У нас в гостях Виталий Чубирка, начальник экономического отдела Отделения Банка России в Хакасии. Мы сегодня с вами поговорим на тему «Мошенничество в телефонном режиме».  В СМИ постоянно появляются сообщение о хищении со счетов граждан, выдумываются всё новые и новые схемы. Как и где найти информацию о том, с чем ты можешь столкнуться в разговоре с неизвестным по телефону?

Самый простой и очевидный путь - это пойти на сайт Банка России, где совсем недавно появился новый раздел и там публикуются наиболее распространенные схемы  мошенников, о том, как они действуют. Например, к типичным мошенническим схемам Банк России относит якобы необходимость проверить данные счёта с подробным перечислением паспортных данных. Страшные сообщения о том, что на вас оформляют 1 миллион рублей кредита или о том, что ваш счет уже практически взломали вам будет необходимо как можно быстрее в службу безопасности сообщить необходимые циферки, чтобы спасти все ваши накопления. Такие типичные схемы там достаточно подробно описаны.

Сколько похищено со счетов жителей Хакасии с начала этого года?

По данным МВД с начала 2022 года в Хакасии зарегистрировано почти 500 преступлений, совершённых с использованием информационных технологий. Общий ущерб уже составил практически 83 миллиона рублей.

Когда мошенники звонят по телефону потенциальной жертве, они знают о человеке и фамилию, имя, отчество, в каком банке он имеет счет. Вот откуда у них эта информация?  Это какие-то утечки, хакерские атаки на базы данных банков или всё-таки кто-то кому-то поставляет эти данные?

Всегда, в первую очередь, хочется обвинить либо не самую лучшую безопасность в банке, либо что какой-то не самый добросовестный работник пошёл и слил всю базу данных.

Ну, разве так не бывает?

Случаи, к сожалению, есть. Было бы странно их отрицать. Но основная проблема даже не в хакерских атаках всё-таки, они стали совсем редкими. Информационная безопасность в банках работает, на мой взгляд, сейчас достаточно хорошо и уверенно. И даже не в количестве слитых баз, если говорить совсем просто. А больше потребитель финансовых услуг чаще всего к сожалению сам, возможно, даже того не ведая, где-то оставляет о себе очень большой информационный след. Мы живём в век информационных технологий - это считается нормой. Мы решили оформить страховку онлайн, знакомому отправили по мессенджеру фотографии своего паспорта, где эта фотография паспорта потом всплывет вообще непонятно. Или в соцсетях решили всю информацию полностью про себя рассказать и показать. В общем-то, вот, пожалуйста, можно узнать очень много о человеке.

Там же просят ввести данные, когда что-то оплачиваешь…

Это вопрос о том, что, к сожалению, у нас очень часто люди подвержены эмоциональному стрессу. То есть можно воздействовать на них, напугать чем-то и человек, возможно, в порыве каких-то эмоций готов сообщить информацию, которую вообще ни в коем случае не должен был бы сообщать.

Пример - сегодня я покупал достаточно крупную вещь, оплачивал картой. И эти же данные куда-то уходят? Каким-то образом это как-то срабатывает против нас?

Я думаю, что доля вот именно таких сделок, что они сейчас все в цифре, и это можно увидеть и украсть, она, конечно, есть, но, на мой взгляд, она ничтожна мала. Я считаю, что если у вас некий абстрактный мошенник захочет украсть деньги, он это сделает, он найдёт способ, он найдёт, как взломать вас, даже если вы максимально осторожны. Но чаще всего, проблема именно в том, что человек сам выдаёт всю информацию о себе в том или ином виде, в явном или не явном. Размещает на непонятных сайтах информацию о дебетовых картах своих. Сообщает в телефонном разговоре CVC-коды от карточек, вот эти самые эсэмэски, где большим шрифтом пишут о том, что не нужно сообщать этот код никому, даже работнику банка. Человек всё равно в телефонном режиме сообщает своему собеседнику по телефону этот самый код.

Почему тогда этот код на обратной стороне карты просто графически прописан, пусть человек его запоминает.

Мы же понимаем, что это цифры, их очень много, у человека может быть не одна карта. Я будучи человеком крайне осторожным, не стесняясь говорю, что у себя этот код стер, то есть я запомнил эти цифры и решил таким способом обезопасить. Но здесь нужно понимать, что даже если ваш CVC-код не узнают, то опять же если данные карты где-то оказались раскрыты, вы, например, случайно или специально или по незнанию сообщили мошеннику данные по карте, вам пришла SMS и вы сообщили вот эти самые заветные цифры, которые разрешают провести операцию, то там не нужно знать код с обратной карты.

Давайте людям расскажем разницу между SMS и Push-уведомлениями.

SMS это просто текст, который приходит стандартно в телефон, а Push-уведомления - это сообщения, которые приходят от приложений банков.

