Количество людей, в отношении которых совершены мошеннические действия с использованием в цифровой среде их персональных данных, растет с каждым годом.
Сведения о противоправных финансовых операциях
По данным Банка России, в 2021 году количество и объем операций, совершенных без согласия клиентов, увеличились по сравнению с 2020 годом на 33,8 и 38,8% соответственно на фоне активного развития новых дистанционных платежных сервисов и роста объема денежных переводов (+28%, до 1 048,4 трлн руб.). Одновременно наблюдался рост средней суммы одного хищения, совершенного с использованием приемов и методов социальной инженерии, что в том числе привело к увеличению общего размера ущерба по операциям без согласия клиентов.
Социальная инженерия оставалась основным инструментом злоумышленников. Этот метод заключается в психологическом воздействии на человека, которое приводит к тому, что он добровольно переводит денежные средства или раскрывает банковские сведения, позволяющие злоумышленникам совершить хищение его средств.
Больше всего операций без согласия клиентов-физических лиц пришлось на удаленные транзакции. Клиенты банков сообщили о 742,3 тыс. таких транзакций, 44,5% из которых — результат применения к ним приемов и методов социальной инженерии.
Объем хищений составил 4 140,2 млн руб., средняя сумма одной операции без согласия клиента — 5,6 тыс. рублей.
Сценарии звонков злоумышленников, по мнению Банка России, практически не изменились. По-прежнему использовались звонки от специалистов якобы «службы безопасности банка», «правоохранительных органов» и «Центрального банка», автоинформаторов и роботизированных помощников.
В 2021 году Банк России инициировал блокировку более 179 тыс. номеров телефонов, используемых злоумышленниками для хищения средств у граждан.
Кроме того, в 2021 году Банк России направил в адрес регистраторов доменов информацию о 6213 ресурсах в сети Интернет, используемых злоумышленниками для совершения противоправных действий в финансовой сфере.
В 2021 году злоумышленники маскировали фишинговые сайты под ресурсы действующих кредитно-финансовых организаций для получения персональных сведений пользователей или данных для входа в онлайн-банк, а также информацию по банковским картам.
Также злоумышленники активно использовали сайты с информацией:
- о возможности получения компенсационных выплат от государства;
- о возможности заработать денежные средства за прохождение опроса, теста.
Актуальным направлением в 2021 году были поддельные сайты известных маркетплейсов, магазинов по продаже электроники, бытовой техники, компьютеров и т.д.
Сведения о преступлениях в цифровой среде
Согласно статистике МВД России, в 2021 году зарегистрировано 517,7 тыс. преступлений, совершенных в сфере информационно-телекоммуникационных технологий и компьютерной информации, что на 1,4 % больше, чем в 2020 году. В общем числе зарегистрированных преступлений их удельный вес составил 25,8 %.
Больше половины преступлений в цифровой среде составляют тяжкие и особо тяжкие преступления (288,3 тыс. или 55,7 %).
Более двух третей совершается с использованием сети Интернет (351,5 тыс. или 67,9 %), около половины – с помощью мобильной связи (217, 6 тыс. или 42 %).
Свыше трех четвертей преступлений составляют кражи и мошенничества (406 тыс. или 78,4 %).
С использованием банковских карт совершено 65, 6 тыс. преступных посягательств, мобильной связи 217,5 тыс.
Отмечен существенный рост преступлений — 6,9 тыс. (+52,7%), выражающихся в неправомерном доступе к компьютерной информации.
Количество раскрытых преступлений в цифровой среде незначительно. Из числа находившихся в производстве в прошедшем году преступлений, сопряженных с использованием банковских карт, осталось нераскрытыми 79% или 130,3 тыс.
Аналогичная тенденция характерна для преступлений, совершенных с использованием мобильной связи, осталось нераскрытыми 185,5 тыс. (85 %).
Доля возмещенных банками денежных средств крайне мала – 6,8% (920,5 млн руб.) от всего объема операций по переводу денежных средств, совершенных без согласия клиентов (в 2020 году данный показатель составил 11,3%, или 1 105,3 млн руб.).
Если гражданин сам выполнил все указания мошенников, например, предоставил им доступ к информации о своей банковской карте или снял наличные деньги в банкомате и перевёл их на чужой счёт, банк не примет на себя ответственность за самостоятельные действия потерпевшего, который в силу закона должен был оценивать их последствия.
