Финансовая сфера

Банковское обозрение


  • С социальными инженерами решено покончить
30.08.2022 FinCorpFinRegulationFinRetailFinSecurityАналитика

С социальными инженерами решено покончить

ЦБ серьезно взялся за аферы социальных инженеров — ключевых источников хищений при переводах денежных средств. Что нового подготовил регулятор для обсуждения экспертным сообществом на этот раз, каковы меры противодействия?


Торопиться не надо

Появится период «охлаждения» — два дня, в течение которых клиент вправе получить обратно свои деньги, украденные злоумышленниками даже в том случае, когда он добровольно перевел средства под воздействием уговоров, но вовремя одумался. Такого раньше в платежной индустрии не было. Хотя Закон № 161-ФЗ «О национальной платежной системе» и раньше обязывал банк вернуть похищенные деньги клиенту, если он вовремя сообщал об этом. Но банки практически никогда этого не делали, мотивируя отказ тем, что клиент добровольно перевел деньги злоумышленнику. Новизна инициативы ЦБ — в том, что возвращать банки будут те средства, которые клиент добровольно отправил мошенникам.

Инициатива потребует осмысления и дискуссий в экспертной среде, возможно, и коррекции платежного законодательства, поскольку ситуация начнет противоречить привычным и прописанным в Законе № 161-ФЗ принципам «окончательности» и «безотзывности» платежа. Ясно также, что подобные новации могут оказаться уязвимыми и повлечь за собой появление новых схем хищений. Преступники очень изобретательны и могут «сыграть» на этих возвратах и отсрочках в переводах — почему нет? По крайней мере, это надо иметь в виду при обсуждении нового законопроекта.

База злоумышленников

Вторая активно обсуждаемая тема в новации — это база данных подозрительных счетов. Законопроект предусматривает приостановку перевода на два дня, если только деньги отправлены на подозрительный счет из этой базы. Фактически базу подозрительных счетов «О случаях и попытках осуществления перевода денежных средств без согласия клиента» Банк России ведет с 2018 года, но сегодня о ней заговорили в новом контексте — именно в связи с двухдневным периодом «охлаждения» и возврата средств клиенту. Новую инициативу ЦБ большинство экспертов приветствуют. Но у тех, кто слышит об этой базе впервые, тут же возникают вопросы: если они попали каким-то образом в эту «базу дропперов» случайно, каков порядок исключения из этой нее? Не поменяется ли он в связи с принятием нового закона? Пока об этом информации нет. И если, скажем, попадание в базу ошибочное, кто и как будет компенсировать репутационные потери? Поди потом доказывай — льготных кредитов от банков не получишь.

Профиль безопасности — каждому!

Насторожила граждан еще одна инициатива — уже экспертного совета при ЦБ. Дело касалось обязательной «заморозки» переводов между физическими лицами на сумму свыше 10 тыс. рублей на специальных промежуточных счетах. При этом уже потом для разблокировки перевода отправитель должен был бы пройти дополнительную идентификацию. ЦБ не поддержал эту громоздкую инициативу, а вместо нее заявил о необходимости сосредоточиться именно на идее периода «охлаждения».

Наверное, общим подходом в подобного рода инициативах стала бы возможность дать клиентам действовать системно. Что это значит?

Например, разумно предоставить клиентам возможность самостоятельно настраивать собственный профиль безопасности.

И если клиент, например, новый, то по умолчанию в его профиле изначально установить максимальную степень защищенности. Более опытные клиенты должны иметь возможность самостоятельно устанавливать в своих счетах настройки доступа и взаимодействия (так называемые МАПы — методы аутентификации платежей). Для каких-то счетов с крупными суммами можно исключить удаленный доступ вообще (кроме операций пополнения).

ЦБ в этой части «услышал» экспертов и своим Указанием № 6071-У с 1 октября 2022 года обязал все банки разрешить клиентам самостоятельно устанавливать запрет на онлайн-операции и ограничивать их параметры. Станут ли этим пользоваться клиенты? Будут ли сами банки активно рекомендовать эти услуги клиенту в офисе? Об этом мы скоро узнаем. Пока такие сервисы уже доступны, по крайней мере, в одном крупном банке.

Хотелось бы в продолжение инновационных идей ЦБ дать ему еще одну подсказку, а именно поразмыслить над механизмом двусторонней аутентификации и банка, и клиента. Что имеется в виду?

При звонке или сообщении, которые поступают клиентам из финансового учреждения, сомневающийся человек должен иметь возможность аутентифицировать и сам банк. При этом окончательно убедиться, что звонит ему не «робот», и не мифическая «служба безопасности банка», а злоумышленник. Такая двусторонняя аутентификации, уверен, также снизит успехи социальных инженеров.







Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