Как безопасно осуществлять платежи в онлайне и в мобильном банке? Какие существуют средства защиты?

А. Голубев― Здравствуйте. У микрофона – Алексей Голубев. И с нами на связи – Вячеслав Касимов, директор департамента информационной безопасности Московского кредитного банка. Вячеслав, добрый день.

В. Касимов― Добрый день.

А. Голубев― Мы сегодня с вами будем говорить о том, как безопасно осуществлять платежи в онлайне, в мобильном банке, какие существуют средства защиты. И у меня сразу первый будет вопрос. Вообще, по каким вопросам могут людям обычным, физическим лицам, звонить из банков?

В. Касимов― Вариантов звонка, непосредственно инициированного банком, не очень много. И я бы свел это к двум жизненным ситуациям. Первая ситуация – это когда человек совершает платеж, и если он вдруг окажется подозрительным банку, например, какой-то нетипичный для человека платеж (ни разу не переводил, списывается вся сумма), то может раздаться звонок от службы мониторинга, которая предназначена для того, чтобы предотвратить мошенничество в отношении клиента. Но что характерно, в рамках данного звонка звонящий будет знать все про этот платеж, и весь ответ сведется к банальному «да, это мое» или «нет, это не мое», то есть такой достаточно бинарный будет.

А второй вариант – это, естественно, реклама. Потому что банки иногда предлагают клиентам открыть вклад или взять кредит. И это тоже нормальный процесс. Но здесь тоже своя характеристика есть, которая заключается в том, что не будут предлагать куда-то деньги перевести, а просто расскажут какие-то подробности о продукте, может быть, зарегистрируют заявку, не более того. И все сведется либо к каким-то активным действиям по открытию вклада самостоятельно в интернет-банке, либо подаче заявки на кредит, либо к каким-то активным действиям непосредственно в офисе.

Оба способа взаимодействия достаточно безопасны, понятны и не могут, наверное, вызвать подозрений, в отличие от звонков не из банка.

А. Голубев― Вячеслав, а могли бы вы посоветовать, вот что стоит запомнить, о чем стоит знать, какие просьбы, какие требования, предложения звонящего должны нас насторожить, чтоб мы задумались: «Ага, кажется, здесь что-то неладное. Это может быть мошенник»?

В. Касимов― Как правило, сейчас, по крайней мере, – может быть, скрипты поменяют звонящие – они представляются даже не столь часто сотрудниками службы безопасности банка, сколько различными представителями МВД, Следственного комитета и так далее, и, соответственно, начинается какая-нибудь страшилка про то, что деньги пытаются украсть, и нужно куда-то их перевести. Вот принуждение через звонок вне зависимости от того, как кто-то представился, к тому, чтобы перевести куда-то деньги – вот это и должно и насторожить, потому что это уже аномалия.

То есть ты сидишь, никого не трогаешь, починяешь примус, и тебе звонят и говорят, что тебе нужно куда-то деньги перевести. Да с чего вдруг мне нужно деньги переводить? И вот этот вопрос должен быть основным? И его прояснение может произойти только с участием банка, в котором хранятся деньги. А для того, чтобы это участие обеспечить, естественно, необходимо самостоятельно набрать банк или прийти в офис.

А. Голубев― Да, но представим, что по какой-то причине нам позвонил действительно сотрудник правоохранительных органов. Но я думаю, никакой сотрудник правоохранительных органов не будет требовать или просить, предлагать что-то куда-то перевести, правда?

В. Касимов― Само собой. И более того, стандартная, наверное, модель взаимодействия с сотрудниками правоохранительных органов чуть-чуть отличается от телефонных звонков. Если вдруг правоохранительным органам что-то нужно, все же инициация происходит либо лично, либо по почте. И, естественно, ни один честный сотрудник правоохранительных органов не будет говорить про то, что «многоуважаемый человек, будьте добры, переведите деньги в связи с тем, что там происходят какие-то мошеннические действия в отношении вас, вашего счета и так далее».

А. Голубев― Я напомню, что в эфире радиостанции «Эхо Москвы» – Вячеслав Касимов, директор департамента информационной безопасности Московского кредитного банка. Мы говорим о том, как безопасно осуществлять платеж в онлайне, в мобильном банке, и о том, какие существуют средства защиты. Вячеслав, ну а если нам звонит человек из банка и вроде бы все в порядке, особых подозрений не вызывает, но все-таки хочется перестраховаться, как понять, что звонит действительно человек из настоящего банка?

В. Касимов― Достаточно, на самом деле, спросить какие-то идентификаторы этого человека (например, фамилию, имя, отчество, должность) и прямо сказать: «Хорошо, спасибо вам за обращение, давайте я сейчас совершу обратный звонок в банк». И совершите этот обратный звонок либо посмотрев номер телефона, который указан на сайте банка, либо на обратной стороне карточки (как правило, все дружно указывают номера телефонов), и просто спросите, чем было вызвано обращение такого-то человека с таким ФИО и с такой должностью. И, естественно, если это была действительно инициация со стороны банка, то все расскажут, покажут и так далее.

Но все же, как правило, с такими заходами будет связано некоторое недоумение на стороне колл-центра, потому что с большой вероятностью такого звонка из банка не происходило, и, скорее всего, такой человек в банке не работает.

А. Голубев― А сам сотрудник банка готов к такой подозрительности клиента? Вот если я скажу: «Давайте-ка я перепроверю информацию, сам вам перенаберу», как к этому в банке отнесутся?

