Раньше на вопрос «Как чаще всего воруют деньги с банковских карт» я всегда уверенно отвечал — чаще всего воруют дети, близкие друзья и коллеги по работе:

  • Мама показала сыну, как пользоваться картой, а он запомнил пин-код и начал регулярно снимать с карты деньги в соседнем банкомате.
  • Друг незаметно прикарманил карту, а потом расплатился ею в соседнем магазине.
  • Пожилому сотруднику, который неуверенно пользовался банкоматом, помог коллега, а потом с карты стали пропадать деньги — более молодой и более уверенный коллега оказался ещё и  жадным.

Но с развитием современных технологий ситуация меняется. Не думаю, что риск потери денег «с помощью» друзей и знакомых стал ниже (особенно, учитывая, что для бесконтактной оплаты на небольшие суммы даже не нужно знать пин-кода), просто на фоне огромного числа мошеннических операций такие операции занимают лишь малую долю.

Как чаще всего похищают деньги банковских карт и счетов

В соответствии с законом о Национальной платежной системе банки и прочие операторы по переводу денежных средств обязаны ежеквартально отчитываться о выявленных событиях, связанных с нарушениями защиты информации при осуществлении переводов.

Недавно ЦБ опубликовал данные по «операциям без согласия клиента» за 2020 г. Больше всего пострадали частные клиенты банков — было 770 тыс. случаев, на общую сумму 8,75 млрд рублей.

Тут нам больше интересно не количество или сумма операций, а доли тех или иных операций.

Как видно, наибольший риск потерять деньги связан с операциями по оплате услуг с помощью реквизитов банковской карты.

При этом примечательно, что операции с переводами через онлайн-банки или мобильное приложение приводят к более значимым потерям.

Но самое примечательное, что в большинстве случаев деньги с карт не воруют, а отдают их сами — доли социальной инженерии, т.е. когда мошенники убеждают клиентов передать им реквизиты карты (61,5%) или самостоятельно перевести деньги с помощью мобильного приложения (80%) очень высоки.

Получается, что сейчас деньги с карт не воруют, а люди… отдают их сами.

Как мошенники вынуждают расстаться с деньгами

В отчёте ЦБ сказано, что злоумышленники пользуются базами данных, содержащими персональные данные клиентов. Чаще всего звонки осуществляются от имени сотрудника банка.

При этом используются «легенды»:

  • Сообщается о блокированной операции. При этом у клиента выпытываются данные  карт, коды из СМС-сообщений и прочая информация, необходимая для хищения средств.
  • Ошибочный перевод денежных средств — просят снять деньги в банкомате и перевести на безопасный счёт банка.
  • Сообщают об утечке пароля мобильного приложения или онлайн-банка, просят продиктовать СМС-код, необходимый для входа в личный кабинет.
  • Сообщают об угрозах мобильному телефону и просят установить на него безопасное приложение, которое в итоге предоставляет мошенникам доступ к устройству.

Увы, перечень возможных схем хищения, этим не исчерпывается.

Много ли таких операций и сколько возвращают

Доля операций без согласия клиента от всех операции, составила 0,00117%. Это меньше, чем целевой показатель, установленный Банком России (0,005%) — т.е. можно сказать, что в целом всё не так плохо.

Но за этими незначительными процентами скрываются значительные потери обычных клиентов банков.

Если вернуться к таблице, то видно, что банки возвращают лишь часть потерянных средств. Больше всего — по операциям  с оплатой услуг в интернете. Это связано с тем, что тут действуют механизмы, предусматривающие возврат платежей, если товар или услуга не были получены (chargeback), а в некоторых случаях ответственность за мошенническую операцию перекладывается на банк получателя платежа.

В остальных ситуациях риск переходит на клиента, в т.ч. из-за того, что его непосредственные действия приводят к потере средств — он или сам сообщает мошенникам коды, поступающие по SMS, или их указке производит какие-то действия.

Сейчас ЦБ работает над законопроектом, позволяющим автоматически блокировать сумму на счёте мошенника, сразу после обращения пострадавшего.

Это, безусловно, повысит долю возмещённого ущерба, но не сведёт к её минимуму. Единственный способ — не поддаваться на уловки мошенников.