Финансовое мошенничество идет в гору

В России резко ускорился рост числа финансовых мошенничеств. По данным Банка России, в 2024 г. объем операций без добровольного согласия клиентов (под этим термином понимается денежный перевод, совершенный человеком вследствие обмана или злоупотребления доверием) в российских банках по сравнению с 2023 г. увеличился на 74,36%. Годом ранее динамика была гораздо скромнее: в 2023 г. объем операций без согласия клиентов вырос относительно 2022 г. на 11,48%.

В 2024 г. в общем объеме хищений основную долю составили денежные средства, украденные у клиентов – физических лиц. На них пришлось 28,9 млрд руб. против 0,7 млрд руб., «уведенных» у юрлиц. При этом по количеству хищений самыми распространенными стали операции с использованием платежных карт (822 000 из 1,196 млн мошеннических операций в целом). Максимальный же объем пришелся на операции, связанные с использованием систем дистанционного банковского обслуживания, – 9,6 млрд руб.

Наиболее распространенным методом проведения операций без добровольного согласия с использованием мобильного устройства является его заражение вредоносным кодом, отмечается в материалах Банка России. Таким образом, злоумышленник может, в частности, получить возможность составления распоряжений об осуществлении переводов денежных средств, а уведомления о совершении операций оказываются недоступны владельцу гаджета. При этом использование методов социальной инженерии (ссылки в СМС-сообщениях, реклама на сайтах и т. п.) существенно повышает вероятность заражения.

Точки уязвимости

Проблема финансовых мошенничеств, в том числе с использованием современных технологий и методов социальной инженерии, – вопрос для России очень насущный и актуальный, говорит старший менеджер в области кибербезопасности консалтинговой компании Kept Марк Гордеев. Банк России совместно с МВД регулярно делится устрашающей статистикой по количеству и суммам ущерба, и тенденция неутешительная, отмечает он. По словам Гордеева, злоумышленники для осуществления атак используют актуальные информационные поводы, например государственные праздники, экзамены, окончание учебного года. Также эксплуатируются важные для людей темы: пенсии, трудовой стаж, коммунальные услуги и т. д. Развитие цифровизации, широкая доступность технологий, способствующих созданию поддельных материалов (фото-, аудио- и видео-), позволяют преступникам охватить большее количество потенциальных жертв.

Проблема стоит очень остро, считает главный эксперт «Лаборатории Касперского» Сергей Голованов. По его словам, злоумышленники активно используют все возможные каналы связи (электронную почту, мессенджеры, звонки), постоянно меняют схемы обмана, присылают голосовые и видеосообщения, чтобы убедить потенциальных жертв совершить те или иные действия. Согласно данным сервиса Kaspersky Who Calls, за первый квартал 2025 г. по сравнению с аналогичным периодом 2024 г. доля российских пользователей, столкнувшихся с классическими звонками с подозрением на мошенничество с неизвестных номеров, выросла почти на 3%, до 43%. А доля клиентов «Лаборатории Касперского», которым приходили вызовы от злоумышленников в WhatsApp, увеличилась за это время в 3,5 раза.

Начальник управления банковской безопасности ОТП Банка Сергей Лапихин отмечает резкую активизацию дропперов – людей, умышленно или неумышленно оказывающих помощь мошенникам, принимая средства их жертв на свои счета, не входящие в базы данных подозрительных. В первом квартале 2025 г. количество предотвращенных банком операций без добровольного согласия клиентов увеличилось на 28% по сравнению с четвертым кварталом 2024 г., рассказывает он. По словам Лапихина, ситуация усугубляется тем, что мошенники активно используют современные технологии (особенно искусственный интеллект, ИИ), методы социальной инженерии, а также эксплуатируют пробелы в цифровой грамотности населения. Особенно уязвимыми, отмечает он, являются пожилые граждане, а также пользователи, которые не уделяют должного внимания базовой кибергигиене : не проверяют источники звонков, переходят по фишинговым ссылкам, доверяют звонкам от «службы безопасности банка», «сотрудников» МВД и ФСБ.

Основным каналом, через который действуют злоумышленники, остается социальная инженерия в телефонном мошенничестве, рассказывает Голованов. Часто общение с потенциальной жертвой начинается в мессенджере с фальшивых аккаунтов, якобы принадлежащих коллегам по работе. Иногда под разными предлогами злоумышленники убеждают людей установить на смартфон якобы защитные решения, приложения техподдержки или другие сервисы. Но на самом деле пользователям отправляют в мессенджерах зловредные программы.

Два самых используемых канала для первичного проникновения к потенциальной жертве – звонки на мобильные телефоны и мессенджеры, соглашается Гордеев. А вот каналы вывода средств отличаются. Мошенники могут осуществить перевод со счетов, оформить кредит. Кроме того, они способны уговорить жертву самостоятельно выполнить эти действия, снять наличные, а также вынести ценные вещи из дома и передать их сообщникам злоумышленников, рассказывает эксперт.