В. Касимов― Если действительно сотрудник банка звонит, то это абсолютно нормальный процесс. И, естественно, готовы. Потому что если какие-то подозрения у клиента возникают, то самим говорить, что давайте вы сделаете обратный звонок в банк, давайте вы посмотрите номер телефона из достоверных источников (как я уже сказал: сайт, карта), – это абсолютно нормально. То есть здесь никаких проблем с точки зрения работника банка именно не возникает. А проблемы с мошенническими колл-центрами, естественно, возникают, потому что если такого рода звонок состоится, то у них вся схема мошенничества тут же схлопнется в отношении одного человека.

А. Голубев― Да, но если произошел подозрительный, странный звонок из банка или якобы из банка, надо ли об этом куда-то сообщать, даже если ничего страшного не произошло, мы вовремя положили трубку? Надо ли сигнализировать кому-то, что был такой факт?

В. Касимов― Да, конечно. Это крайне полезная информация для нас, потому что мы и со своей стороны проверки проводим, и с правоохранителями взаимодействуем по части таких кейсов. Поэтому в данном случае какая-то дополнительная информация для нас лишней совершенно точно не будет. И имеет смысл обратиться в колл-центр банально и сообщить о том, что произошел звонок с такого-то номера в такое-то время, содержание разговора донести. Это важно и это полезно, потому что я лично считаю, что зло не должно оставаться безнаказанным, а такого рода действия помогают наказывать.

А. Голубев― Смотрите, сегодня столько возможностей для совершения платежей в онлайн, в мобильном приложении. И есть система подтверждения платежей, с помощью push-уведомлений, SMS-сообщений, присылают коды, которые нужно отправить, подтвердить и так далее. Вот при всей этой существующей уже системе защиты платежей бывает ли такое, что еще из банка дополнительно позвонят и скажут, что «подтвердите ваш платеж» или «мы сейчас останавливаем ваш платеж»? Могут такие звонки быть?

В. Касимов― Да, конечно, такие звонки могут быть. Это стандартный процесс для служб фрод-мониторинга, когда действительно звонят клиенту и говорят, что платеж приостановлен, и для того, чтобы он в итоге совершился, давайте с вами подтвердимся, скажем так. Но что очень важно, в таком случае звонящие говорят те параметры платежа, которые, по идее, должен был вводить сам клиент, то есть они говорят, кто получатель, они говорят, какая сумма, проверяются последние несколько цифр счета либо последние несколько цифр карты, на которую перевод совершается.

И очень важен этот момент, потому что звонящий из банка действительно должен знать о том, кто его клиент, и что происходит с какой-то операцией. Он не должен этого спрашивать у клиента. И это действительно важный момент, на который следует обращать внимание. Но сценарий, про который вы говорите, – это совершенно обыденная вещь. И это действительно так работает, да.

А. Голубев― Вячеслав, хочется понять, откуда вообще у мошенников появляются данные о клиентах банков. Ведь они зачастую звонят и обращаются по имени-отчеству, естественно, знают фамилию и то, что я являюсь клиентом определенного банка. Откуда у них столько информации обо мне уже есть?

В. Касимов― На самом деле, здесь два варианта есть. Первый вариант – это когда они просто пытаются угадать. Есть у нас один банк в России, и количество его клиентов таково, что если назваться работником службы безопасности именно этого банка, то с очень высокой вероятностью можно попасть в клиента этого банка. Второй вариант – это когда действительно есть сведения о том, где обслуживается или обслуживался клиент.

И как правило, по результатам наших исследований, эти данные все-таки получают из интернет-магазинов. Почему так? В части интернет-магазинов регуляция откровенно слабее, чем в части банков, и они вопросам информационной безопасности столько внимания не уделяют, как банки. Во-вторых, они являются некоторым сосредоточением в том числе сведений о банковских картах. И даже банальное маскирование этих карт таково, что вполне возможно, что в журналах, в логах интернет-магазина остается маскированный номер карты, а первые 6 цифр этого маскированного номера позволяют вполне себе идентифицировать банк, который является эмитентом.

Поэтому путем несложных манипуляций из украденной какой-то базы интернет-магазина, кто клиенты, с какими номерами телефонов, где живут или куда нужно было доставлять заказ, вот этим полным либо маскированным номером карты вполне можно установить, клиентом какого банка является человек.

А. Голубев― Ну вот с учетом того, что мы как пользователи сети ежедневно оставляем какой-то след, вводим собственные данные, как можно при этом обезопасить себя, как можно не так сильно светить свои данные? Есть какие-то способы минимизировать риски?

В. Касимов― Наверное, есть. То есть можно же допускать, например, небольшие ошибки где-то в заполнении форм в интернет-магазинах, можно не предоставлять ту информацию, которая не является необходимой. И, в принципе, сейчас настала та пора, когда невозможно не взаимодействовать с интернетом и невозможно не оставлять свои данные там. Так или иначе это приходится делать, особенно в условиях пандемии, когда необходима, например, доставка продуктов. Если что-то кажется подозрительным, то не надо верить, совершенно точно, огульно всему тому, что присылается или сообщается в рамках коммуникаций, которые не были инициированы самим человеком.

А. Голубев― Да. Спасибо вам большое, Вячеслав. С нами на связи был Вячеслав Касимов, директор департамента информационной безопасности Московского кредитного банка. Спасибо и до свидания.

В. Касимов― Большое спасибо. Всего доброго.