Что мешает защитить цифровые технологии от кибермошенников

Дня не проходит, чтобы не стало известно об очередном успешно примененном способе относительно честного отъема денег у населения. Мошенники, используя компьютерные технологии, атакуют граждан под видом банковских служащих, социальных работников, сотрудников полиции и прокуратуры, вовлекают в финансовые пирамиды, в игру на фейковых биржах. Они уже используют для своих целей даже судей – мировых и арбитражных. Компетентные органы пытаются противостоять аферистам, но заметно проигрывают. Почему так происходит и как исправить ситуацию, обсуждали за круглым столом в правительстве Свердловской области, на котором присутствовала и журналист «ОГ» Татьяна БУРОВА.

На шаг впереди

Участие в обсуждении приняли представители ведомств, призванных обеспечивать безопасность граждан в финансовой сфере, защищать их от преступников. Все выступавшие констатировали: мошенники постоянно опережают тех, кто призван с ними бороться. Им удается обогнать и законодателей с банкирами, которые медленно латают лазейки в законах, и надзорные органы, и полицию.

Креативность мошенников вызывает оторопь. С их подачи уже выносятся судебные приказы о взыскании долгов с граждан и организаций, которые к долгам не имеют никакого отношения. О том, как с уральцев взыскивают деньги по чужим кредитам на основании судебных приказов мировых судей, «ОГ» писала еще в декабре 2021 года. А весной нынешнего года с расчетных счетов нескольких садоводческих товариществ Екатеринбурга едва не сняли деньги на основании судебных приказов Арбитражного суда Свердловской области.

- Недавно лжекредиторы пытались взыскать с СНТ «Нива» 175 тысяч рублей, а с СНТ «Пенсионер» – 225 тысяч, – рассказывает председатель регионального отделения Союза садоводов России Надежда Локтионова. – Чуть раньше едва не опустошили счета еще нескольких товариществ.

Проворачивать подобные аферы позволяет пробел в законодательстве. Упрощенный порядок судопроизводства не требует от судей проверять сведения, предоставленные истцом. На кого он указал в исковом заявлении, с того деньги и взыскивают. Но принять поправки в закон и лишить мошенников возможности манипулировать судами в Госдуме не торопятся.

Набирает размах обман при электронной продаже полисов ОСАГО с недостоверными сведениями. По оценкам Банка России, ущерб от этого вида мошенничества составляет не менее 4,2 млрд рублей в год.

Недавно разоблачили группу мошенников в погонах, которые промышляли на «большой дороге». Используя графический редактор, сотрудники ГИБДД фабриковали доказательства нарушений правил дорожного движения, отправляли сведения своим коллегам дальше по трассе, а те вынуждали водителей откупаться. Этот промысел процветал в течение нескольких лет в Краснодарском крае, и нет гарантии, что полученный «опыт» не внедрят на Урале.

- От мошенников сегодня страдают не только простые граждане, но и государственные органы, чью репутацию подрывают те, кто представляется силовиками, сотрудниками Пенсионного фонда, социальными работниками, банковскими служащими, – констатирует Уполномоченный по правам человека в Свердловской области Татьяна Мерзлякова. – Уже фиксируются случаи хищения электронным способом денежных средств с пользовательских счетов организаций. Мне кажется, в России вяло борются с такого рода преступлениями. А между тем их спектр расширяется.

Корысти ради

Как отметила заместитель председателя Свердловского областного суда Анна Васильева, к ним попадает все больше уголовных и гражданских дел, связанных с нарушением права на цифровую безопасность. В прошлом году рассмотрено 420 уголовных дел по статье 159 УК РФ – мошенничество. Но на долю тех, что совершаются с использованием цифровых технологий, приходится около трех процентов. Это очень мало по сравнению с размахом цифрового мошенничества.

- Появляются преступления, совершенные с использованием электронной цифровой подписи, – подчеркивает Анна Васильева. – Значит, существующие меры защиты не гарантируют в полной мере безопасность, а кредитные учреждения, банки, страховые компании плохо разъясняют клиентам особенности ее использования. Обнаруживается факт неправомерного доступа к личной электронной подписи в делах, которые вроде бы не связаны с компьютерной безопасностью, – в потребительских спорах, тяжбах с кредитными организациями.

