Кража без взлома

Классика жанра
Москва, 20.04.2009
С конца прошлого года число мошенничеств, связанных с банковскими картами, существенно возросло. D’ уже писал о вирусных программах, установленных мошенниками во многих банкоматах крупных банков, с помощью которых они пытались получить информацию о карточных счетах клиентов (см. «О страхах, вирусах и банкоматах», D’ №7 от 6 апреля 2009 года), а также о массовых случаях скимминга (незаметное для держателя «пластика» копирование данных с магнитной полосы карты с помощью специальных устройств), которые были зафиксированы в начале 2009 года (см. «Атака на “пластик”», D’ №5 от 9 марта 2009 года). И вот новая напасть: на этот раз жертвами мошенников стали клиенты Альфа-банка, с чьих счетов были украдены значительные суммы.

Глазами очевидцев

Вечером 28 марта Марина (имя изменено по просьбе потерпевшей. — Прим. D’) обнаружила, что ее телефон не работает. «Такое частенько бывает с “Мегафоном”, поэтому я позвонила в call-центр оператора на следующее утро. По словам сотрудника “Мегафона”, накануне в отделение связи на улице Народного Ополчения обратился молодой человек с доверенностью якобы от меня на перевыпуск SIM-карты. По приезде в отделение мне предъявили ксерокопию доверенности и паспорта человека, который ее получал. Я написала претензию оператору и тут же из салона позвонила в Альфа-банк и заблокировала счета. Более того, я попросила сотрудника банка проверить, производились ли какие-либо операции по моим счетам, на что он ответил, что снятия денег не было», — рассказывает она. Каково же было ее удивление, когда через день выяснилось, что 28 и 29 марта с ее счета на другой были переведены почти 200 тыс. руб. (двумя траншами — 99 тыс. и 100 тыс. руб.). «Я написала претензию о том, что операции я не совершала, сотрудники банка заявили, что дадут ответ на мою претензию в течение двух месяцев», — жалуется Марина.

В абсолютно идентичной ситуации оказался и другой клиент Альфа-банка Андрей (имя также изменено. — Прим. D’): мало того, что он лишился точно такой же суммы, как и Марина, так и украдены деньги были в те же самые злополучные мартовские дни. «У меня внезапно перестал работать сотовый телефон. Номер, зарегистрированный на моего работодателя, использовался мною для удаленного доступа к банковским счетам. В тот же день я обнаружил, что мой пароль к системе удаленного доступа управления счетами “Альфа-клик” не подходит. 30 марта я обратился в МТС и по совету сотрудников заказал перевыпуск SIM-карты», — рассказывает Андрей. Сразу после ее получения он наконец смог зайти в систему интернет-банкинга и обнаружил… операции, которых не совершал: 28 марта мошенники перевели 100 тыс. руб. на счет другого клиента, открытый также в Альфа-банке, и еще 99 тыс. руб. на следующий день. «Позже выяснилось, что в день, когда мой телефон замолчал, в офис МТС на Краснопрудной обратился некий человек с фальшивой доверенностью от моей компании и просьбой перевыпустить SIM-карту с моим номером. В течение десяти минут представители оператора удовлетворили его просьбу», — продолжает Андрей. Он также написал претензию в банк и заявление в милицию и прокуратуру (копии имеются в распоряжении редакции. — Прим. D’). От банка он потребовал возврата его денежных средств, а от прокуратуры — надзора за действиями милиции, принявшей от него заявление.

Основную вину за кражу денег потерпевшие возложили на банк. «Альфа-банк допустил халатность при разработке системы безопасности для удаленной работы со счетами. Ну как можно обеспечить сохранность наших средств, если банк высылает постоянный пароль и пароли на операции по счетам с помощью SMS», — возмущается Андрей.

Впрочем, вскоре банк все же возместил украденные со счетов деньги. «Возможно, свою роль сыграли и публикации в СМИ, до которых мы довели информацию о произошедшем: банк просто не захотел раздувать скандал и портить репутацию», — считают клиенты.

Другой исход

Можно только порадоваться за Марину и Андрея, однако нельзя исключить появления новых пострадавших. По их словам, и в самом банке, и в милиции, куда они обращались, не скрывали, что такие случаи кражи денег со счетов были далеко не единственными. И неизвестно, будет ли банк и в дальнейшем возмещать клиентам потери. Тем более что случай с нашим третьим героем Кириллом Машуковым говорит о том, что далеко не всегда банк идет навстречу клиентам.

