выполняет требования УК, то адвокат советует обжаловать его действия в порядке, предусмотренном статьями 124 УК РФ «Порядок рассмотрения жалобы прокурором, руководителем следственного органа» и 125 УК РФ «Судебный порядок рассмотрения жалоб». По словам Пуляева, подача жалоб заставит правоохранительные органы активизировать поиски преступника.

Олег Худяков уточнил, что зачастую многие подобные уголовные дела разваливаются не из-за бездействия сотрудников правоохранительных органов, а из-за несовершенства законодательства.

«Первая часть статьи 159.3 УК РФ дает нам следующее определение: "Мошенничество с использованием платежных карт, то есть хищение чужого имущества, совершенное с использованием поддельной или принадлежащей другому лицу кредитной, расчетной или иной платежной карты путем обмана уполномоченного работника кредитной, торговой или иной организации". Сразу же бросается в глаза то, что здесь не упоминается один из самых распространенных способов хищения — "путем злоупотребления доверием". Хотя в остальных статьях УК РФ в понятии "мошенничество" уже используется способ совершения "путем обмана или злоупотреблением доверия"», — говорит юрист.

Однако данная статья затрагивает только мошенничество через отделения организации с прямым воздействием на ее работника. Значит, при использовании банкомата или электронной платежной системы она не применима. Ситуация усложняется еще и тем, что крайне трудно доказать сам факт обмана работника организации, как того требует часть первая статьи 159.3 УК РФ. А если нет состава преступления, то нет и уголовного дела.

Кроме того, по словам Худякова, в законодательстве не прописаны четкие сроки возврата средств, да и лазейки банк всегда сможет найти, пользуясь расплывчатыми формулировками законов.

Забота о клиентах

«Лента.ру» побеседовала с представителями некоторых банков с развитой системой интернет-банкинга и крупных электронных платежных систем, за исключением Сбербанка, который, как уже было сказано, отказался от комментариев.

В частности, по свидетельству начальника управления информационной безопасности «Альфа-Банка» Александра Омельченко, мошенничества подобного рода случаются и в их организации. Для безопасности клиентов «Альфа-банк» одним из первых внедрил одноразовые пароли для подтверждения операций. Одновременно получить доступ к компьютеру и к телефону мошенникам достаточно сложно.

«Инциденты с хищением денежных средств через системы дистанционного банковского обслуживания у нас бывают редко и связаны, в основном, еще с одним способом, используемым мошенниками, — социальной инженерией. Мошенники под тем или иным предлогом входят в контакт со своей жертвой и обманным путем получают одноразовый пароль на операцию, которую тот не совершал», — говорит Омельчинко.

Для этих случаев в банке существует система фрод-мониторинга, выявляющая необычные операции и приостанавливающая их выполнение до получения от клиента подтверждения об их легальности.

В ВТБ24 «Ленте.ру» также подтвердили факты подобного мошенничества. По словам руководителя группы развития мобильного банка и партнерских отношений ВТБ24 Дениса Збрицкого, самый распространенный инструмент хищений — все тот же социальный инжиниринг, рассчитанный на невнимательность и доверчивость клиентов, в частности фишинг.

«Чаще всего это ссылка на поддельную страницу банка, на которой у клиента запрашивается ввод соответствующих данных или троянская программа, подкладывающая клиенту фальшивую интернет-страницу и направляющая введенные им данные злоумышленникам», — пояснил Збрицкий. И добавил, что возможны звонки клиентам от имени банка с целью выманивания необходимой информации по телефону.

По словам Збрицкого, ВТБ24 применяет различные средства и методы защиты информации, начиная с паролей и заканчивая многоуровневыми системами безопасности на основе современных криптографических протоколов и алгоритмов.

Тем не менее оба банка заявили, что в случае кражи денежных средств они взаимодействуют с правоохранительными органами и предоставляют всю необходимую для расследования информацию.

А вот представители «Яндекс.Денег» сообщили «Ленте.ру», что совершить платежи с их кошелька, имея только доступ к sim-карте, невозможно. «Яндекс.Деньги» используют для своей системы так называемую двухфакторную аутентификацию: чтобы войти в кошелек, пользователь должен ввести уникальный логин, придуманный им пароль, а платежи подтверждать с помощью одноразовых кодов — это могут быть не только sms-сообщения, но и специальные таблицы кодов, аварийные коды. Кроме того, фрод-машина отслеживает и блокирует подозрительные транзакции», — пояснила Надежда Кияткина, руководитель пресс-службы компании.