Доходят до суда и дела по статьям 272 и 274 УК РФ, устанавливающие ответственность за неправомерный доступ к компьютерной информации и относительно правил ее передачи. Попросту говоря, речь идет о продаже сведений третьим лицам. Вынесены первые приговоры по делам о разглашении сведений конфиденциального характера, полученных через провайдеров.

Одно многие свои преступления мошенники совершают ради другой цели. Незаконно полученная информация открывает мошенникам доступ в чей-то личный кабинет, к покупке товаров и переадресовке их на себя, в онлайн-банк, к завладению имуществом.

Купленную у клерков сотовых компаний детализацию телефонных переговоров мошенники либо перепродают заинтересованным лицам, либо используют для шантажа и вымогательства. Татьяна Мерзлякова привела пример, когда врачу-кардиологу угрожали использовать персональные данные, если она откажется заплатить.

Недавно в Нижнем Тагиле задержали троих молодых мужчин, которые вымогали деньги у жены военного из Нижнего Новгорода, попавшего в плен к украинцам. Уральцы увидели в соцсетях видео пленного, разыскали его супругу и стали уверять, что могут помочь выкупить мужа из плена.

Галопирующая цифровизация

- Нас втянули в процесс цифровизации, не объяснив, зачем он нужен, и не разработав заранее надежных мер, обеспечивающих безопасность участников процесса, – делится мнением председатель комиссии по цифровой безопасности Совета по правам человека при Президенте РФ Игорь Ашманов. – Говорили, что будет удобно, но забыли сказать, что будет опасно. Абсолютно ложной считаю идею, что с телефонным и цифровым мошенничеством должны бороться органы МВД и суды. Полицейские начинают работать, когда есть заявление от потерпевшего и преступление уже совершено, а суды вступают в действие, когда завершено расследование. А мошеннические преступления надо предотвращать. Для этого у полиции нет инструментов. Но они есть у законодателя – Госдумы и у регулятора – Банка России.

Игорь Ашманов убежден, что надо не только учить граждан финансовой и цифровой гигиене, но и ставить барьеры на пути мошенников. Необходимо системно перекрыть возможность подмены номеров, а не ловить отдельных телефонных жуликов. Разработать механизм оперативной блокировки вредоносных сайтов, фейковых бирж и торговых площадок.

В даркнете работают маркетплейсы, на которых мошенники размещают объявления: «Купим данные владельцев, у которых на банковских счетах более миллиона рублей». И в банках находятся сисадмины, которые откликаются на подобные предложения.

- Они огромные суммы на этом зарабатывают, – говорит Игорь Ашманов. – Плохо, что айтишники чувствуют свою полную безнаказанность, мы не видим показательных судебных процессов над теми, кто сливает персональные данные, коммерческие сведения.

С раскрываемостью высокотехнологичных преступлений дело обстоит неважно.

- Пятая часть всех преступлений совершается с помощью цифровых технологий, в прошлом году в регионе их зарегистрировано 12 тысяч – на 20 процентов больше, чем в 2020 году, – очерчивает масштаб проблемы старший прокурор отдела по надзору за процессуальной деятельностью органов следствия и дознания прокуратуры Свердловской области Андрей Кузнецов. – При этом высокой раскрываемостью мы похвастаться не можем – она едва достигает 32 процентов. То есть две трети преступлений остаются нераскрытыми. Чаще всего дела прекращаются из-за невозможности установить виновника.

Увы, в сфере телефонии и IT-технологий мошенники редко работают в одиночку. Чаще всего это организованные преступные группы, технически оснащенные, с четким распределением ролей и обязанностей. Центр цифровой ОПГ, как правило, располагается в ближнем или дальнем зарубежье, туда же выводятся похищенные у граждан средства.

- Надо понимать, что наши возможности по блокировке вредоносных сайтов ограничены территорией Российской Федерации, в прошлом году их было заблокировано 4,5 тысячи, – говорит заместитель руководителя управления Роскомнадзора по Уральскому федеральному округу Виктор Солодкий. – Все, что за ее пределами, вне зоны доступа.

