Руководитель отдела анализа кибербезопасности и IT-рисков в Центре анализа и расследования кибератак (ЦАРКА) Иван Филько в эксклюзивном интервью Деловому Казахстану рассказал о новых способах мошенничества и способах оформления кредитов на человека без его ведома.
-Развивается онлайн-банкинг, рынок мобильных приложений. Насколько высок риск, что эти сервисы взломают и украдут наши деньги?
-Нужно понимать, что абсолютной системы в мире нет. Тот же Пентагон взламывали, поэтоу говорить о том, что какой-либо банк защищен полностью от кибератак, нельзя. Надо отметить, что банки Казахстана встречаются с киберугрозами общемировыми. То есть, на банки Казахстана нападают не только хакеры из Казахстана, наши финансовые институты интересны для хакеров из соседних стран и дальнего зарубежья. В тоже время, банки немало средств инвестируют в безопасность и сравнительно они безопасны. С другой стороны, мы сейчас видим большое количество сообщений в СМИ о том, что деньги были как-то украдены и переведены. Здесь я бы хотел отметить, что некоторые порталы с целью получения конверсии манипулируют информацией и дают не совсем правильные заголовки. Я лично видел статью с заголовком о том, что со счета человека в известном банке перевели деньги без его ведома. Потом, почитав содержание, выясняется, что мошенник перед этим позвонил человеку и, представившись сотрудником банка или полиции, убедил жертву добровольно перевести деньги. В данном контексте не банк был взломан.
На моей памяти за последние 5 лет не было случаев, что взламывали именно банк или приложение банковское. Зато немало ситуаций, когда люди добровольно передавали свои средства мошенникам или сообщали им свои пароли, после чего мошенники получали доступ к счетам. Но именно случаев прямого взлома банков не было.
Чтобы физически сломать защиту банковских информационных систем, нужны большие ресурсы и опыт именно в этой сфере, это не сможет сделать один человек, нужна организация, целая преступная группировка, обладающая большими возможностями. Самоучки банкам не опасны.
-Бывают случаи, что человек живет и радуется, а потом ему приходит уведомление, что на него оформлен кредит…
-Чаще всего, в этой ситуации виноват сам человек. Как это бывают? У нас принято говорить, что банки кому-то отдают наши данные, но на самом деле наши паспортные данные получить очень легко. Мы делаем копии удостоверений личности в подземных переходах, можем отправить сотруднику отдела кадров по WhatsApp фото документов и не следим, как отделы кадров в принципе хранят документы. И так далее.
-То есть, не обязательно взламывать банк, чтобы получить данные об удостоверении личности и взять в банке кредит на чужое имя?
-Человек за счет невнимательности оставляет свои данные. Также бывает, что люди теряют документы, оставляют их без присмотра, и кто-то фотографирует их и использует в своих целях.
-Мы вводим данные при онлайн-покупках, и здесь мошенники тоже ведь могут, получив доступ к смартфону, узнать наши данные. Как с этим быть?
-Надо понимать, что телефон – это информационная система, «железо», оборудование, и вы уак владелец своего телефона должны осознавать, что несете ответственность за программы, которые там установлены, за то, кому вы даете его в руки, какие приложения и программы вы закачиваете, по каким ссылкам переходите.
Если вы закачиваете вирусные приложения на свой телефон и оно фиксирует экран во время ввода данных в мобильном банкинге, то это вина человека. То есть, банк не может отвечать за то, как вы пользуетесь своим устройством. Когда вы скачиваете/устанавливаете какое-либо приложение, вас просят поставить галочку возле пункта «Согласен с условиями…». У нас чаще всего не читают, что написано в этих условиях, но по сути это как юридически признанный договор, вы сами разрешаете приложению фотографировать ваш экран, пользоваться галереей и так далее.
Если персональные данные где-то всплыли, то виноват не банк, и эти приложения. В детстве учат не открывать двери незнакомцам, не класть под дверь ключ, но никто не рассказывает о финансовой гигиене.
-Допустим, банки не виноваты. А что вы скажете насчет взломов баз данных государственных органов? Такие факты были, к сожалению, и не раз…
-Действительно, такие случаи есть, и это еще раз подтверждает то, что я сказал ранее – абсолютно защищенных от взломов систем нет. Технически взломы возможны, особенно когда внедряется новый продукт, что-то может оказаться не до конца настроенным вне периметра безопасности. Такие кейсы есть. Но здесь я бы не стал делать из этого сенсацию. Да, происходит, да, с этим борются, в том числе на законодательном уровне, и ситуацию в общем улучшается. Но инциденты, к сожалению, случаются.
-И как после этого доверять базам данных?
-Надо понимать, для чего мошенникам нужны ваши данные? Если преступник узнает имя и фамилию, ваш адрес, размер зарплаты и телефон, то он все равно будет звонить вам и, пользуясь данными, просить вас перевести деньги от имени полиции, банка и пытаться втереться к вам в доверие. В конечном счете вы, как внимательный гражданин, можете остановить это мошенничество. Пусть даже про вас вам все рассказывают, помните простое правило: сотрудники банка не просят пин-коды и так далее. Если они знают все ваши паспортные данные, это не даст доступ к вашему банковскому счету, но позволит попытаться войти к вам в доверие.
-Какой самый новый метод мошенничества?
-К вам на карту может прийти перевод, через 5 минут вам звонит человек и говорит, что переводил деньги жене и случайно скинул вам, просит вернуть ему деньги. Вы думаете, что он реально ошибся номером и переводите ему эти деньги, а потом выясняется, что это был кредит, который упал вам на карту, а вы эти деньги переслали ему на карту. В таком случае возникает момент, что с точки зрения микрокредитной организации кредит у них получили вы, а куда вы эти деньги дели, не их зона ответственности. Мы советуем перепроверять такие звонки и не сообщать никакие данные о себе.
-Еще недавно был случай, что женщина недавно узнала, что на нее оформлен кредит, ей приходил код на телефон в виде смс, но никому его она не диктовала.
-Встречный вопрос: Получила ли она деньги? Если нет, то в данной ситуации нужно уведомить банк и площадку, с который был оформлен этот кредит. В организациях есть свои отделы, которые начнут мониторить этот случай и дальше идет расследование. Если и правда она в этом не участвовала, то это все выяснится, что она не брала кредит и никому не говорила коды, то с нее снимут долги, это уже уголовное дело, полиция делает запрос в рамках уголовного процесса. Со стороны пользователя, если он видит непонятную активность, смс-ки, важно уведомить именно тот банк, с которого пришло.
Причем звонить нужно именно в сам банк, а не по тем номерам, которые указаны в смс. Это важный момент. Не поленитесь найти в интернете call-центр именно банка, иначе, попадете в руки мошенников и своими руками возьмете кредит для преступников. Платить долг в этом случае будете уже вы.
Альберт Ахметов