Что касается мошенничества, то каждый такой эпизод в «Яндекс.Деньгах» рассматривается индивидуально, в том числе сотрудничая с правоохранительными органами, и по результатам проверки выносится решение — компенсировать средства пострадавшему или нет.

Руководитель дирекции по безопасности компании QIWI Илья Поляков рассказал, что в их платежной системе действуют трехступенчатая защита платежных операций и специализированный мониторинг. Кроме того, компания применяет алгоритмы по отслеживанию подозрительных операций. «Они определяются в том числе по нетипичным признакам поведения электронного счета: другие IP-адреса, смена физического устройства, с которого происходит авторизация, нехарактерные транзакции для этого счета и тому подобное», — пояснил Поляков.

QIWI также активно сотрудничает с правоохранительными органами. «Мы взаимодействуем с МВД России, в частности с подразделением "К". Это позволяет своевременно пресекать действия мошенников и хакеров», — заявил Поляков. И подчеркнул, что платежный сервис всячески старается вернуть средства, похищенные мошенниками у клиентов.

Примерно о том же рассказали «Ленте.ру» в компании WebMoney. Кроме проверочных кодов и одноразовых паролей, система использует технологию защиты от подмены sim-карты. «В случае если пользователь заменил sim-карту своего оператора, ему потребуется пройти дополнительную процедуру аутентификации для подтверждения личности», — сообщила Татьяна Милачева, PR-директор WebMoney Transfer.

Работают профессионалы

Но если банки и платежные системы так надежно защищены, почему столь плачевная статистика и количество пострадавших растет из года в год?

По мнению заместителя начальника отдела Управления «К» МВД России Александра Вураско, подобные преступления не совершаются одиночками. Обычно действуют хорошо организованные преступные группы, каждый участник которых выполняет строго отведенную ему роль. Это профессиональные мошенники.

«Не забывайте, что такого рода преступления практически всегда состоят из нескольких эпизодов. Атаке подвергается не какой–то определенный мобильный кошелек или счет, а десятки, сотни и тысячи», — заметил Вураско.

В 2014 году сотрудники правоохранительных органов не раз пресекали деятельность преступных группировок, занимавшихся хищением денежных средств с банковских счетов.

Как рассказал Вураско, одна из групп действовала в различных регионах России на протяжении трех лет. Используя уникальные вредоносные программы, скрытно устанавливаемые на компьютеры потенциальных жертв, преступники получали аутентификационные данные пользователей в системах дистанционного банковского обслуживания.

В апреле Люблинский суд Москвы вынес обвинительный приговор организаторам преступной группы Carberp, создавшей одну из крупнейших в мире бот-сетей, нацеленных на компрометацию систем дистанционного банковского обслуживания. Преступников приговорили к пяти и восьми годам лишения свободы.

По словам представителей МВД, после ликвидации этой бот-сети число соответствующих преступлений заметно снизилось.

Что делать?

Если вы обнаружили несанкционированный перевод денег, немедленно обращайтесь в службу безопасности финансовой организации и в правоохранительные органы. Время работает против вас.

Первым делом звоните в банк, объясняйте ситуацию и блокируйте карту. Затем следует написать заявление в полицию по факту хищения или мошенничества с использованием банковских карт и дополнительно направить претензию в банк с требованием возврата незаконно списанных денежных средств.

Олег Худяков советует предоставить банку и полиции как можно больше документов — от этого во многом зависит вероятность решения проблемы в вашу пользу. «Например, у вас сняли деньги с карты в Москве, а вы в этот момент находились в Турции и пользовались там банкоматом за полчаса до хищения. Факт дубликата карты и вашей непричастности налицо», — пояснил юрист.

Кроме того, не забывайте о том, что данные об электронных счетах, банковских картах и прочую информацию следует хранить в секрете.

Александр Вураско рекомендует использовать отдельный абонентский номер для подтверждения платежей или отдельный мобильный телефон, желательно самый простой, а не смартфон.

Также необходимо регулярно обновлять антивирусное программное обеспечение. «Обновления часто содержат исправления уязвимостей и ошибок в системах безопасности, которыми пользуются злоумышленники», — пояснил Вураско.

Также, по его словам, не следует оплачивать покупки в интернете основной картой или электронным кошельком. Для этого должны быть дополнительная карта или отдельный электронный кошелек с небольшими суммами денег.

< Назад в рубрику