Выдачи преступников и преступных капиталов из многих стран зарубежья тоже нет, поэтому изобличить удается лишь «шестерок». Спустя некоторое время их заменяют новыми исполнителями.

Есть и помехи, которые при желании можно устранить. Надзорным и правоохранительным органам, чтобы получить необходимые сведения, необходимо ограничить гражданские права подозреваемого – получить данные из банков, из кредитных организаций, от мобильных операторов. Делается это через суд. И вот парадокс: если судебные приказы о взыскании задолженности выносятся за считанные секунды без проверки данных, то решения по запросам из правоохранительных органов рассматриваются судьями, мягко говоря, неторопливо. В итоге мошенники успевают спрятать улики и капиталы.

- Материальный ущерб от IT-преступлений огромный, в прошлом году он превысил 1,2 миллиарда рублей, – отмечает Андрей Кузнецов. – Сумма возмещенного ущерба в десять раз скромнее – 130 миллионов. Причем слово «возмещенного» не означает, что потерпевшим эти деньги вернули. Это стоимость имущества, на которое наложен арест.

Наемные обманщики

Широкой публике кибермошенники представляются хакерами экстракласса, для которых нет ничего невозможного. Наверное, авторы мошеннических схем такими и являются, но их наработки и инструкции по применению можно легко найти в даркнете, использовать их по силам любому пользователю. Так кто же обманывает нас?

- Это обычные люди, наши земляки, – говорит начальник отдела по борьбе с мошенничествами управления уголовного розыска ГУ МВД России по Свердловской области Артём Лаздынь. – Вычислить звонарей, которые используют программу подменных номеров и под видом сотрудников банков или ведомств выманивают у людей деньги, сложно, но мы их находим. Среди задержанных – студенты, домохозяйки, таксисты. Двух будущих юристов в этом году задержали – по два десятка эпизодов у каждого. «Подработку» они нашли через Telegram («Телегу» на их сленге), всего за 10 процентов от суммы трудились.

Исполнители прекрасно понимают, какую работу им предлагают. Знают, что обманывают своих сограждан, зачастую пожилых, живущих на пенсию. Но это их не смущает и не останавливает. Просто бизнес, как говорится, и ничего личного. Бывает, что звонари и дропперы (владельцы промежуточных банковских карт, куда потерпевшие переводят средства и откуда они перетекают дальше), решают присвоить деньги.

- Был такой случай, – подтверждает Артём Лаздынь. – Посредник, которому поступило 300 тысяч рублей, оставил их себе. Организаторы обиделись и сделали анонимный звонок в полицию. Мы проверили сигнал, все подтвердилось. А ему и сказать нечего, он-то не знает тех, кто его втянул в аферу: их адреса зашифрованы.

Огромный финансовый ущерб уральцам наносит вовлечение их в игру на фейковых биржах. Опасность этого вида мошенничества в том, что проходит достаточно много времени, прежде чем человек понимает, что стал жертвой обманщиков. Один человек 12 миллионов рублей вложил, все продал, кредиты взял. Причем его в банке уговаривали не делать этого – не послушал.

Общение ведут по скайпу, счет поддельный, адрес, деньги переводят в биткоины и выводят за границу. Брокер исчезает, следов не найти. По словам Артёма Лаздыня, пока в России не возбуждено ни одного уголовного дела против «биржевиков». Нет и резонансных дел по банковским служащим, сливающим персональные данные клиентов.

- Если сотрудник службы безопасности банка предоставит такую информацию полиции, его немедленно уволят, – говорит Артём Лаздынь. – Банкам и мобильным операторам невыгодно выносить сор из избы.

Впрочем, персональные данные попадают в руки мошенников отовсюду: из больниц, медицинских центров, магазинов, МФЦ, отделов кадров учреждений.

В ногу с прогрессом

- У динамичного развития цифровых технологий действительно есть неприятная сторона: вредоносные программы и методы социальной инженерии, которыми пользуются мошенники, – признает заместитель начальника Уральского главного управления Банка России Сергей Лебедев. – Многие люди не успевают освоиться с современными технологиями.

