По оценке Банка России, в первом квартале установлен рекорд по хищению средств у клиентов банков — более 4,5 млрд руб., причем около 12% из них произошли через систему быстрых платежей (СБП). В то же время именно в СБП среди всех инструментов переводов физлиц отмечен самый высокий процент возврата средств. Эксперты считают, что это может быть связано как с пристальным вниманием к системе со стороны регулятора, так и с преобладанием в таких «хищениях» непреднамеренных ошибок в наборе номера телефона получателя денег.
Фото: Ирина Бужор, Коммерсантъ
Фото: Ирина Бужор, Коммерсантъ
ЦБ опубликовал обзор операций без согласия клиентов по итогам января—марта. Согласно данным регулятора, объем похищенных мошенниками средств у клиентов банков в январе—марте достиг 4,55 млрд руб. и оказался максимальным за все время наблюдений — побит рекорд четвертого квартала 2021 года (4,49 млрд руб.). Причем если объем похищенных денег вырос по сравнению с предыдущим кварталом всего на 12%, то количество инцидентов увеличилось более чем на 40%, превысив 250 тыс.
Из наиболее заметных изменений можно отметить рост блокировок фишинговых сайтов почти на 240% по сравнению со средним значением за четыре квартала прошлого года.
Неожиданной, по мнению экспертов, выглядит информация о снижении количества DDoS-атак более чем на 70%.
Продукт-менеджер Servicepipe Даниил Бобрышев полагает, что речь идет о снижении числа результативных атак, которые привели к нарушениям работы или недоступности сервисов: «Насколько мне известно, именно о таких атаках банки сообщают в ФинСЕРТ. Но произошло это не потому, что хакеры меньше атакуют кредитные организации, а в силу повышения защищенности банков. Мы не наблюдаем снижения активности атакующих».
Впервые Банк России раскрыл статистику по инцидентам в СБП. На них пришлось около 12% всех похищенных средств — более 550 млн руб., а средняя величина мошеннической трансакции через систему в 6,5 раза превысила аналогичную трансакцию по карте — 45 тыс. руб. против 7 тыс. руб.
В то же время значительная часть похищенных средств была возвращена: 76 млн руб. Хотя общий объем похищенных средств с карт оказался в 2,5 раза выше, чем через СБП (1,4 млрд руб.), из них вернулись владельцам только 65 млн руб.
Случаи несанкционированных переводов средств могут быть связаны с оплатой товаров или услуг через СБПэй, считает источник “Ъ” на рынке платежных инструментов: «Мошенники потенциально могут подделать доступ к счету через приложение, если известен номер телефона, привязанный к банку».
Коммерческий директор компании SafeTech Дарья Верестникова добавляет, зачастую люди не обращают внимания, какие реквизиты высвечиваются при совершении платежей через СБП и куда уйдут деньги. Есть несколько вариантов атак, поясняет она: можно подменить QR-код или использовать классические методы социнженерии. «Но основная причина инцидентов в том, что пренебрегают правилами информационной безопасности и продолжают использовать небезопасные средства подтверждения платежа, когда клиент банка не видит и не замечает, куда переводятся деньги»,— полагает госпожа Верестникова.
Как отмечает директор технического департамента RTM Group Федор Музалевский, в СБП могут происходить инциденты двух основных типов — связанные с переводами другому физлицу и с оплатой поставщику услуг или товаров. И, по мнению эксперта, «в платежах не может быть большой доли инцидентов, так как вводить в мошенническую схему продавца, легально подключенного к СБП, сложно, а вероятность, что трансакцию заморозят и деньги вернут,— высока».
Глава правления ассоциации «Финансовые инновации» Роман Прохоров связывает «относительно более высокий» процент возврата средств в операциях через СБП с повышенным вниманием регулятора к развитию этой системы переводов: «Банки чаще предпочитают возмещать потери клиенту». Независимый эксперт на рынке платежных карт Дмитрий Вишняков добавляет, что в случае с СБП высока и доля «добросовестных ошибок», например, в номере телефона: «Получателя в данном случае легко идентифицировать, поэтому те, кто получил средства по ошибке, чаще всего возвращают их».