ЦБ опубликовал «Обзор операций, совершенных без согласия клиентов финансовых организаций за 2019 год». Методы социальной инженерии по-прежнему остаются самыми популярными у злоумышленников, а банки продолжают возвращать клиентам лишь малую часть похищенных средств. Самое главное из обзора ЦБ – в подборке Frank Media.
- В 2019 году объем операций без согласия клиентов составил 6,4 млрд рублей, их количество превысило 576 тыс. Средний размер неправомерных транзакций со счетами граждан составил 10 тыс. рублей, со счетами компаний – 152 тыс. рублей.
- Клиенты часто сами проводят транзакции в пользу мошенников, которые используют методы социальной инженерии. 69% нежелательных операций осуществили именно клиенты. В 2018 году показатель составлял 97%. Улучшение ЦБ объясняет изменением методики подсчета базовых показателей и повышением киберграмотности населения.
- Банки возместили клиентам только 15% похищенных средств, в сумме компенсация составила 935 млн рублей. ЦБ собирается пересмотреть процесс возврата похищенных средств: клиенты часто нарушают условия договора с банками, потому что их обманывают мошенники.
- ЦБ намерен повышать безопасность сферы финансовых услуг. Сейчас клиенты недостаточно доверяют дистанционным банковским сервисам, считая их небезопасными для своих финансов. Регулятор прогнозирует рост количества и объема операций с использованием электронных средств платежей (ЭСП) и карт.
- С помощью ЭСП преступники совершили почти 72 тыс. операций на сумму 5,7 млрд рублей. К ЭСП относятся операции в банкоматах и терминалах, оплата товаров и услуг в интернете, а также операции в системе дистанционного банковского обслуживания.
- С использованием платежных карт злоумышленники совершили всего 0,0023% всех операций в 2019 году. Годом ранее этот показатель составлял 0,0018%. В 2019 году мониторинг ЦБ зафиксировал 40 тыс. случаев использования карт в банкомате или терминале без ведома клиента, сумма хищений составила 525 млн рублей. Банки вернули клиентам 10% похищенных средств.
- Чаще всего злоумышленники похищают средства во время покупок в интернете (CNP-транзакций). В 2019 году клиенты банков сообщили о 371, 1 тыс. таких операций. Две трети операций стали возможными в результате применения методов социальной инженерии. Ущерб – почти 3 млрд рублей, банки вернули клиентам 653,2 млн рублей.
- Чаще всего преступники крадут деньги с банковских счетов в Москве и Санкт-Петербурге, причем столица лидирует с заметным отрывом: в Москве совершили более 300 тыс. операций на сумму в 2,5 млн рублей, в Санкт-Петербурге – 13 тыс. на сумму 400 тыс. рублей.
- На неправомерные платежи, совершенные за границей в 2019 году, пришлось 42,5% от количества всех операций без согласия клиента и 29,3% от их объема. Годом ранее показатели составили 44% и 40,7% соответственно. ЦБ считает, что банки должны лучше информировать своих клиентов о рисках при трансграничных переводах.
- В 2019 году ЦБ зафиксировал 4,6 тыс. операций без согласия компаний. Сумма ущерба составила 701 млн рублей, около 10% похищенных средств банки вернули клиентам. Злоумышленники получали доступ к системам банковского обслуживания с помощью взлома программного обеспечения. Большинство хищений также произошли в Москве и Санкт-Петербурге.
- ЦБ получил информацию о 973 инцидентах на сумму более 100 млн рублей, связанных с несанкционированным доступом к информационной инфраструктуре организаций. Чаще всего доступ получали сотрудники. Это стало причиной 877 инцидентов, компьютерные атаки применялись лишь в 58 случаях.
- Банк России намерен совершенствовать законодательство в области обеспечения безопасности финансовых организаций и повышать финансовую грамотность населения.
Экспертное мнение. Ведомства недостаточно скоординированы для борьбы с кибермошенничеством и социальной инженерией, отметил вице-президент Ассоциации банков России Алексей Войлуков на XII Уральском форуме «Информационная безопасность финансовой сферы». Он считает, что необходимо дать правоохранительным органам и финансовым организация доступ к базам ЦБ, что вместе с налаженным электронным взаимодействием банков и их клиентов с правоохранительными органами позволит быстрее реагировать на инциденты. Так, в 2019 году было возбуждено 300 тыс. дел о хищении средств кибермошенниками. При это ЦБ сотрудничал с правоохранительными органами только в 180 случаях.
Зачем вам об этом знать. Ранее Positive Technologies уже сообщала о недостаточной защищенности российских банков от внешних и внутренних кибератак. Обзор ЦБ это подтверждает, обнажая дополнительные проблемы, в том числе социальную инженерию. Банки могут использовать эти данные для планирования мероприятий по управлению рисками и защите информации.