В прошлом году, по его словам, в кредитные организации были направлены дополнительные рекомендации, позволяющие защитить клиентов. В их числе ограничение упрощенного порядка выдачи кредитов в системе мобильного банка и максимальных суточных операций по карточным счетам. Внедрение принципа «второй руки» – подключить к дистанционному обслуживанию банковского счета, принадлежащего пожилому человеку или инвалиду, помощника из числа близких родственников, который также будет получать СМС-подтверждения и видеть, какие операции совершаются.

Можно также дать клиенту возможность установить перечень лиц, в чью пользу разрешено оформлять переводы дистанционно. Эту функцию при необходимости можно отключить, но для этого владельцу придется лично явиться в банк с паспортом. Мошенники на это никогда не пойдут.

- Но все это рекомендации, – подчеркивает Сергей Лебедев. – Кредитные организации могут к ним прислушаться, а могут и проигнорировать. Заставить их прислушаться могла бы мера, которую мы сейчас предлагаем.

Банк России пытается донести до кредитных организаций, как необходимо выстраивать противодействие мошенникам, оберегать клиентов от их атак. И если человек понес потери в организации, которая не в полной мере соблюдает процедуры осторожности, она обязана будет вернуть украденные деньги.

- Это сложно исполнить в плане доказательной базы, – признает Сергей Лебедев, – но это позволило бы увеличить возврат похищенных средств и стимулировало бы банки заботиться о своих клиентах.

Предлагаются и другие способы противодействия мошенникам. О них рассказал начальник управления безопасности Уральского ГУ Банка России Александр Сальников. Первое. Сегодня проверку делает банк-плательщик, а надо, чтобы контроль был двойным – и со стороны банка-получателя. Второе. Мошенники выводят средства на дропперские счета, откуда перекидывают их дальше. По экспертным оценкам, в России действует около 500 тысяч счетов дропперов. Оперативно заблокировать их нельзя, для этого требуется судебное решение. Но у банка есть возможность отключить счет дроппера от дистанционного банковского обслуживания. Возобновить обслуживание можно лишь одним способом: явившись в банк лично с паспортом.

Приемы самообороны

- Конечно, полностью избавиться от мошенников – задача невыполнимая, но сократить их число и усложнить жизнь вполне возможно, – отметил заместитель губернатора Свердловской области Дмитрий Ионин. – Для этого необходимо усиливать, как мы говорим, межвед – межведомственное взаимодейстие. Правоохранители, депутаты, сотрудники Минцифры, банков, муниципалитетов должны сообща вырабатывать меры противодействия киберпреступности, просвещать граждан.

С последним обстоит пока неважно. Нет, людей постоянно предупреждают, что надо соблюдать осторожность, рассказывают о мошеннических схемах, втолковывают, что нельзя разбрасываться своими персональными данными и сообщать реквизиты банковских карт посторонним людям, внушают, что не стоит ввязываться в сомнительные финансовые операции, гнаться за сверхприбылью. Все бесполезно. На удочку мошенников попадаются не только финансово безграмотные старички и старушки, но и образованные, полные сил врачи, преподаватели вузов, экономисты, сотрудники банков.

Тем не менее, как подчеркнули Татьяна Мерзлякова и Игорь Ашманов, перекладывать вину на тех, кто пострадал от мошенников, несправедливо. Большинство граждан не способно себя защитить от преступных посягательств, в этом им должно помогать государство. Однако и гражданам надо самостоятельно принимать меры к самозащите. Какие?

- Никто не застрахован, что потеряет ключи от квартиры, – говорит Виктор Солодкий. – Что мы делаем в таком случае? Меняем замки. Так же следует поступать в случае, если скомпрометированы данные паспорта, банковской карты, цифровая подпись. Карту сменить предельно просто, смена паспорта и цифровой подписи потребует больших усилий, но тоже возможна, в том числе через портал «Госуслуги». Номер телефона тоже можно поменять. Тогда вы сможете доказать, что не имеете отношения к «левому» кредиту.

К совету специалиста стоит прислушаться, но эффект от предложенных мер будет временным. Можно поменять даже ФИО, адрес регистрации, но помогут ли эти хлопоты укрыться от мошенников? Вряд ли. Пока будут безнаказанно торговать персональными данными, пока этих торговцев будут покрывать и крышевать, толку не будет.

• Опубликовано в №68 от 19.04.2022