Станислав Данилов о хищениях предварительно одобренных кредитов
Атаки проводятся с помощью сложных схем социальной инженерии (обмана клиента), не требующих знания конфиденциальной информации, говорит представитель Альфа-банка: «Почти всегда данные, необходимые для мошенничества, — номер телефона, ФИО и банк, в котором у клиента есть счет, — преступники получают из баз, собираемых из сторонних источников». Это могут быть маркетинговые опросы в торговых центрах, данные фитнес-клубов, интернет-магазинов, различных сайтов, созданных специально для выманивания подобной информации.
По рассказам клиентов Альфа-банка, мошенники звонили им, представляясь банковскими сотрудниками. Они говорили, что клиенту одобрен кредит и сейчас он оформляется. Услышав, что его берет не сам клиент, злоумышленники настаивали на необходимости установить специальное приложение, чтобы защитить персональные данные или отменить заявку. Эти программы давали удаленный доступ к телефону, через который мошенники оформляли кредит в банковском приложении жертвы.
После оформления кредита злоумышленники убеждали жертв перевести деньги через приложение или банкомат на «специальный» счет якобы для того, чтобы закрыть кредит или спасти деньги от мошенников.
Чтобы узнать, для каких клиентов Альфа-банка предодобрен кредит, достаточно подать заявку на заем на сайте банка: для этого нужно знать ФИО и номер телефона клиента, проверил РБК. «Вам уже одобрен кредит на выгодных условиях. Введите код, чтобы посмотреть предложение», — сообщается на сайте. Как говорят потерпевшие, мошенники просили назвать им код из СМС.
Одна из потерпевших — Алиса (девушка отказалась назвать фамилию) — рассказала РБК, что в ее случае мошенники не просили установить программу удаленного доступа, а выяснили только код из СМС. По ее словам, они заранее знали сумму предодобренного кредита. По мнению ведущего эксперта «Лаборатории Касперского» Сергея Голованова, в этом случае мошенники могли получить доступ не к мобильному приложению, а к интернет-банкингу клиента, обманом выясняя все необходимые данные для входа. Как сообщила Алиса, параллельно с лжесотрудниками банка ей звонили мошенники с подменного номера МВД и представлялись сотрудниками полиции. Они подтверждали, что кто-то пытался оформить ее одобренный кредит, поэтому необходимо спасти деньги. Совместно они уговорили потерпевшую снять кредитные деньги с одного банкомата (а также подтвердить реальным сотрудникам банка правомерность операции) и перевести эти средства на чужой счет через другой.
Сколько похищают мошенники
По данным ЦБ, за первое полугодие 2020 года мошенникам удалось похитить со счетов банковских клиентов 4 млрд руб. — из них банки вернули клиентам около 485 млн руб., или 12,1% от украденного. Деньги, которые украдены по вине клиента (например, если он раскрыл мошенникам необходимые для хищения данные), банки не возвращают. Методы социальной инженерии использовали в 83,8% случаев мошеннических атак, следует из статистики Банка России. Около 80% злоумышленников звонили людям якобы от лица различных финансовых организаций с помощью технологии подмены телефонных номеров.
Почему число мошенничеств с кредитами растет
За последний год количество попыток хищения предодобренных кредитов возросло на порядки, говорит начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов: «Этот вид мошенничества получил распространение, после того как во многих крупных банках появились продукты онлайн-кредитования, позволяющие получить заем удаленно в короткие сроки через мобильный или интернет-банк».
Но в общем объеме атак на клиентов банков доля таких инцидентов остается небольшой, добавляет Голованов. Мошенники прибегают к такому способу редко, так как схема получается сложной, утверждает директор по стратегическим коммуникациям Infosecurity Softline Александр Дворянский. В процесс общения с жертвой включен банк, который одобряет кредит, объясняет он, и есть риск для мошенников, что из банка могут позвонить, чтобы что-то уточнить.
Если у клиента подключено дистанционное обслуживание и банк хорошо его знает, то он может легко и почти моментально получить предодобренный кредит, говорит директор департамента кредитных рисков БКС Банка Сергей Хайруллин: «С появлением подобных видов мошенничества банки начали больше времени уделять проверке операций после получения кредита. Сейчас у большинства крупных игроков действуют системы фрод-мониторинга, которые фиксируют, если кредитные средства переводятся кому-то сразу после получения, а также другие подозрительные операции. Они могут запустить механизмы дополнительной проверки».
Для жертвы единственный способ аннулировать сделку — доказать, что она совершена под влиянием обмана или существенного заблуждения, при этом нужно обратиться в полицию и привлекать к ответственности тех, кто совершил обман, так как доверчивость или непроявление должной осмотрительности клиентом с гражданско-правовой точки зрения не порочит сделку, говорит партнер коллегии адвокатов Pen & Paper Станислав Данилов.
«Отказаться от самого кредита, не обращаясь в правоохранительные органы, нельзя, так как с точки зрения банковской системы клиент сам одобрил получение кредита (все действия производились через его аккаунт) и деньги были выданы абсолютно легитимно», — добавляет Дворянский.
Автор
Евгения Чернышова