Суды Санкт-Петербурга приступили к рассмотрению споров, связанных с необычным способом хищения денег со счетов граждан, открывших интернет-банк.
Только один из клиентов потерял около 600 тысяч рублей.
Почти 3 млн открытых петербуржцами банковских счетов может управляться через Интернет или напрямую с мобильного телефона. И несмотря на усилия финансистов, кибермошенники находят способы обойти систему безопасности. В том числе, используя дубликат сим-карты.Большинство систем интернет-банкинга используют двухуровневую защиту. Для входа клиент должен иметь логин-пароль, который выдается при открытии счета. А для совершения операции необходимо получить на свой мобильный телефон SMS-сообщение с одноразовым паролем. Такая система до сих пор считалась «непробиваемой».
Операция «Перехват»
Как правило, логины и пароли мошенники собирают с помощью традиционных вирусов-«троянов». Это позволяет им войти в интернет-банк, но не совершать операции.
В случае с петербуржцем Б., дело которого сейчас рассматривается в суде, злоумышленники смогли обойти и это препятствие. С подложной доверенностью аферисты обратились в центр обслуживания абонентов ОАО «МТС» и получили дубликат якобы утерянной SIM-карты. С ее помощью они получали одноразовый пароль и переводили деньги, равно как и SMS-сообщения о проведенных операциях. В банке «Хоум Кредит», со счета которого было совершено хищение средств гражданина Б.
, не отрицают наличие таких инцидентов, но считают их единичными. Вину за произошедшее финансисты возлагают на клиента, который не соблюдал требования безопасности. В частности, когда злоумышленники перевыпустили SIM-карту, оригинальная оказалась заблокированной, но гражданин не информировал о возникших проблемах кредитную организацию . «Вывод средств со счета можно было бы заблокировать в том случае, если бы клиент обратился в банк с рекламацией в течение суток с момента проведения операции. При ответственном использовании интернет-банка и соблюдении правил, вероятность хищения средств со счета снижается до нуля», – поясняют в пресс-службе банка «Хоум кредит».Отметим, что многие кредитные организации для предупреждения подобных инцидентов предусматривают введение одноразового пароля и для входа в интернет-банк. В «Хоум кредит» такая возможность также есть, но установить ее может только сам клиент (в описанной ситуации она была отключена). А вот «МТС-банк» (дочерняя структура «МТС») объявил о выпуске «виртуальных карт», все необходимые для управления которой данные отправляются через SMS (то есть злоумышленникам не нужны даже «трояны»). В договоре же прописывается, что клиент «понимает и соглашается с тем, что хранение информации о реквизитах Виртуальной предоплаченной карты, переданной банком клиенту ... в виде SMS-сообщения, не обеспечивает в достаточной степени уровень необходимой безопасности и сопряжено с риском компрометации».
Надежно, как в банке?
Большинство опрошенных журналистом «Фонтанки» кредитных организаций убеждены в безопасности предлагаемых сервисов дистанционного обслуживания. «Мы с такого рода мошенничествами в отношении частных лиц не сталкивались», – отмечают в пресс-службе Банка ВТБ24. А вот начальник Управления каналов дистанционного банковского обслуживания Банка Интеза Евгений Васильев признает, что информация о первых подобных случаях мошенничества появилась несколько лет назад. «Нужно понимать, что многие банки имеют эшелонированные системы защиты, в которых фальсификации SIM-карты недостаточно для осуществления мошенничества в отношении клиента. Несмотря на это, клиентам необходимо строго соблюдать правила пользования электронным банком. В частности – при обнаружении признаков потери работоспособности SIM-карты (например, если перестали приходить SMS-сообщения или не работает связь) – немедленно обратиться в банк для блокирования интернет-банка», – поясняет Евгений Васильев. А по словам руководителя направления по информационной безопасности Балтинвестбанка Максима Дукова, получить доступ к одноразовым паролям клиента можно, не только получив дубликат SIM-карты.
«Современные смартфоны с точки зрения сложности программного обеспечения уже не сильно отличаются от стационарных компьютеров 5-6-летней давности. Как следствие – они не в меньшей мере подвержены угрозам заражения вирусами. «Вирусы-перехватчики» SMS существуют как минимум с 2013 года, а потому злоумышленник может получить доступ не только к одноразовым паролям, но и к логинам и паролям, если они отправляются с помощью SMS. Рекомендации по обеспечению безопасности смартфона в данном случае такие же, как и в случае с персональным компьютером: не устанавливать программного обеспечения из непроверенных источников, минимизировать список посещаемых с телефона сайтов (исключить входящие в «группу риска»), а также установить и регулярно обновлять легальный антивирус», – поясняет Максим Дуков . Управляющий филиалом «Северо-Западный» банка «Российский кредит» Антон Кириков предлагает в качестве дополнительных мер защиты поставить пароль на свою SIM-карту.
SIM-SIM, отдайся
Но главный вопрос – как злоумышленникам удалось заполучить чужую «симку»? В ОАО «МТС» утверждают, что восстановление SIM-карты производится только по предъявлению документа, удостоверяющего личность заявителя, а представителю также необходимо представить нотариально заверенную доверенность с указанием полномочий. «В указанном случае «МТС» не видит правовых оснований для выплаты компенсации», – убеждены в пресс-службе компании. Конкуренты также исключают возможность выдачи «симки» неуполномоченному лицу. «Вероятность возникновения такой ситуации крайне мала, так как правила получения дубликата SIM-карты строго определены: получить ее может только владелец номера при предъявлении паспорта», – говорит Владислав Соколов, коммерческий директор макрорегиона «Северо-Запад» компании «Tele2». В «Билайне» для предупреждения споров сканируют доверенность и заявления . В то же время никто из операторов не готов компенсировать убытки даже при выявлении факта выдачи «симки» чужому лицу.
«В случае мошеннических действий третьих лиц в отношении абонента, ущерб возмещает лицо, совершившее мошеннические действия», – отмечают в пресс-службе «Мегафона». Юристы придерживаются иного мнения.
«В этой ситуации клиент вправе требовать возмещения убытков с сотового оператора. Хотя списать деньги со счета помогли два действия: похищение кодов доступа и изготовление дубликата SIM-карты. Поскольку сотовая компания отвечает только за второе, взыскать с нее все убытки вряд ли удастся», – полагает Николай Вильчур, глава международной консалтинговой компании «Вильчур и партнеры».
В настоящее время против ОАО «МТС» уже возбуждено административное дело – надзорные органы квалифицировали вменяемый проступок как нарушение лицензионных условий. По данным «Фонтанки», никаких документов, подтверждающих предъявление представителем абонента Б. доверенности, оператор предъявить не смог. В его пресс-службе не пожелали комментировать этот вопрос до рассмотрения дела судом.
Отчасти проблема проверки полномочий в скором времени упростится: по словам президента Нотариальной палаты Санкт-Петербурга Петра Герасименко, с 1 июля данные обо всех удостоверенных нотариусами доверенностях вносятся в единую базу. Поэтому узнать, выдавалась ли доверенность гражданином Б., кому и когда – можно будет по одному запросу. Но оформленные до 1 июля доверенности никто не отменял, поэтому, даже не будучи «зарегистрированными», они продолжают действовать.
Павел Нетупский, «Фонтанка.ру» © Фонтанка.Ру
Справка: По данным Банка России, в кредитных организациях Санкт-Петербурга открыто более 26,5 млн счетов частных лиц, 2,5 млн из которых клиенты могут управлять с помощью интернет-банкинга, еще почти 400 тысяч – напрямую со смартфонов и других девайсов (мобильный банкинг).