Банки не догоняют
Фото: Inmagine.com

Каждый год в России вдвое увеличивается количество случаев мошенничества в системах интернет-банкинга. Однако фининституты неохотно борются с киберпреступниками и с еще меньшей охотой обсуждают эту проблему. Да и бюджеты кредитных организаций на информационную безопасность оказываются в разы меньше, чем суммы, которые интернет-мошенники тратят на разработку вредоносных программ. В итоге банки оказываются в роли догоняющих в этой войне. Изменить ситуацию может закон «О национальной платежной системе», вступающий в силу с 2013 года.

На днях Сбербанк отчитался об успехах борьбы с интернет-мошенниками. С начала года банку удалось предотвратить хищения на сумму более 1,2 млрд рублей.

«За 9 месяцев 2012 года Сбербанк пресек более 5 тыс. попыток хищения средств физических лиц на сумму более 500 млн рублей, а также свыше 400 попыток хищения средств юридических лиц на сумму более 770 млн рублей через каналы дистанционного банковского обслуживания», — говорится в сообщении банка.

Откровенность Сбербанка нетипична для отечественных кредитных организаций. «Традиционно российские банки неохотно делятся информацией о случаях хищений с банковских счетов», — замечает Сергей Никитин, представитель компании Group-IB, сотрудничающей со Сбербанком в области расследования компьютерных преступлений.

Действительно, банки наотрез отказываются говорить на тему мошенничеств. Из пяти ведущих кредитных организаций, которым Банки.ру отправил запрос, ни одна не стала отвечать.

Полной статистики по случаям хищений денег со счетов в России не существует, поскольку, как уже говорилось, банки не спешат раскрывать подобную информацию. Эксперты отмечают, что преступников гораздо больше интересуют счета юридических лиц. Причина особого интереса мошенников к счетам компаний очень проста: на них содержатся более крупные суммы.

По данным Group-IB, в 2011 году произошел 7 341 случай хищения средств со счетов компаний. То есть каждый день около 60 банковских счетов подвергались атакам киберпреступников, половина из них были успешны. В общей сложности у компаний было похищено почти 760 млн долларов. В среднем с одного счета мошенниками за раз несанкционированно списывается около 3 млн рублей. Впрочем, бывают и более «скромные» воры. «Мы сталкивались со случаем, когда мошенники похитили с банковского счета компании 15 тысяч рублей», — рассказывает Никитин. Для сравнения: средняя сумма хищения у физических лиц — 300 тыс. рублей.

Обычно киберпреступники атакуют системы интернет-банкинга, которыми пользуются юридические лица. Такие атаки осуществляются с помощью банковских «троянов»: при попадании в компьютер программа ищет следы работы с платежными системами. Если они находятся, то программа закачивает дополнительный модуль, который позволяет злоумышленникам похищать деньги.

Способы хищения денег у обычных клиентов банков еще разнообразнее. Кроме «троянов» мошенники применяют фишинг, то есть создают сайты-клоны, которые внешне полностью имитируют веб-страницы банков. Находясь на таком сайте, пользователь пребывает в полной уверенности, что использует портал своего банка, и без сомнений вводит свои данные, которые потом используются преступниками для хищений.

Средняя цена разработки специализированных вредоносных программ — 10 тыс. долларов.

«Объем денег, которые киберпреступники вкладывают в разработку новых методов хищений, в разы больше бюджетов банков на информационную безопасность. Рынок киберпреступности — это настоящий подпольный бизнес со своими сервисами, конкуренцией, монополиями», — поясняет Никитин.

Это приводит к тому, что, когда банки внедряют новые системы защиты, мошенники уже знают, как их обойти. В итоге в войне на опережение банки, как правило, проигрывают.

Еще одна причина небольших успехов банков в борьбе с мошенниками — разобщенность. «Кредитные организации пытаются противостоять киберпреступности самостоятельно. Хотя намного эффективнее было бы использовать межбанковскую систему для обмена данными по случаям хищений», — считает представитель компании Group-IB.

Число случаев хищений денег через дистанционные каналы обслуживания клиентов с каждым годом удваивается, говорит Никитин. В департаменте безопасности Сбербанка также отмечают существенный рост случаев установки скиммингового оборудования (оборудование, которое позволяет считывать информацию с платежных карт). В 2011 году сотрудники банка выявили около 500 таких случаев, а за три квартала 2012 года — 1 115.

За первую половину 2012 года сотрудниками Group-IB уже было зафиксировано около 4 600 хищений со счетов юрлиц на сумму более 470 млн долларов.

Серьезно повлиять на ситуацию может и закон «О национальной платежной системе», вступающий в силу с 1 января 2013 года, который закрепляет за банками обязанность возмещения похищенных у клиентов денежных средств. Таким образом, у всех клиентов появляются абсолютно законные основания требовать компенсацию, которые не могут быть проигнорированы банками. Пока что деньги возвращаются в основном физическим лицам, но все же решение данного вопроса остается на усмотрение банка.

Как полагают эксперты, это может заставить банки действовать намного активнее в области противодействия интернет-преступникам.

Александра КРАСНОВА, Banki.ru