Кирилл, также клиент Альфа-банка, в декабре прошлого года лишился около 400 тыс. руб., лежавших на его карточном счете. «Сначала я получил SMS-сообщение из банка, в котором сообщалось, что мой номер телефона в системе SMS-информирования “Альфа-чек” (с помощью этой услуги владельцы карт узнают обо всех операциях и списаниях по счету) изменен. Я позвонил в банк и объяснил, что телефон не менял. В call-центре при этом внесли изменения и заверили, что это просто какое-то недоразумение. Спустя несколько часов на мой номер стали приходить сообщения о переводах в интернет-банке “Альфа-клик” другому, неизвестному мне клиенту “Альфы”, а затем и сообщения о снятии наличности в банкомате». Повторный звонок в банк поздним вечером не дал никаких результатов, снятия продолжались. На следующий день в офисе банка выяснилось, что все операции производились в Санкт-Петербурге. Преступникам удалось украсть и персональные данные (логин и пароль) для входа в систему “Альфа-клик”». Более того, они по поддельным документам в отделении банка заказали на имя Кирилла Машукова временную карту, по которой в дальнейшем обналичили средства в банкомате.

«Деньги мне до сих пор не вернули. Хотя в службе безопасности банка утверждают, что и операционист в Санкт-Петербурге, который выдал мошенникам карту, не опознал меня как ее получателя, да и подпись на поддельных документах явно не моя. В конце концов, я находился в этот момент в Москве и никак не мог снять деньги со счета в другом городе», — объясняет Кирилл. Он уже написал заявление и в прокуратуру, и в следственный комитет, готовится судиться с банком.

Кто виноват?

Есть ли вина банка и операторов мобильной связи? Постараемся разобраться. По словам участников рынка, схему с использованием фальшивых доверенностей и подставных лиц, снимающих затем деньги со счетов клиентов, мошенники стали активно использовать с конца прошлого года. «Пострадали, кстати, не только клиенты Альфа-банка, но и других банков», — рассказывает один из банкиров.

«В данных случаях слабое место интернет-банкинга — мобильные телефоны, через которые приходят одноразовые пароли. Вряд ли подобное возможно, когда пароли выдаются на скрейч-карте. А здесь они высылаются SMS-сообщением — украл и получаешь доступ к операциям по счету (при наличии, конечно, пароля и логина для входа в сам интернет-банкинг)», — считает Дмитрий Орлов, директор департамента маркетинга и планирования продуктов Москоммерцбанка. Возможно, не обошлось без «помощи» сотрудников банка: операторы разные, клиенты работают в компаниях, не связанных между собой, а вот банк один и тот же.

«Преступники не обязательно использовали инсайдеров в стенах банка: хорошие программисты или опытные мошенники могли бы и без них сломать и получить доступ в систему интернет-банкинга», — говорит Дмитрий Орлов. Не секрет, что в последнее время среди хакеров, создающих вирусы и трояны, появилась специализация: они целенаправленно пишут программы для получения несанкционированного доступа к конкретным системам. Вполне возможно, что злоумышленниками создана специализированная программа и для систем Альфа-банка.

Однако большинство специалистов склоняются к иным версиям, нежели взлом системы интернет-банкинга. «Произошла утечка персональных данных — мошенникам удалось выяснить номера телефонов клиентов, а также узнать логины и пароли доступа в интернет-банк. Утечка могла произойти не обязательно от сотрудников банка, под подозрением и представители мобильного оператора, и родственники пострадавших, коллеги по работе», — считает заместитель начальника розничных технологий Русского банка развития Андрей Фролов.

«Насколько я вижу, оба случая являются примерами не электронного, а вполне классического мошенничества. Просто современные мошенники используют в своих схемах атрибуты современной жизни: мобильные телефоны, банковские карты. Но в основе методики лежит банальная подделка документов и пресловутый человеческий фактор, — объясняет эксперт по вопросам информационной безопасности СБ банка Максим Волков. — Ведь именно сотрудники банка и мобильного оператора, а не компьютерная программа, идентифицировали мошенников как своих клиентов и предоставляли им закрытую информацию (выдавали дубликаты чужих SIM-карт, перевыпускали чужие банковские карты). Мошенники с таким же успехом могли бы заполнить в присутствии нерадивого сотрудника платежное поручение и не связываться с какими-то там техническими сложностями программ доступа и переключением номеров телефонов».

Самый спорный момент — выпуск карты по поддельным документам. Это серьезное упущение сотрудников банка, отмечает эксперты. По их словам, Центробанк даже проводил специальную конференцию для банковских специалистов и предупреждал о необходимости инструктажа персонала в отношении более тщательной идентификации клиентов. «Единственный вопрос у клиентов к банку может быть в плане организации безопасности не онлайновой, а офлайновой работы: насколько четко прописаны и неукоснительно ли исполняются внутренние инструкции сотрудниками банка? Ведь потерпевшие вовремя проинформировали банк о проблемах и с телефоном, и со счетами, но банк почему-то вовремя не отреагировал на сигналы. Сотрудники call-центра должны были бы блокировать любые операции с этими счетами до прихода клиентов в банк. Очевидно, не все внутренние процедуры были выполнены сотрудниками сall-центра или не были выполнены должным образом», — рассказывает Максим Волков. Да и в случае с поддельным паспортом сотрудник не проявил должного внимания к подозрительным факторам — просьбу о перевыпуске карты лжеклиент сделал не только в другом отделении, но даже в другом городе.