Сколько, в среднем, таким мошенникам удается украсть у жертвы? Мы слышим какие-то полицейские сводки о сотнях тысяч даже миллионов рублей, которых лишаются граждане…

Если мы расскажем про сотни тысяч случаев, когда украли по тысяче рублей, это будет никому не интересно. Одна-единственная история про то, что некая женщина или мужчина отправили мошеннику 5 миллионов рублей -  это ярко, мощно и сильно. Давайте будем честны. Поэтому собственно эти цифры звучат, такие случаи естественно бывают, но вообще на самом деле средняя сумма кражи - это порядка 12 тысяч рублей.

Почему практически невозможно отследить украденные мошенниками деньги?

К сожалению, люди, которые придумали, как кого-то обмануть, они всё-таки обладают некими интеллектуальными способностями, разбираться в технологиях и поэтому они нашли различные способы, как это всё спрятать. Самый простой способ это использование анонимных не персонифицированных электронных кошельков для вывода средств, которые они получили обманным путём. Такие кошельки есть, они законны, они легальны, на них можно размещать не больше 15 тысяч рублей. Опережая сразу вопрос, что запретили бы эти кошельки. Но это некая форма, которая удобна, в том числе, для населения. Например, сейчас, когда с карты мы не можем напрямую покупать что-то за границей, через такие кошельки это ещё возможно. Ещё такой момент, что иногда можно отследить украденные мошенниками деньги, путь можно увидеть, но вернуть их законным путём крайне проблематично. Если клиент сам нарушил все условия договора, сам сообщил номер карты, сам сообщил цифры из уведомления, то доказать, что был преступный умысел очень сложно. Потому что возникает другой вопрос - а нет ли сговора между этим якобы пострадавшим и мошенником.

Что Банк России делает для борьбы с киберпреступностью? И вообще, может быть, есть какие-то идеи, как решить проблему кибермошенничества. Я понимаю, что сейчас скажете - нужно быть каждому бдительным.

Естественно, это самое простое. К сожалению, самое важное и главное. Почему, к сожалению? Потому что люди этим в общем-то и пренебрегают. Думают, что именно с ними ничего не произойдёт. История про украденные деньги - это не про них. Значит, все будут по-прежнему находиться в опасности? Нет, еще важно развитие финансовой грамотности. То, чем Банк России занимается активно. Начиная от школьников и заканчивая студентами и пенсионерами. Проводятся финансовые зачёты и кибер-зачёты. размещаются брошюры, социальная реклама и так далее.

Может быть как-то активнее нужно в соцсетях и на телевидении где-то говорить? Ведь люди зарабатывают деньги и тут же их теряют.

Здесь опять же история про яркие краски. То есть, если вы расскажете в новостях про бабушку, которой перевела куда-то миллион рублей, зритель увидит и услышит.  Но когда вы сразу после этого рассказываете, что нужно сделать, чтобы бабушка не перевела миллион, зритель сразу переключит на другой канал. Потому что, каждый думает, что это не про него. Поэтому сейчас финансовую грамотность начинают внедрять уже буквально с первого класса. Чтобы человек с детства понимал всю степень ответственности и опасности. Кроме этого Банк России также работает над совершенствованием нормативного регулирования, требований безопасности финансовых организаций. Это тоже очень важный момент. Совместно с правоохранительными органами, совместно с финансовыми организациями, кредитными организациями участвуем непосредственно в законодательных процессах в целях защиты клиентов финансовых организаций. И различные другие формы взаимодействия, например, Центр мониторинга и реагирования на компьютерные атаки. Но основное, я по-прежнему считаю, что это финансовая грамотность.

В каких случаях банк может всё-таки позвонить клиенту?

Если звонят действительно из банка, у вас вообще не будут спрашивать ничего про вашу карту, про ваши CVC-коды, пуш-уведомления, эсэмэски, вообще никто этого делать не будет. Это прямо запрещено. Поэтому в смсках пишут огромными буквами, что даже сотруднику банка не сообщать эти цифры. Позвонили, можете сделать очень просто - не очень вежливо, но зато эффективно - положили трубку и перезвонили в банк по горячей линии. Куда звонить, можно посмотреть либо в мобильном приложении, либо на карте всегда номер есть. Тогда вы точно убедитесь, что это банк.

Почему могут звонить. Например, какая-то странная операция у вас происходит, которая вам не характерна. То есть, например, вы всегда переводили пять тысяч рублей, а тут и кому-то 100 тысяч переводите. Сразу возникает вопрос, что это за внезапный порыв щедрости. Могут и заблокировать. Но вы можете тут же перезвонить в банк, объяснить ситуацию, у вас скорее всего спросят проверочное слово, ваши паспортные данные, где проживаете, ещё несколько таких проверочных моментов, убедятся в том, что действительно вы совершаете эту сделку и её сразу же разблокируют. Никто вам блокировать ваши законные действия не будет, это просто для вашей же безопасности.

