В прошлом году мошенники украли у россиян почти 16 млрд рублей, заявила на Уральском форуме ЦБ по кибербезопасности глава регулятора Эльвира Набиуллина. При этом каждый четвертый похищенный рубль — кредитный. В этом году приоритетом для Банка России и финансовых организаций станет внедрение самозапретов на займы и повышение ответственности для дропперов. Также могут установить «период охлаждения» при оформлении подозрительных ссуд и ограничить внесение средств через банкоматы. Главный вызов — в том, что злоумышленники стали применять искусственный интеллект и дипфейки, с помощью этого они обходят установленные системы защиты, признались банкиры.
Сколько денег мошенники украли у россиян
Перелома в борьбе с кибермошенниками в прошлом году не произошло, констатировала председатель ЦБ Эльвира Набиуллина во вступительном слове на Уральском форуме Банка России «Кибербезопасность в финансах». Она привела статистику за 2023 год: злоумышленники провели 1,17 млн операций без согласия клиентов, украв у граждан при этом 15,8 млрд рублей. Это больше, чем годом ранее (14,2 млрд).
— Увеличилась доля возмещения средств людям, которые пострадали от кибермошенничества. Как она увеличилась: было 4,4%, а стало 8,7%. Меньше 10% средств возмещается людям. Эта цифра еще достаточно низкая, — заявила Эльвира Набиуллина.
При этом, по статистике ЦБ, банкам удалось отразить 34,8 млн попыток мошенников украсть средства на сумму 5,8 трлн рублей.
В качестве приоритета на 2024 год председатель Банка России назвала борьбу с кредитным мошенничеством. По ее словам, каждый четвертый рубль, направленный злоумышленникам, — заемный.
Преступники совершают порядка 15 млн звонков гражданам ежедневно — такую оценку на пленарной дискуссии привел зампред «Сбера» Станислав Кузнецов. По его словам, точную статистику собрать затруднительно, поскольку сейчас злоумышленники связываются с гражданами не только по обычному телефону, но и через мессенджеры.
Как ЦБ и банки будут защищать россиян
Одна из мер, призванных снизить потери от действий мошенников, — дать право гражданам установить самозапрет на кредиты. В ЦБ рассчитывают, что закон, обязывающий банки предлагать такую услугу, примут в этом году. Глава комитета Госдумы по финрынку Анатолий Аксаков подтвердил, что в феврале профильный комитет уже поддержал законопроект и утвердить его могут в ближайшие дни.
Вторая задача — повышение качества антифрод-процедур в банках, заявила Эльвира Набиуллина. В переводах защита уже работает, и многие подозрительные платежи финансовые организации останавливают. Но игроки запустили «кредитный конвеер», зачастую не проводя проверок.
— Нужно распространить период охлаждения, который заработает с июля, не только на переводы, но и на крупные кредиты, — уточнила глава ЦБ.
По ее словам, срок и сумму можно обсуждать. Сейчас предлагается распространить норму на займы от 1 млн рублей.
Кроме того, для повышения качества антифрод-процедур Банк России предложил ввести лимит на внесение средств в банкомате с помощью карт и приложений.
— Во многом, когда безналичные переводы, проблема решается, но многие уходят в наличные. Берут в банке кредиты наличными, потом приходят в банкомат и переводят на так называемый безопасный счет в другом банке, счет преступника, — заявила Набиуллина.
Третья задача в борьбе с преступниками — повысить качество отчетности кредитных организаций об инцидентах: банки обязаны предоставлять соответствующие данные в ЦБ, но не всегда качественно соблюдают это требование. В этом направлении регулятор планирует ужесточать ответственность.
Анатолий Аксаков добавил, что информационный обмен необходимо настроить не только между банками и ЦБ, но и между всеми кредитными организациями (в том числе небольшими), а также — с МФО. Эльвира Набиуллина концептуально поддержала идею: регулировать нужно также выдачу займов в микрофинансовых организациях, хотя обороты там значительно ниже.
Наконец, в приоритете ЦБ будет борьба с дропперами — людьми, которые передают свои карты злоумышленникам (затем они используются для вывода средств).
— Ты сегодня за 1 тыс. рублей отдаешь карточку мошеннику, а завтра твоего родственника обворовывают на гораздо более существенную сумму. Должна быть общественная недопустимость и непризнание факта дропперства, не говоря уже об ответственности, — привела пример Эльвира Набиуллина.
С июля дропперам будут блокировать дистанционное обслуживание, напомнила она. Анатолий Аксаков, в свою очередь, заявил, что ответственность за участие в выводе средств нужно повышать. Станислав Кузнецов из «Сбера» напомнил об опыте Белоруссии, где за дропперство предусмотрено до 10 лет лишения свободы. В ВТБ предложили ввести требование, чтобы дропперы возмещали выведенные через их карты средства за собственный счет.
Как мошенники используют искусственный интеллект
На форуме ЦБ стало известно и о новых инструментах, с помощью которых мошенники обманывают граждан. Во-первых, это SIM-боксы, рассказал Станислав Кузнецов из «Сбера». Это устройство, которое позволяет агрегировать несколько SIM-карт в одном месте и легко их перемещать. Во-вторых, преступники применяют виртуальные АТС (автоматические телефонные станции), добавил топ-менеджер. Эти инструменты упрощают массовые обзвоны граждан.
Кроме того, злоумышленники стали активно использовать новые технологии, рассказал зампред правления ВТБ Вадим Кулик. Зафиксированы первые случаи, когда мошенники применяли записи голоса, чтобы подменить биометрию клиентов, сгенерировав разговор от их лица. Также преступники используют дипфейки.
— Уже есть кейсы, когда видеоконсультация банков приводила к тому, что деньги уплыли. К этому виду фрода мы пока не готовы от слова совсем. Здесь нужно будет создавать серию новых процессов и новых технологий. Пока, к сожалению, успешность была 100 из 100, — рассказал Вадим Кулик.
Эксперты по кибербезопасности подтвердили «Известиям», что применение искусственного интеллекта для обмана граждан — новый тренд. Злоумышленники набирают жертве, подделывая и номер звонящего, и его голос, рассказал руководитель направления кибербезопасности RTM Group Артем Бруданин.
— Как клонируют голос? В нескольких случаях это было связано со взломом мессенджера: сначала хакеры получили доступ к аудиозаписям в профиле человека, а затем на этих данных обучили нейросеть. Разумеется, такой гибридный подход к социальной инженерии дает свои плоды: люди просто не ожидают, что знакомый голос — искуственный, — пояснил он.
Риски есть не только для граждан, но и для компаний, сказал ведущий эксперт сервиса аналитики и оценки цифровых угроз ETHIC компании Infosecurity a Softline company Владислав Иванов. Мошенники уже используют дипфейки, и просят перевести крупные суммы от имени руководителей.