Хотя и полиция, и СМИ, и банки призывают клиентов к осторожности и бдительности, а сами схемы подобного вида мошенничества – одна из наиболее обсуждаемых тем в социальных сетях и прессе, на крючок мошенников все равно то и дело кто-то попадается. Причем не только и не столько наивные, не слишком сведущие в реалиях цифрового мира люди старшего поколения, сколько вполне продвинутые люди среднего возраста и молодежь…
«Они слишком много знали...»
Недавно на нашу «Горячую линию» позвонил читатель Илья Г. и поделился своей историей – КАК, а главное, ПОЧЕМУ он оказался жертвой телефонных мошенников, лишившись более 300 евро.
Илья рассказал: «16 июня 2021 года на мой телефон поступил звонок с номера 371 67269610. Звонивший представился сотрудником службы безопасности Swedbankа и сообщил мне, что с моего банковского счета в Swedbank происходит попытка хищения денег на сумму 300 евро и что службой безопасности Swedbank эту попытку блокировал.
Далее разговор проходил с несколькими субъектами, которые также представлялись сотрудниками банка. Заподозрить, что я имею дело с мошенниками, было очень сложно, поскольку в ходе беседы выяснилось, что у них была достаточно полная информация как обо мне лично (мое имя, фамилия, мой номер телефона), так и информация обо мне как о клиенте банка (полная информация о моей банковской карте и остаток на моем счете). Мои собеседники были настолько убедительны, что я допустил ошибку: дал им доступ к своему счету. Ну а дальнейшее было делом техники: мошенники сняли с моего счета все, что там было – 301,11 евро».
Признавая свою ошибку, Илья тем не менее уверен: солидарную ответственность за случившееся и с ним, и с другими жертвами мошенников должен нести и банк. В подтверждение своего мнения он привел такие аргументы: «Кража денег произошла в период с 11.51 до 12.20. Зайдя в интернет-банк около 14.23, я обнаружил, что деньги с моего счета сняты, но остаются зарезервированными. Я немедленно связался со службой поддержки клиентов Swedbank (в 14.28), рассказал о случившемся и попросил отменить или остановить транзакцию. Однако сотрудник банка ответил, что транзакцию отменять не имеет права и как сотрудник попробует написать претензию по транзакции сделки.
Ровно в 15.00 я был в филиале банка на улице Дзелзавас. Номер пользователя и учетная запись Smart-ID были немедленно изменены. Банк также предложил мне купить страховой полис от подобных происшествий и/или открыть отдельный счет для покупок в интернете. Затем было оформлено заявление для подачи в полицию. На этом общение с банком завершилось.
В ходе нашей коммуникации сотрудники банка все время пытались убедить меня, что ответственность за случившееся целиком и полностью лежит на мне. Напирали на то, что я сам дал мошенникам «ключ от счета, где деньги лежат» (чего, как я уже говорил выше, не отрицаю). Говорили, что реквизиты моей банковской карты, очевидно, стали достоянием мошенников, когда я совершал покупки в интернете; мои возражения, что этот счет в основном использовался только для местных транзакций (коммунальные платежи, оплата детских курсов и т. д.), были попросту проигнорированы. На мой вопрос, насколько реально вернуть украденную сумму, мне отвечали, что мне в связи со случившимся нужно обращаться в полицию.
Разумеется, я обратился с заявлением в Кенгарагский участок Рижского регионального управления государственной полиции. Однако аргументы сотрудников банка, сводившиеся к выводу «сам виноват», меня все-таки не убедили. И вот почему.
Первое: как я уже упоминал выше, поверить мошенникам меня заставил тот объем информации обо мне, которой они располагали. В частности, мои имя и фамилия с привязкой к конкретному номеру телефона. Да, многим людям из моего окружения известно, что я являюсь абонентом телефона с определенным номером – однако никому из них не известны мои данные как клиента банка. В свою очередь, мой контактный телефон не фигурирует ни в каких онлайн-платежах, равно как и сведения о том, когда я снимал деньги в банкомате в последний раз и сколько денег еще осталось на счету (эта информация вообще нигде не фигурирует, она доступна только мне и банку).