Схемы мошенничеств цифровой среде многочисленны. Можно привести 10 наиболее распространенных, по мнению прокуратуры г. Москвы, сообщений по телефону, с которых начинается разговор с мошенником:
- В целях предотвращения хищения ваших денег подтвердите (сообщите) свои персональные данные и данные банковской карты.
- На вас пытаются оформить кредит и чтобы не допустить этого, сообщите данные своей банковской карты.
- На вас оформили кредит, и чтобы избежать неблагоприятных последствий, возьмите новый кредит и передайте полученные деньги нашему сотруднику. Банк разберется в сложившейся ситуации.
- Неизвестные пытаются похитить ваши деньги, и чтобы помешать им, переведите денежные средства на безопасный счет, который мы сообщим.
- На вашем счете зафиксированы попытки подозрительных операций, и чтобы не позволить мошенникам украсть ваши деньги, снимите их со счета и передайте нашему сотруднику.
- Вашу квартиру пытаются переоформить на третье лицо, и чтобы этого не допустить, возьмите кредит под залог квартиры и передайте деньги нашему сотруднику.
- Ваши деньги пытаются украсть. Вы не должны никому сообщать о нашем разговоре, иначе будете привлечены к уголовной ответственности за разглашение конфиденциальной информации.
- Чтобы не позволить мошенникам украсть ваши деньги, продиктуйте код из полученного СМС.
- Ваш родственник совершил правонарушение (преступление) либо является потерпевшим, для оказания ему помощи переведите денежные средства на счет, который мы сообщим.
- За вами числится задолженность и чтобы у вас не конфисковали все имущество, срочно переведите сумму долга на счет, который мы укажем.
Вместе с тем необходимо отметить, что преступность в цифровой среде имеет тенденцию к совершенствованию, поэтому появляются все новые формы мошенничеств.
Например, в прошедшем году портал Госуслуг предупредил пользователей о мошенничестве с использованием QR-кодов, которое направлено на получение злоумышленниками доступа к личным кабинетам на портале. Мошенники получают доступ к личным кабинетам пользователей Госуслуг и используют учетные данные для авторизации на сайтах кредитно-финансовых организаций и получения займов. Иногда злоумышленники даже изготавливают поддельные электронные образы паспортов с персональными данными своих жертв, по которым микрофинансовые организации идентифицируют их при заключении договоров в электронной форме. Как правило, граждане узнают о взломе личных кабинетов лишь постфактум, когда получают сообщения от «кредиторов» о необходимости погасить задолженность.
Также в начале 2021 года сообщалось о мошенничествах с дубликатами банковских карт. В августе 2021 года Банк России предупредил о новой о схеме мошенничества, когда гражданам от имени Банка России рассылались письма, в которых сообщалось, что в иностранных кредитных организациях на них якобы открыты крупные денежные счета, и гражданам необходимо заплатить комиссию.
Банк России заявил, что по своей инициативе не направляет гражданам письма, не звонит и не рассылает сообщения. Регулятор просил не реагировать на такие рассылки.
Одним из самых распространенных видов мошенничества является фишинг. Он заключается в действиях, направленных на получение доступа к персональным данным и денежным средствам на банковской карте пользователя (потенциальной жертвы) при помощи страниц Интернет-ресурсов, являющихся точными копиями официальных сайтов, на которых предлагается ввести персональные данные пользователя, а также данные банковской карты для возможности их дальнейшего использования.
Это достигается путем введения в заблуждение пользователя о принадлежности или подлинности интернет-ресурса вследствие сходства доменных имен, оформления или содержания информации.
Привлечение интереса пользователей происходит посредством размещения сообщений в социальных сетях, проведения массовых рассылок электронных писем, личных сообщений в различных сервисах. В сообщении часто содержится прямая ссылка на сайт, который внешне неотличим от оригинала. Отличительным признаком такого сайта может быть, например, малозаметная ошибка в доменном имени (например, yandax вместо yandex; vkontakte.ru и vkonlakte.ru) или использование доменных имен, схожих до степени смешения (online.sberbank.ru и online.sberbank.biz), а также использование неотличимого от оригинала дизайна веб-страниц.
К персональным данным, получаемым посредством фишинга, как правило, относятся:
1) логин и пароль;
2) фамилия, имя, отчество;
3) номер телефона;
4) адрес электронной почты;
5) платежная информация (номер банковской карты, срок действия, CVC/CVV код, владелец, код подтверждения операции).