Bbabo NET

Nauka & Technologia Wiadomości

Bank Rosji stanął w obronie ofiar „inżynierii społecznej”

Rosjanie, których konta zostały zdewastowane przez oszustów, mają nadzieję na szybki i łatwy zwrot skradzionych towarów. Ich straty zostaną zwrócone przez bank. Ale tylko wtedy, gdy nie zastosował się do pewnych zaleceń Banku Centralnego Federacji Rosyjskiej. Z taką inicjatywą wystąpił megaregulator. To prawda, czy i kiedy wejdzie w życie, nie wiadomo.

Obecnie wydaje się, że nie ma ani jednego Rosjanina, który nie spotkałby się z „inżynierami społecznymi” – cyberoszuściami, którzy wykorzystują psychologiczne i socjologiczne metody i technologie w celu uzyskania poufnych informacji od swoich potencjalnych ofiar. A jeśli niektórym udało się „uciec na sucho” ignorując wszystkie swoje sztuczki, to inni nie tylko stracili wszystkie oszczędności z kont bankowych, ale także popadli w długi kredytowe, czasem wygórowane, z których środki zostały przelane na konta szantażystów .

Według Banku Rosji w całym 2019 roku oszuści dokonali ponad 570 000 nielegalnych transakcji na kontach bankowych Rosjan, kradnąc 5,7 mld rubli. W ciągu pierwszych 9 miesięcy 2021 r. klienci rosyjskich banków stracili 9 mld rubli z powodu działań cyberprzestępców. Dla porównania w tym samym okresie rok wcześniej kwota ta była 1,3 razy mniejsza. W samym III kwartale 2021 r. liczba transakcji dokonanych bez zgody klienta wzrosła o 40% i sięgnęła 256 tys., a ich wolumen przekroczył 3,2 mld rubli.

Według ekspertów, w większości tych przypadków ofiary dobrowolnie przekazały oszustom dane swojej karty bankowej i kody dostępu do systemów bankowości internetowej. I nie jest to zaskakujące. Atakujący umiejętnie manipulują ludźmi, podszywając się pod pracowników banków, firm programistycznych, organizatorów losowań i loterii, przedstawicieli prawa, Federalnej Służby Podatkowej i samego Banku Centralnego Federacji Rosyjskiej. Potencjalne ofiary są oszukiwane, zastraszane, oferowane do udziału w pewnego rodzaju „działaniach śledczych mających na celu wyłapanie oszustów bankowych”, zmuszane do instalowania złośliwego oprogramowania na swoich gadżetach lub podążania za złośliwymi linkami, obiecując coś z aktualnego planu - z wyższej stopy depozytowej lub Lek na COVID -19, na groźbę zablokowania karty bankowej. Wszystkie te sztuczki ostatecznie sprowadzają się do jednego - wyłudzenia krytycznych danych, które dają dostęp do konta bankowego.

Jednak tylko niewielkiej części ofiar udaje się odzyskać pieniądze utracone w wyniku ataku oszustów. Na pełny zwrot pieniędzy może liczyć tylko klient, który nie naruszył warunków umowy – nie przekazał atakującym informacji bankowych (kod SMS, numer karty płatniczej itp.), a którego poufne dane zostały skradzione bez winy jego. Ale to jest zdecydowana mniejszość. Na przykład w trzecim kwartale 2021 r. udział środków, które banki zwróciły ofiarom, wyniósł zaledwie 7,7% całkowitej skradzionej kwoty. A to prawie dwa razy mniej niż w 2020 roku.

Problem ochrony ofiar przed atakami cyberintruzów dotyczy zarówno Banku Centralnego, jak i społeczności bankowej. Zaufanie klientów do systemu bankowego i zdalnych systemów bankowych na tle i tak już trudnych czasów pandemii spada. Uczestnicy sektora kredytowego i finansowego, a także sam mega-regulator, opracowują inicjatywy, które w takim czy innym stopniu pozwolą chronić deponentów.

Na przykład w minionym 2021 roku Bank Centralny Federacji Rosyjskiej podjął inicjatywę ustalenia kwoty, którą bank jest zobowiązany zwrócić klientowi, który doznał oszustwa. Chodziło o osoby fizyczne, a wskazaną kwotę, której wysokość miał określić megaregulator, zaproponowano do zwrotu w sposób uproszczony.