Все это дает мне основание полагать, что произошла утечка моих персональных данных, причем произошла она непосредственно из самого банка. Кстати, примерно в то же самое время я узнал от нескольких своих друзей и знакомых (все они также были клиентами Swedbank) об аналогичных звонках, целью которых была попытка хищения денег со счетов.
Второй важный момент. Любая международная транзакция происходит в течение 12 (двенадцати) рабочих часов. Это означает, что в течение всего этого времени банк имеет возможность контролировать процесс движения денег. И если получает соответствующий сигнал от жертвы мошенничества, может приостанавливать подозрительные сделки вплоть до выяснения всех обстоятельств. Думаю, что банки в Латвии обладают достаточными ресурсами для решения этой проблемы и вполне могли бы своевременно предотвращать случаи мошенничества.
Я неоднократно звонил консультантам Службы поддержки клиентов Swedbank, но так и не смог получить вразумительных ответов на свои вопросы».
Завершая свой рассказ, Илья Г. сказал, что подал заявление не только в Государственную полицию, но и в другие учреждения – в CERT.lv, в Государственную инспекцию данных, в Комиссию рынка финансов и капитала и в Ассоциацию финансовой отрасли. И получил подтверждение, что по данному случаю необходимо дальнейшее расследование на основании его заявления.
Swedbank: утечки данных не было!
Надо сказать, что в своем рассказе Илья Г. упомянул одну любопытную деталь; о ней рассказывали и другие жертвы мошенников, с которыми нам доводилось беседовать. Человек, пусть и с небольшим запозданием, сообразив, что попался «на крючок» мошенников, своевременно (!) сообщал об этом банку. Видя в своем интернет-банке, что деньги зарезервированы и на счета мошенников еще не поступили, он просил свой банк остановить эту сделку. Но сделка не «замораживалась», и клиент своих денег все-таки лишался.
Почему это происходит? Почему банк включает «зеленый свет», несмотря на то, что клиент бьет тревогу, сообщая о мошенничестве?
С этого вопроса началось наше интервью с руководителем коммуникации банка Swedbank Янисом Кропсом.
– Платежи посредством банковских карт – это, по сути, «соглашение» между покупателем и продавцом, в котором банк выполняет лишь одну функцию – перечисление денег. Если обе стороны-участницы подтверждают сделку, у банка нет права приостановить такую транзакцию, потому что на момент оплаты покупатель и продавец заключили соглашение купли-продажи.
В описанном случае мошенники не только выманили у клиента пароль интернет-банка, не только вошли в его интернет-банк, но и смогли убедить клиента подтвердить сделку. Учитывая, что клиент для подтверждения использовал код Smart-ID, он в момент совершения сделки сам подтвердил транзакцию. Банк не имеет права в этот момент прекратить сделку, поскольку клиент с выданным только ему механизмом безопасности дал согласие на выполнение транзакции. Банк может начать процедуру возврата переведенных денег только в тот момент, когда клиент сообщает банку о факте мошенничества, – уже на основании требования клиента.
Второй нюанс. То, что платеж в интернет-банке отображается как «зарезервированный», не означает, что данная сделка не состоялась. Такая транзакция уже размещена на счетах покупателя и продавца. Приведу пример: допустим, покупатель приобретает некий товар в магазине, расплачиваясь при помощи платежной карты, а затем звонит в банк, сообщает о мошенничестве, и банк в одностороннем порядке отменяет транзакцию. Теоретически, выполнив указание покупателя (своего клиента), банк таким образом стал бы соучастником обмана торговца: ведь покупатель уже покинул магазин с товаром, но решил вернуть заплаченные деньги. Поэтому в данном конкретном случае сотрудники банка попытались вернуть средства только после того, как приняли заявление клиента, на основании которого предполагалось отменить операцию по платежной карте.
– Допускаете ли вы, что действительно могла иметь место утечка информации именно из банка, в результате чего мошенники получили о клиенте исчерпывающую информацию, которая и помогла им втереться к нему в доверие?