Лапихин, помимо звонков, упоминает фишинг – рассылку поддельных сообщений с целью кражи данных. Также эксперт приводит в пример взлом аккаунтов на портале «Госуслуги». По оценкам специалистов, в 2024 г. около 40% случаев мошенничества были связаны с этой схемой, говорит он.

Что касается атак на организации, то для них, по словам Гордеева, «физический» канал воздействия, как правило, неприменим. Поэтому основной целью злоумышленников являются вывод денежных средств путем оплаты подставных счетов либо получение сведений о внутренних системах и инфраструктуре, а также получение учетных данных для доступа к таким системам.

«В сегменте B2B можно выделить рост атак через подрядчиков и поставщиков», – рассказывает Голованов. Мошенники проникают в инфраструктуру предприятия, которое сотрудничает с организацией или предоставляет ей какое-либо программное обеспечение, и уже через него проводят атаку непосредственно на саму организацию. Примерно каждая вторая атака на бизнес начинается с использования уязвимостей или подбора паролей, говорит он.

Платежная дисциплина

Самые частые варианты мошенничества при использовании платежных сервисов – рассылка поддельных ссылок или кодов для оплаты, рассказывает Гордеев. Пользователи самостоятельно в силу невнимательности или недостаточной осведомленности о таких способах атак осуществляют оплату. Также возможно получение злоумышленником контроля над устройством пользователя (телефоном или компьютером), на котором открыта текущая сессия работы в системах и приложениях, таких как онлайн-банк, госуслуги и аналогичные сервисы. Поэтому важно настраивать дополнительные факторы аутентификации и регулярно завершать сессии, считает эксперт.

В большинстве современных приложений и на сайтах этих сервисов подобные настройки сделаны по умолчанию, говорит Гордеев, однако стоит перепроверить пользовательские настройки, такие как «запомнить меня», «не спрашивать пароль» (этими опциями необходимо пользоваться с осторожностью), «включить двухфакторную аутентификацию» (эту опцию рекомендуется использовать).

Сами платежные сервисы или приложения обычно хорошо защищены, считает Голованов. Но злоумышленники могут украсть средства, например, подменяя реквизиты. Поэтому пользователям всегда важно проверять адрес сайта, где планируется провести оплату, а также поля с информацией о получателе и назначении платежа.

В «Сбере» самыми безопасными называют платежи по биометрии. По данным банка, уровень мошенничеств нулевой. Клиент при прохождении аутентификации смотрит в камеру платежного терминала, а попытки обмануть систему (например, используя фотографию или маску) пресекаются встроенным в нее ИИ.

Биометрические платежи обладают рядом преимуществ по сравнению с традиционными методами оплаты, считает Лапихин. Прежде всего, это безопасность: биометрические данные сложно подделать, что снижает риск мошенничества. А также удобство – отсутствие необходимости носить с собой физические карты или запоминать пароли. Однако, отмечает эксперт, в случае утечки биометрических данных последствия могут быть более серьезными, чем при компрометации паролей или карт. Это связано с тем, что биометрические данные, в отличие от паролей, невозможно изменить.

Для обеспечения безопасности биометрических платежей на рынке предпринимается ряд мер, рассказывает Лапихин. Прежде всего, это мультифакторная аутентификация, когда биометрия используется в сочетании с другими методами подтверждения личности. Важную роль играет шифрование: биометрические данные хранятся в зашифрованном виде, что затрудняет несанкционированный доступ к ним. Также Лапихин отмечает систему распознавания живого присутствия (liveness detection), которая позволяет отличить живого человека от «подделки».

Оплата по биометрии вполне безопасна, считает Голованов. Вместе с тем необходимо, чтобы все участники процесса – от разработчиков до организаций, обрабатывающих данные, – строго соблюдали требования по защите информации. Важно комплексно подходить к обеспечению безопасности всей инфраструктуры, задействованной в сборе и хранении персональных сведений. Хранение биометрической информации не в виде изображений, а в формате числового кода, полученного с помощью специальных алгоритмов, – ключевое условие для ее защиты, считает Голованов. «При соблюдении всех стандартов безопасности даже в случае утечки злоумышленники не смогут использовать похищенные данные для проведения нелегитимных манипуляций», – говорит эксперт.

Именно так и организована система хранения информации, отмечается в материалах Единой биометрической системы (ЕБС, государственная информационная система, которая собирает, хранит, обрабатывает и проверяет биометрические персональные данные россиян. – «Ведомости. Инновации и технологии»). В ЕБС подчеркивают, что биометрические данные хранятся в зашифрованном виде и никогда не покидают периметра системы. А за ее пределами могут использоваться только биометрические векторы – обезличенные наборы символов, сгенерированные на основе биометрических образцов. При этом сами биометрические образцы, которые хранятся в системе, не привязаны к персональным данным пользователей. В базе нет имен и фамилий, ИНН, адресов и иной чувствительной информации.