По информации Центробанка, в 2021 году мошенники украли у россиян 13,6 млрд рублей. Самые популярные способы обмана — социальная инженерия (звонок «сотрудника банка», «представителя страховой компании» и т. п.) и фишинговые сайты (просят пройти по ссылке, ввести данные карты и пароли). Весной этого года федеральные СМИ заговорили о том, что злоумышленники начали активно использовать в своих схемах возможность оплаты товаров и услуг через QR-коды в системе быстрых платежей (СБП). Вместе с экспертами разбираемся, легко ли провернуть такую схему и есть ли способ распознать мошенников.
Можно ли встроить в СБП поддельный QR-код?
Когда клиент оплачивает по QR-коду, он заходит в приложение банка, выбирает опцию «Оплатить по QR или штрих-коду», сканирует изображение, и программа автоматически заполняет реквизиты получателя средств. Пользователю остается подтвердить операцию. Деньги моментально зачисляются на счет продавца. За первые три месяца этого года более 6 млн пользователей оплатили через СБП порядка 16 млн покупок почти на 63 млрд рублей.
— Совершение мошеннических действий через СБП с подделкой QR-кода, который вместо счета магазина вел бы на счет злоумышленника, — крайне сложный процесс. Подтвержденных случаев таких действий мошенников на сегодняшний день не зафиксировано, — уверяет директор по развитию инновационных сервисов Национальной системы платежных карт (НСПК) Дмитрий Колесников.
НСПК — операционный платежный и клиринговый центр системы быстрых платежей. Чтобы получить QR-код, предприятие открывает расчетный счет в банке, который работает в системе быстрых платежей. Кредитная организация направляет запрос в СБП на выпуск QR. Он будет привязан к конкретному счету компании, подделать его невозможно.
— Безопасность переводов и платежей в СБП обеспечивается сразу на трех уровнях — банка, Банка России и НСПК — с применением современных систем защиты, — рассказывает Дмитрий Колесников.
Как крадут деньги через QR-коды?
Мошенники могут действовать следующим образом. На электронную почту жертвы приходит письмо от известного магазина электронной техники, содержащее QR-код, который предлагается отсканировать, чтобы получить скидку или подарок. После сканирования на телефон загружается вредоносное ПО, которое списывает деньги с банковской карты. То же самое может произойти, если вы пытаетесь оплатить покупку на сайте-клоне.
Или, например, вы решили рассчитаться за проезд в маршрутке по QR-коду, который размещен на красивых наклейках по всему салону автобуса. Вы не можете быть на 100 % уверены в том, что подобный сервис приема платежей реально существует, наклейки разместили не злоумышленники и все деньги с вашего счета не спишутся.
— Мошенники учитывают, что СБП становится все популярнее. Поэтому на сайтах-подделках они могут для убедительности разместить QR-код, похожий на СБП, использовать ее символику, но эта платежная ссылка ничего общего с СБП иметь не будет, — рассказывает Управляющий Отделением Томск Банка России Елена Петроченко. — В целом все операции, совершаемые через СБП, защищены по всем стандартам информационной безопасности Банка России, национальной системы платежных карт и банков-участников.
Другой вопрос — как похитили ваши деньги. Если вы сами зашли на подозрительный сайт и провели оплату под давлением мошенников, то становится ли система менее безопасной? Или перевели через СБП крупную сумму денег подозрительным личностям. Это уже проблема социальной инженерии.
Уязвима ли СБП?
Когда мошенники используют ту или иную схему, им проще воздействовать не на технические средства и системы, а на самих пользователей, убежден международный эксперт по кибербезопасности, основатель Atlant Security Александр Свердлов.
— Важно понимать, что злоумышленники наживаются на том, что люди им доверяют. Создание сайта-клона и QR-кода, который направит платеж на нужный счет, занимает несколько минут. С этим справится и дилетант. Создают страницы-клоны не только популярных магазинов и сервисов, то же самое можно сделать с сайтом банка, где человеку предложат ввести его данные и пароли, — рассказывает Александр Свердлов. — Поэтому нужно позаботиться, чтобы у пенсионеров и людей с недостаточным опытом была доступная и понятная информация о том, как действуют злоумышленники и как можно себя обезопасить.
По мнению эксперта, любая схема мошенничества будет существовать до тех пор, пока власти или банковская система полностью не сделают невозможным тот или иной способ хищения средств.
— Пока существуют сливы данных, пока сотрудники организаций продают информацию мошенникам, пока хакеры могут преодолевать системы защиты информации, красть и продавать данные, любая схема оплаты через телефон и интернет будет использоваться мошенниками, — убежден Александр Свердлов. — Я считаю, что у СБП нет недостатков, которые надо исправлять. Главное, чтобы у нее была качественная, хорошо работающая антифрод-система (программный комплекс для предотвращения мошеннических действий — прим. ред.). Без нее сложно помогать людям и предотвращать мошеннические перехваты и перенаправления платежей.
Как Центробанк борется с финансовыми мошенниками?
В томском отделении Банка России нам рассказали, что СБП способна распознать и заблокировать тех, кто пытается воспользоваться методом перебора. Для применения этого метода создается бот, куда вводятся номера телефонов, бот автоматически пытается отправить платеж через СБП, перебирая список банков. Так злоумышленники могут получить имя и отчество человека, первую букву его фамилии и узнать, в каких банках у него открыты счета. Далее подключается социальная инженерия. Например, жертве звонит «сотрудник» конкретного банка, называет имя и отчество человека и сообщает, что с его счета пытаются снять деньги.
Как защитить свои деньги
— В марте этого года у многих россиян сильно изменилась финансовая логистика: привычные платежи стали недоступны, люди искали альтернативу. Поэтому платежи с помощью СБП вышли из тени, их стали чаще использовать для оплаты товаров и услуг, — рассуждает ведущий финансовый консультант Агентства по личным финансам GoFortune Наталья Шумакова. — Пока люди пытаются разобраться в нововведениях, мошенники активно внедряют новые схемы. Например, поддельные сайты, которые предлагают быстро и просто оплатить товар с помощью СБП.
Чтобы защитить свои деньги, эксперт советует соблюдать следующие правила:
· не переходить по сомнительным ссылкам для оплаты или перевода;
· проверять в строке браузера название страницы: в нем не должно быть лишних букв и цифр, адрес сайта должен начинаться с https, а не с http;
· не хранить все сбережения на карте, которая используется для оплаты товаров и услуг в интернете;
· не переводить деньги незнакомцам, лучше использовать СБП только для оплаты в проверенных магазинах или для перевода надежному получателю.
— Если вы поняли, что стали жертвой мошенников, незамедлительно обратитесь в свой банк с заявлением. Если платеж еще не выполнен до конца, есть вероятность вернуть деньги. Но напомню, что СБП — это мгновенные платежи. Поэтому еще до отправки денег стоит убедиться, что реквизитам получателя вы можете доверять, — уточняет финконсультант Наталья Шумакова.
Жертвам мошенников также следует обратиться в правоохранительные органы. Некоторые банки дают клиентам возможность сообщить номера телефонов мошенников и информацию о сайтах-клонах. Это помогает банковской системе эффективнее бороться со злоумышленниками.