W pismach w imieniu szefa departamentu bezpieczeństwa informacji Banku Centralnego Federacji Rosyjskiej Wadima Uwarowa, cytowanych przez poinformowane media, zwraca się uwagę, że klient, który padł ofiarą cyberprzestępców, będzie musiał zwrócić się do swojego bank z oświadczeniem o oszustwie w ciągu pierwszego dnia po incydencie. Jednak jaka kwota została przewidziana do obowiązkowego zwrotu i nie była znana. Zauważono tylko, że „będzie obliczany na podstawie docelowego zwrotu środków obywatelom średnio w 80-90% wszystkich przypadków inżynierii społecznej”. Założono również, że mechanizm zwrotu będzie obowiązkowy dla wszystkich uczestników krajowego sektora kredytowo-finansowego. Ale te banki, w których poziom ochrony przed kradzieżą nie jest wystarczająco wysoki, musiałyby zapłacić więcej.

W 2019 roku Związek Banków Rosji opracował poprawki do ustawy „O krajowym systemie płatniczym” i ustawy o „przeciwdziałaniu praniu pieniędzy”. Wychodzili z założenia, że ​​środki otrzymane na konto odbiorcy w wyniku działań oszukańczych (przelew noszący znamiona oszustwa) lub przez pomyłkę bank będzie mógł natychmiast zablokować na 30 dni. Jeżeli bank otrzyma potwierdzenie zasadności operacji, może natychmiast wznowić jej prowadzenie. Następnie z uczestnikami rynku omówiono wyjaśnienia – skrócenie okresu blokady lub ograniczenie kwoty, którą można zablokować.Ale, jak komentował w mediach wiceprezes stowarzyszenia Aleksiej Wojlukow, departament bezpieczeństwa informacyjnego Banku Centralnego Federacji Rosyjskiej nie poparł tej inicjatywy, uważając, że wymaga ona poważnej poprawy. Jednym z powodów jest konieczność ujawnienia danych osobowych bez zgody ich właściciela, co jest zabronione przez prawo. Na przykład, aby złożyć skargę do organów ścigania, musisz znać imię i nazwisko odbiorcy fałszywego lub błędnego przelewu oraz numer jego rachunku bankowego.

Inni nazwali ten pomysł beznadziejnym. Andrey Jemelin, szef Krajowej Rady Rynku Finansowego (NSFR), komentował w mediach, że zawieszenie działalności bez decyzji sądu lub rządu na tak długi okres rodzi oczywiste ryzyko straty w przypadku błędów, których nikt nie pokryje , a później nauczyć się używać przeciwko konkurentom.

Inicjatywa, która przewiduje odpowiedź banków w czasie dłuższym niż kilka minut, jest skazana na niepowodzenie – środki pobrane z konta ofiary są natychmiast przekazywane innym odbiorcom wielokrotnie – uważa Fedor Muzalewski, dyrektor działu technicznego w RTM Group.

Vadim Uvarov, dyrektor Departamentu Bezpieczeństwa Informacji Banku Centralnego Federacji Rosyjskiej, opowiedział o najnowszej inicjatywie podczas Narodowego Forum Bezpieczeństwa Informacyjnego Infoforum-2022. Mega-regulator zaproponował, że zwróci ofiarom oszustów całą skradzioną im kwotę za pomocą socjotechniki. Warunek jest jednak jeden – stanie się to tylko wtedy, gdy bank płatnika nie uwzględni w swoich procesach biznesowych zaleceń regulatora. Jedną z takich rekomendacji jest zastosowanie przez bank dodatkowego parametru weryfikacji. Na przykład kod cyfrowy ustawiony przez klienta.

Podczas gdy inicjatywa jest omawiana przez wszystkie zainteresowane strony. Przewidywany termin jego wdrożenia nie jest jeszcze znany. Wielu ekspertów, dostrzegając potrzebę zmian i gotowość społeczeństwa do ich pozytywnej akceptacji, uważa, że ​​i tutaj mogą pojawić się problemy.

To długo oczekiwany pomysł, powiedział w mediach Andrey Fedyaev, dyrektor Narodowego Centrum Umiejętności Finansowych. Jednak biorąc pod uwagę niewystarczająco wysoki poziom wiedzy finansowej rodaków, jedynym sposobem na zmniejszenie liczby takich przestępstw, który widzi ekspert, jest zapoznanie się z podstawowymi zasadami interakcji z infrastrukturą finansową.

Wadą jest pewność klienta banku, że skradzione środki zostaną zwrócone. Musi zadbać o własne bezpieczeństwo w cyfrowym świecie, ale jego uważność zostanie teraz zmniejszona - mówi Elena Bobkova, ekspert z National Center for Financial Literacy.

Bank Rosji stanął w obronie ofiar „inżynierii społecznej”