Мошенники будут активнее использовать для хищений технологию оплаты по QR-коду, считают эксперты
Мошенники будут активно использовать для хищений технологию оплаты через Систему быстрых платежей (СБП) по QR-коду, считают эксперты банка ВТБ, второго по размеру активов в РФ. Аналитики, опрошенные "Российской газетой", отмечают, что сама технология СБП безопасна, но людям необходимо проверять реквизиты при проведении любой транзакции. Ситуацию осложняет то, что в СБП нет регламентированного процесса опротестования операций.
"В 2023 году эксперты банка не ожидают кардинальных перемен в основных мошеннических схемах. По сравнению с прошлым годом вырастет количество звонков злоумышленников через мессенджеры и социальные сети, также они будут более активно использовать для хищений технологию оплаты через СБП по QR-коду", - сообщил ВТБ.
Кроме того, в экспертном сообществе обсуждаются опасения о возможном использовании технологий искусственного интеллекта для кражи средств, указывает ВТБ. Однако банк фиксирует, что пока мошенники лично общаются с потенциальными жертвами, и в обозримом будущем, по прогнозам экспертов, ситуация едва ли изменится.
СБП - сервис, с помощью которого можно совершать межбанковские переводы по номеру мобильного телефона круглосуточно, без праздников и выходных. Комиссии за такие переводы низки или вовсе отсутствуют. По данным Банка России, к системе уже подключены более 200 банков, включая крупнейшие. СБП также позволяет оплачивать покупки в том числе по QR-коду и получать выплаты от организаций.
По данным Банка России на конец третьего квартала 2022 года, объем операций в СБП с начала запуска превысил 15 трлн рублей: 72 млн граждан совершили 2,9 млрд операций. При чем средняя сумма перевода по итогам третьего квартала составила пять тысяч рублей.
"Эксперты рынка утверждают, что платежи через СБП - один из механизмов надежных расчетов. В начале внедрения QR-кодов была выявлена уязвимость, когда мошенники собирали деньги через этот инструмент. Однако и Банк России, и НСПК, и финансовые организации провели "докрутку", адаптацию внутренних настроек. Регулятор потребовал от банков блокировать счета торгово-сервисных предприятий, если финансовая организация не может проверить, кого подключает к СБП. После этого информация о таких схемах обмана не появлялась", - отмечает эксперт проекта Народного фронта "За права заёмщиков" и платформы "Мошеловка" Алла Храпунова.
Это связано с тем, что генерация QR-кода доступна лишь клиентам банков, полагает она. "Клиенты, в свою очередь должны быть прозрачны для обслуживающих их банков, ведь это прямое требование 115-ФЗ. В рамках этих процедур банки умеют выявлять сомнительность в расчетах клиентов и изменение характера потоков средств, проходящих через их счета", - подчеркнула Храпунова.
В прошлом году оплата таким способом стала привычной, а потому некоторые пользователи могли быть менее бдительными и одобрять такие операции "на автомате", продолжает главный эксперт "Лаборатории Касперского" Сергей Голованов.
"Этим и могут воспользоваться злоумышленники. Например, под видом оплаты в магазине присылать QR-код для перевода средств на сторонний счет или размещать такое изображение на фишинговых страницах", - указывает собеседник газеты.
Как всегда, необходимо внимательно перепроверять всю информацию о транзакции перед тем, как ее одобрить. Не лишним будет также установить защитные решения, позволяющие блокировать переход на фишинговые и скам-ресурсы, советует Голованов.
По его словам, тренд на увеличение количества звонков через мессенджеры наметился уже во второй половине прошлого года. В первую очередь это связано с тем, что в отличие от "классических" звонков, сейчас нельзя заблокировать или отследить централизованно. Поэтому пользователям важно быть внимательными, не сообщать свои данные и перепроверить услышанное по официальному телефону организации.
Глава правления ассоциации "Финансовые инновации" Роман Прохоров объясняет рост интереса мошенников к использованию СБП активным развитием и ростом числа пользователей этого сервиса.
"Факты мошеннических операций с использованием поддельных QR-кодов уже были отмечены, в частности злоумышленники размещали их на листовках магазинов бытовой техники, обещая скидку при переходе по коду или в точках общепита под видом системы безналичных чаевых", - указывает Прохоров.
Для предотвращения необходимо соблюдать базовые правила цифровой гигиены. Человек практически всегда является наиболее уязвимым звеном для мошенников, в настоящее время основная часть неправомерных операций со средствами на счетах клиентов осуществляется с использованием методов социальной инженерии.
Независимый эксперт на платежном рынке Андрей Чирков указывает на особенности СБП, которые позволяют мошенникам разрабатывать новые схемы обмана по сравнению с карточными продуктами. "Например, статичные QR-коды. Не все банки умеют в мобильном приложении показывать детали платежа, просто сумма и все. Проблема в том, что в СБП нет регламентированного процесса опротестования операций, только если сам получатель добровольно согласится вернуть. Ровно точно также как с наличными деньгами", - сетует эксперт.
В свою очередь, в Group-IB считают, что стартовую точку для дальнейших атак на клиентов финансовых организаций преступники могут использовать утечки данных российских компаний. В 2022 году злоумышленники выложили в публичный доступ 311 баз. Для сравнения, в 2021 году их было всего 61. Общее количество строк данных пользователей, содержащихся во всех опубликованных сливах превысило 1,4 млрд.
"Одна из схем может выглядеть следующим образом. Через форму онлайн-заявки на сайте банка мошенники создают запрос на оформление кредита, используя свежую информацию из украденных баз. Используя целевой фишинг и социальную инженерию, они связываются с клиентом и просят сообщить код, который пришел в смс для доступа в личный кабинет", - указывают эксперты Group-IB.
По словам эксперта компании, для своих целей мошенники подменяют номера с помощью сервисов в Telegram, которые позволяют совершать звонки и измененных номеров без установки специальных программ. "Из других киберугроз мы отметим популярную схему "Мамонт", лжесвидания, Fake Crypto Giveaway", - указали в компании.