Еще – массовые переводы одновременные. Если от вас сразу 20 разных платежей проходит – тоже вызывает вопросы.

Если вдруг идет платеж с неясным назначением. То есть вы никогда никому ничего в назначении платежа не писали и вдруг какой-то огромный непонятный шифр. Или если перевод имеет признаки внедрения мошенников в программное обеспечение.

Вот некая бабушка спрашивает  - А как они меня могут надуть, если карточка-то у меня, а я ему сообщила номер карты. А что они вставят другую? Объясните, пожалуйста.

Поэтому недостаточно квалифицированному в онлайн вещах человеку нужно объяснить, что зная всю информацию по карте, можно её использовать где-то в онлайне. Например, в интернет-магазине за счёт этого просто совершать покупки. То есть денег физически может и не снимут.

Как отличить фишинговый сайт, где у нас стараются выловить данные, от настоящего?

У сайта должен быть в строке браузера изображён замочек. Вот я вижу ваше удивление, понимаю, что некоторые не подозревают и никогда, скорее всего, не обращали на него внимания. В некоторых поисковиках, например, в Яндексе, как правило, ставится синяя галочка в кружке, подтверждающая подлинность сайта. Это самые простые способы. Но я всегда предлагаю, даже если замочек, проверяйте всё остальное. Как правило, очень хорошо видно в названии. В название добавляют лишние буквы и символы. Внешние вносят минимальные изменения, чтобы сайт был похож. Тут, к сожалению, только внимательность.

Как-то выявляются такие подозрительные сайты и как?

Через жалобы, например. Человек увидел и может написать жалобу в нашу интернет-приёмную, например. А мы уже передадим эти сведения в необходимые правоохранительные органы. Это отслеживается, это контролируются, эти фишинговые сайты стараются как можно оперативно закрывать. Их закрывают и закрывают много, но не надейтесь в данном случае ни на кого, только на свою внимательность.

Расскажите, что такое сервис второй руки, который Центральный банк предложил внедрить банкам?

Если вы понимаете, что ваш уровень финансовой грамотности в чём-то недостаточен, то вы можете добавить себе человека-контролера, который более опытный. Например, абстрактная ситуация, у вас есть бабушка, ей 75 лет, но она, тем не менее, активно что-то в интернете может покупать. И она боится, что ее могут обмануть, она добавляет своего внука второй рукой.  Он деньги ее тратить не может, но если она разрешает какую-то операцию, он может проконтролировать нормально там всё или нет. И сказать, что, да нормально, даю добро, пусть проходит сделка. Либо наоборот, отмени, тебя явно обманывают. Прекрасная вещь, я считаю. Она позволит обезопасить.

Дайте, пожалуйста, несколько советов, как защитить себя?

Основное - не нужно везде в открытом доступе публиковать свои персональные данные.

Не отправлять паспорт – фотографию или в текстовом виде - ни в каких мессенджерах, потому что непонятно, куда это потом всё уйдёт и как это кто-то может использовать.

Не нужно хранить на одной карте все свои абсолютно деньги. Это тоже очень опасно, потому что карту можно физически потерять. Если вы, например, карту не носите с собой, а храните её дома под подушкой или в сейфе, всё равно можно где-то потерять данные либо самому что-то рассказать или неправильно сделать и потерять все свои накопленные средства.

Проверяйте сайты, на которые вы зашли сделать покупки либо оставить какие-то о себе данные. То есть куда вы вводите все циферки, коды и прочее с вашей кредитки либо дебетовой карты.

Проверять компьютеры, смартфоны на вирусы и так далее.

Не переходим по непонятным ссылкам из SMS или в мессенджерах.

Еще совет - завести для интернета одну карту, а для себя и для своих переводов по знакомым, друзьям и в магазинах - другую карту.

Не сообщать информацию, которая носит конфиденциальный характер. То есть если вам пришла эсэмэска, в которой написано - не сообщайте цифры из SMS никому, никому и не надо сообщать. Это самое важное.

Что делать, если уже стал жертвой киберпреступника?

В первую очередь, конечно же, надо блокировать карту, если у вас украли деньги с карты и на ней ещё что-то осталось. Нужно обязательно понять, не сообщили ли вы ещё какие-то личные данные, может быть у вас и другие карты теперь в опасности тоже. Нужно звонить на горячую линию банка. Звоним, блокируем себе карту, чтобы хотя бы прекратился процесс кражи.  Нужно обязательно в течение суток написать уведомление о списании денег, что вас обманули, чтобы хотя бы приостановить процесс или была возможность потом как-то оспаривать произошедшую операцию. Ну и, конечно, писать заявление в полицию о краже и прилагать выписку о том, что у вас деньги списали.