– Безопасность данных – один из краеугольных камней деятельности банка. К сожалению, в эпоху цифровых технологий люди оставляют многие свои данные на самых разных платформах, так что мошенникам не нужно тратить свое время и силы на попытки взломать банковскую систему. Банк – далеко не единственная структура, откуда можно получить информацию о клиенте, такую, в частности, как его имя, фамилия, номер телефона и номер платежной карты. Мошенники отлично могут генерировать телефонные номера – до тех пор, пока им не удастся позвонить кому-то, кто действительно является клиентом банка.
Так, к примеру, мошенники могут узнать имя и номер платежной карты, взломав базу данных магазина, в котором покупатель ранее производил какой-либо платеж. Иногда создаются мошеннические интернет-магазины, как правило, в каких-то экзотических странах, с единственной целью – предоставить чрезвычайно выгодные скидки на какие-то товары, чтобы выманить личные данные тех, кто «клюнет» на этот «бесплатный сыр» и введет данные своей карты и свои персональные данные. Еще один прием: мошенники заранее отправляют потенциальной жертве электронные письма, и если человек ответил, это дает мошенникам возможность получить данные с компьютера или мобильного телефона. Не говоря уже о том, что данные клиентов могли быть куплены мошенниками на ресурсе Darknet, где данными торгуют люди, специализирующиеся на незаконном интеллектуальном получении данных (например, сравнительно недавно сообщалось, что с портала LinkedIN были украдены данные 700 миллионов пользователей).
Комментируя случившееся с нашим клиентом, обратившимся в газету, могу сказать, что по его заявлению Swedbank провел внутреннюю проверку, и утечки данных констатировано не было. Об этом факте также была проинформирована структура, контролирующая деятельность банков, – Комиссия рынка финансов и капитала, куда клиент также подал жалобу. В данном случае можно предположить – и это следует также из информации, предоставленной клиентом, – что мошенники, завладев обманным путем кодом доступа в интернет-банк, уже после этого совершили платеж. И то, что преступники знали, каков остаток на счете Ильи Г., вероятно, связано с тем, что к тому моменту у них уже был доступ к его банковскому счету.
– Как происходит сотрудничество банка с полицией в подобных случаях и происходит ли оно вообще?
– Взаимодействие банка с правоохранительными органами определяется как действующими в стране нормативными актами, так и внутренними положениями банка, разработанными на основании этих нормативных актов. В случае мошенничества человеку действительно необходимо обратиться в Государственную полицию, которая осуществляет дальнейшее расследование. В свою очередь, коммуникация между банком и Государственной полицией (правоохранительными органами) базируется на обоюдном обмене информацией; банк предоставляет всю имеющуюся в его распоряжении информацию, которая запрашивается в целях расследования.
Привидение из «Центробанка»
По иронии судьбы так получилось, что во время написания этого материала мне тоже позвонила мошенница, причем какая-то… не очень квалифицированная. Не потрудившись назвать мне ни мое имя, ни фамилию, ни банк, клиенткой которого я являюсь, она просто заявила, что звонит из Центробанка (?!) и что в данный момент некие неизвестные пытаются… и дальше по известной схеме.
Не желая тратить время на разговор с неумехой, я просто нажала на «отбой». Она позвонила снова – уже с другого номера, грозно спросив: «По какой причине прервалась связь с банком?» Ответ с моей стороны был таким же. В третий раз она не позвонила…
Возможно, будь «моя» мошенница чуть убедительнее, умнее и изощреннее, мне тоже была бы уготована участь «телефонной» жертвы. Но, как говорится, «кто предупрежден, тот вооружен». Поэтому, если кто-то сталкивался с подобными ситуациями и может поделиться полезной информацией, например, рассказать об ухищрениях, на которые в его конкретном случае шли телефонные мошенники, или о действиях, которые, на ваш взгляд, должно предпринимать кредитное учреждение (любое!) в целях защиты интересов своего клиента и т.д., мы будем искренне благодарны.
Давайте «вооружать» друг друга, предупреждая и делясь опытом, чтобы больше никто не попадался на удочку мошенникам!
Марина БЛУМЕНТАЛЬ.