Суды Санкт-Петербурга приступили к рассмотрению споров, связанных с необычным способом хищения денег со счетов граждан, открывших интернет-банк. Только один из клиентов потерял около 600 тысяч рублей. Почти 3 млн открытых петербуржцами банковских счетов может управляться через Интернет или напрямую с мобильного телефона. И несмотря на усилия финансистов, кибермошенники находят способы обойти систему безопасности. В том числе, используя дубликат сим-карты.
Большинство систем интернет-банкинга используют двухуровневую защиту. Для входа клиент должен иметь логин-пароль, который выдается при открытии счета. А для совершения операции необходимо получить на свой мобильный телефон SMS-сообщение с одноразовым паролем. Такая система до сих пор считалась «непробиваемой».
Операция «Перехват»
Как правило, логины и пароли мошенники собирают с помощью традиционных вирусов-«троянов». Это позволяет им войти в интернет-банк, но не совершать операции. В случае с петербуржцем Б., дело которого сейчас рассматривается в суде, злоумышленники смогли обойти и это препятствие. С подложной доверенностью аферисты обратились в центр обслуживания абонентов ОАО «МТС» и получили дубликат якобы утерянной SIM-карты. С ее помощью они получали одноразовый пароль и переводили деньги, равно как и SMS-сообщения о проведенных операциях.
В банке «Хоум Кредит», со счета которого было совершено хищение средств гражданина Б., не отрицают наличие таких инцидентов, но считают их единичными. Вину за произошедшее финансисты возлагают на клиента, который не соблюдал требования безопасности. В частности, когда злоумышленники перевыпустили SIM-карту, оригинальная оказалась заблокированной, но гражданин не информировал о возникших проблемах кредитную организацию.
«Вывод средств со счета можно было бы заблокировать в том случае, если бы клиент обратился в банк с рекламацией в течение суток с момента проведения операции. При ответственном использовании интернет-банка и соблюдении правил, вероятность хищения средств со счета снижается до нуля», – поясняют в пресс-службе банка «Хоум кредит».
Отметим, что многие кредитные организации для предупреждения подобных инцидентов предусматривают введение одноразового пароля и для входа в интернет-банк. В «Хоум кредит» такая возможность также есть, но установить ее может только сам клиент (в описанной ситуации она была отключена). А вот «МТС-банк» (дочерняя структура «МТС») объявил о выпуске «виртуальных карт», все необходимые для управления которой данные отправляются через SMS (то есть злоумышленникам не нужны даже «трояны»). В договоре же прописывается, что клиент «понимает и соглашается с тем, что хранение информации о реквизитах Виртуальной предоплаченной карты, переданной банком клиенту ... в виде SMS-сообщения, не обеспечивает в достаточной степени уровень необходимой безопасности и сопряжено с риском компрометации».
Надежно, как в банке?
Большинство опрошенных журналистом «Фонтанки» кредитных организаций убеждены в безопасности предлагаемых сервисов дистанционного обслуживания. «Мы с такого рода мошенничествами в отношении частных лиц не сталкивались», – отмечают в пресс-службе Банка ВТБ24.
А вот начальник Управления каналов дистанционного банковского обслуживания Банка Интеза Евгений Васильев признает, что информация о первых подобных случаях мошенничества появилась несколько лет назад.
«Нужно понимать, что многие банки имеют эшелонированные системы защиты, в которых фальсификации SIM-карты недостаточно для осуществления мошенничества в отношении клиента. Несмотря на это, клиентам необходимо строго соблюдать правила пользования электронным банком. В частности – при обнаружении признаков потери работоспособности SIM-карты (например, если перестали приходить SMS-сообщения или не работает связь) – немедленно обратиться в банк для блокирования интернет-банка», – поясняет Евгений Васильев.
А по словам руководителя направления по информационной безопасности Балтинвестбанка Максима Дукова, получить доступ к одноразовым паролям клиента можно, не только получив дубликат SIM-карты. «Современные смартфоны с точки зрения сложности программного обеспечения уже не сильно отличаются от стационарных компьютеров 5-6-летней давности. Как следствие – они не в меньшей мере подвержены угрозам заражения вирусами. «Вирусы-перехватчики» SMS существуют как минимум с 2013 года, а потому злоумышленник может получить доступ не только к одноразовым паролям, но и к логинам и паролям, если они отправляются с помощью SMS. Рекомендации по обеспечению безопасности смартфона в данном случае такие же, как и в случае с персональным компьютером: не устанавливать программного обеспечения из непроверенных источников, минимизировать список посещаемых с телефона сайтов (исключить входящие в «группу риска»), а также установить и регулярно обновлять легальный антивирус», – поясняет Максим Дуков.
Управляющий филиалом «Северо-Западный» банка «Российский кредит» Антон Кириков предлагает в качестве дополнительных мер защиты поставить пароль на свою SIM-карту.
SIM-SIM, отдайся
Но главный вопрос – как злоумышленникам удалось заполучить чужую «симку»? В ОАО «МТС» утверждают, что восстановление SIM-карты производится только по предъявлению документа, удостоверяющего личность заявителя, а представителю также необходимо представить нотариально заверенную доверенность с указанием полномочий.
«В указанном случае «МТС» не видит правовых оснований для выплаты компенсации», – убеждены в пресс-службе компании.
Конкуренты также исключают возможность выдачи «симки» неуполномоченному лицу. «Вероятность возникновения такой ситуации крайне мала, так как правила получения дубликата SIM-карты строго определены: получить ее может только владелец номера при предъявлении паспорта», – говорит Владислав Соколов, коммерческий директор макрорегиона «Северо-Запад» компании «Tele2». В «Билайне» для предупреждения споров сканируют доверенность и заявления.
В то же время никто из операторов не готов компенсировать убытки даже при выявлении факта выдачи «симки» чужому лицу.
«В случае мошеннических действий третьих лиц в отношении абонента, ущерб возмещает лицо, совершившее мошеннические действия», – отмечают в пресс-службе «Мегафона».
Юристы придерживаются иного мнения. «В этой ситуации клиент вправе требовать возмещения убытков с сотового оператора. Хотя списать деньги со счета помогли два действия: похищение кодов доступа и изготовление дубликата SIM-карты. Поскольку сотовая компания отвечает только за второе, взыскать с нее все убытки вряд ли удастся», – полагает Николай Вильчур, глава международной консалтинговой компании «Вильчур и партнеры».
В настоящее время против ОАО «МТС» уже возбуждено административное дело – надзорные органы квалифицировали вменяемый проступок как нарушение лицензионных условий. По данным «Фонтанки», никаких документов, подтверждающих предъявление представителем абонента Б. доверенности, оператор предъявить не смог. В его пресс-службе не пожелали комментировать этот вопрос до рассмотрения дела судом.
Отчасти проблема проверки полномочий в скором времени упростится: по словам президента Нотариальной палаты Санкт-Петербурга Петра Герасименко, с 1 июля данные обо всех удостоверенных нотариусами доверенностях вносятся в единую базу. Поэтому узнать, выдавалась ли доверенность гражданином Б., кому и когда – можно будет по одному запросу. Но оформленные до 1 июля доверенности никто не отменял, поэтому, даже не будучи «зарегистрированными», они продолжают действовать.
Павел Нетупский,
«Фонтанка.ру»
По данным Банка России, в кредитных организациях Санкт-Петербурга открыто более 26,5 млн счетов частных лиц, 2,5 млн из которых клиенты могут управлять с помощью интернет-банкинга, еще почти 400 тысяч – напрямую со смартфонов и других девайсов (мобильный банкинг).