Мы продолжаем беседовать с экспертом по кибербезопасности ГУ Банка России по ЦФО Дмитрием Ибрагимовым. В прошлом материале мы рассказали о «темной стороне» современных технологий – возможности использовать для обмана людей подменные телефонные номера, а также о том, чем может быть опасен VPN. В этот раз поговорим о том, как в целом функционирует банковская система и какие у нее есть способы противостоять мошенникам.
Один из современных мифов, которые используют мошенники — якобы у каждого гражданина РФ, который хотя бы раз открывал в каком-либо банке счет, есть свой личный счет в Центробанке. И якобы банки при совершении операций – любых! – к этому счету обращаются.
— Никаких «личных счетов» граждан в Банке России нет, — объясняет Дмитрий Ибрагимов. — Счета — это организация работы внутри одного коммерческого банка, который взаимодействует с физическими лицами. А Банк России не работает с физическими лицами напрямую, он работает с банками на основе корреспондентских счетов. То есть для Банка России счета каждого банка — это единое целое, без дробления на счета физических лиц. Поэтому если вам звонят и говорят: «я работник Центробанка, я знаю все про ваши счета» — не верьте.
Если какой-то платеж имеет признак мошеннического, то в дело вступает антифрод-служба банка. У нее есть один основной параметр: перевод будет заблокирован, если счет или устройство уже были задействованы в мошеннических схемах. Плюс куча настраиваемых параметров. Например, география платежа: допустим, человек все время расплачивался в Москве, а потом вдруг пришел платеж из Владивостока. Могут настраиваться также суммы или способы платежа. У меня был случай, когда заблокировали карточки в связи с переводом денег на Яндекс-кошелек — просто до этого я никогда не осуществляла подобных платежей.
— В банке одновременно происходит миллион платежей, — рассказывает Дмитрий Ибрагимов. — Большинство из них, разумеется, обрабатывает машина. По своей сути банк выступает провайдером денег. Он обязан их выдавать по первому требованию клиента. Но при этом банк, разумеется, крайне заинтересован в том, чтобы клиент не терял деньги. Поэтому при совершении платежа банк первым делом проверяет: а клиент ли это? Банку важно убедиться, точно ли клиент совершает операцию?
Одно дело если человек пришел в отделение банка и оператор может сличить его лицо с фотографией в паспорте. А если он звонит по телефону? В таком случае работник банковской антифрод-службы задаст вам некоторое количество вопросов. Возможно, вам эти вопросы покажутся странными.
— В зависимости от банка этот набор вопросов может быть разным, — поясняет Дмитрий Ибрагимов. — Банк задает те вопросы, с которыми он, при необходимости, потом может прийти в суд, чтобы доказать, что перед проведением операции полностью идентифицировал клиента, сказать: вот мы провели такие-то процедуры и убедились в том, что это — действительно наш клиент.
При этом ни один банк не будет проводить финансовую операцию по голосу. Да, все разговоры с операторами записываются, но делается это для других целей — на случай, если либо клиент, либо оператор начнут выходить за рамки приличий. Но если банк скажет, что совершил перевод средств со счета на счет только потому, что голос, похожий на голос клиента с телефонного номера, сказал слово, похожее на слово «да»… Итогом будет возврат денег и нахлобучка директорам банка.
– Для борьбы с хищением средств Банк России предложил внести изменения в законодательство и ввести двухдневный «период охлаждения», в течение которого банк должен приостановить перевод, если он осуществлен на счет, имеющий признаки мошеннического, – рассказывает Дмитрий Ибрагимов. – Клиент за это время успеет отозвать перевод, если он понял, что стал жертвой аферистов. Если банк несмотря на это осуществит перевод, то будет обязан вернуть деньги клиенту. Базу с такими счетами аккумулирует у себя регулятор через автоматизированную систему ФинЦЕРТ. Кроме того, есть предложение подключить к этой системе МВД, чтобы оно получало в онлайн-режиме сведения о платежах, которые имеют признаки мошеннических. – Для МВД такая информация должна поступать более оперативно, минуя действующие сейчас процедуры, в которых много времени уходит на обмен данными между участниками процесса. Законопроект уже принят в первом чтении в Госдуме.
Чтобы идентифицировать клиента, банк использует три признака.
Первое: это то, что человек знает — пароли, кодовые слова, данные.
Второй: то, что у человека есть — токены, мобильный телефон, ключи.
Третий фактор — биометрический. Это отпечатки пальцев, сетчатка глаза, голос.
У каждого из них есть свои достоинства и недостатки и для надежной защиты обычно используются в совокупности.
О том, как с помощью этих трех факторов уберечься от мошенников, мы поговорим в следующем материале нашего выпуска.
Яна МАЕВСКАЯ.
Фото Ольги Давыдовой
Защита должна быть комплексной и рано или поздно все современные системы к этому придут. Да это неудобно, но такова реальность. Вопрос в другом, а везде ли она нужна?