Суд да дело

Если банк деньги не возвращает, как в случае с Кириллом Машуковым, то есть ли шансы добиться справедливости в суде? «Права клиентов, в том числе на возмещение ущерба, во многом зависят от содержания заключенных с банком договоров. Шансы на возмещение есть, но нельзя сказать, что стопроцентные, скорее 50 на 50», — считает юрист одного из банков. Правда, адвокат коллегии «Николаев и партнеры» Павел Ламбров более скептически оценивает шансы клиентов: «Доказать тот факт, что Альфа-банк виновен в потере средств, будет сложно, особенно если не были нарушены условия договора. Операции шли через интернет-банкинг с введением логина и пароля — это для банка является подтверждением, что операцию проводит сам владелец счета». Шансы клиентов увеличиваются при подаче заявления в милицию. Если мошенники будут пойманы, а сам факт кражи ими денег доказан судом, будет легче отстаивать свою позицию и требования к банку. Также если правоохранительные органы в ходе расследования выявят причастность сотрудников банка или будет доказано, что они нарушили инструкции, то тогда будет легче привлечь банк к ответственности.

По мнению Рустама Курмаева, руководителя группы «Практика по разрешению споров» компании Goltsblat BLP, суды, как правило, исходят из того, что банк несет ответственность за ненадлежащее исполнение обязательств по договору банковского счета, выразившееся в неосновательном списании денежных средств клиента с его счета без указания клиента, независимо от наличия вины банка. «В данном случае массовый характер таких случаев свидетельствует о том, что банк не смог обеспечить нужной степени защиты электронного порядка расчетов, — объясняет он. — На руку пострадавшим вкладчикам также и то, что их споры будут рассматриваться в судах общей юрисдикции, где, как правило, суды более лояльны к физическим лицам, чем к банкам».

В том, что шансы выиграть дело у пострадавших весьма высоки, уверена и Ирина Мельникова, начальник отдела общего юридического консалтинга компании «Интерком-аудит»: «Поскольку банк является лицом, осуществляющим предпринимательскую деятельность, то именно он должен будет доказать в суде, что действовал добросовестно и предпринял все от него зависящее, чтобы не были нарушены права клиентов. Судебная практика по этому вопросу пока весьма немногочисленна, но она встает на сторону клиента».

Как защитить свои деньги?

  1. Никому не сообщайте пароль и логин для входа в интернет-банкинг, а также постарайтесь без особой необходимости не сообщать свои паспортные данные.
  2. Если система интернет-банкинга «привязана» к мобильному телефону, обратитесь к вашему оператору с требованием не проводить без вашего личного присутствия никаких операций по замене SIM-карты. В этом случае перевыпуск SIM-карты по доверенности будет невозможен.
  3. Постарайтесь входить в систему интернет-банкинга с одного компьютера, оборудованного современными антивирусными программами.
  4. Периодически обновляйте пароль для входа в систему интернет-банкинга.
  5. При первых же подозрительных операциях по карте звоните в банк и требуйте заблокировать операции по вашему счету.

Андрей Фролов, заместитель начальника розничных технологий Русского банка развития:

— Для банка появление таких случаев — серьезный звонок, который должен заставить задуматься об усовершенствовании средств защиты персональных данных клиента. Как видим, не во всех банках такая работа поставлена должным образом. Сама защита системы интернет-банкинга, операции через который привязаны к телефону, в принципе довольно надежна (двухуровневая система аутентификации: логин, пароль плюс код подтверждения операции, высылаемый на телефонный номер клиента). Тем не менее в случае получения мошенниками вышеописанной информации они действительно получают доступ к счетам клиентов. Это все равно что получить номер карты и ПИН или ключи от квартиры.

Ирина Мельникова, начальник отдела общего юридического консалтинга компании «Интерком-аудит»:

— Если клиентам удастся доказать, что именно банк не выполнил требования к сохранению конфиденциальности информации и проведению расчетов, предусмотренные договором, внутренними регламентами, указаниями ЦБ РФ, то банк обязан будет вернуть своим клиентам все неправомерно перечисленные денежные средства, а также проценты по ставке рефинансирования. Для того чтобы доказать вину банка в том, что клиенты понесли убытки из-за недостатков используемой им системы, необходимо затребовать внутренние документы банка и проверить их на соответствие требованиям письма ЦБ РФ от 31 марта 2008 года №36-Т «О рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга». Если удастся установить, что требования Центробанка не были соблюдены банком, то можно говорить о возврате денежных средств клиенту.

Новости партнеров

«D`»
№8 (71) 20 апреля 2009
N08 (71) 20 апреля
Содержание:
Свой бизнес
Реклама