Мария КИМ, пострадавшая от мошенников жительница Тараза, в своем независимом расследовании после столкновения с мошенниками выявила некоторые любопытные детали в системе безопасности одного из популярных банков страны. Об этом она поделилась в своем интервью газете «Литер». Думаем, пользователям банковских продуктов полезно будет знать, какие подводные течения могут быть в их приложениях и популярных ныне банковских карточках серии GOLD.
«Эк-спорт» публикует полный текст статьи.
«Литер» уже рассказывал о том, как мошенники обходят систему безопасности банков («Кредит доверия», «»Литер» № 7 (3867) от 15 января 2021 года). Они входят в доверие к гражданам и с помощью разного рода схем опустошают их карманы. Напомним, жительница Тараза Мария Ким также стала жертвой мошенников, попавшись на уловку «лжеоператора» одного из самых популярных банков страны. Заявления в полицию и сам банк результатов не принесли — банк не усмотрел в произошедшей ситуации своей вины, а правоохранители не смогли раскрыть дело. Тогда женщина инициировала собственное расследование. И хотя на след мошенников она еще не вышла, в системе безопасности банков она нашла много необъяснимых пробелов, которые, похоже, упущены из виду финучреждениями.
Лазейки для мошенников
Мария Ким – фрилансер, подрабатывающая в одной из таразских компаний бухгалтерскими услугами, и в силу своей профессии ей иногда приходится анализировать финансовые инструменты. Но она подчеркивает – до поры до времени не очень интересовалась системой работы банков и их информационными системами, которые призваны обеспечить надежность переводов и целостность депозитных вкладов населения. Однако произошедший с ней случай заставил ее «покопаться» в этой теме и прийти к неутешительному выводу – один из банков страны весьма увлекся своей финансовой деятельностью и внедрением новых продуктов, но кое-что упустил в вопросах безопасности, которые в век информационных технологий являются лазейкой для хакеров. В результате создается благоприятное поле для мошенничества, чем и пользуются недобросовестные граждане.
— Путем обмана мошенники воспользовались моей картой и сумели опустошить мой депозитный счет, — рассказывает Мария. – Первое, что я сделала – сообщила об этом по телефону в сам банк, который, как мне казалось, должен был сразу же заблокировать счета мошенников и связанных с ним лиц. В ходе следствия, проведенного Департаментом полиции Жамбылской области, выяснилось – после моего первого обращения в банк деньги на счетах в Казахстане в этом же банке находились еще как минимум 12 часов! И было время предпринять меры – позвонить владельцам счетов и выяснить, каким образом эти деньги оказались у них? Однако банк посоветовал на следующее утро подойти в один из его офисов и сделать письменное заявление. Я так и сделала. После этого прошло еще несколько часов, за которые мошенники успели все мои деньги перевести в Россию.
По словам Марии, банк прислал ей ответ, смысл которого заключается в следующем: блокировать чужие счета по заявке клиентов они не могут, пока не поступит соответствующее заявление от правоохранительных органов.
— То есть, при такой системе ни один клиент банка не сможет вернуть деньги, которые у него выудили мошенники, — продолжает Мария. – Самое интересное, что подобные ситуации с банком уже происходили, целый ряд граждан точно также уже потеряли деньги на своих счетах, но никто даже шага не сделал в попытке исправить ситуацию, а сам банк упрямо держит линию: клиент сам виноват в том, что попался на удочку мошенников.
Но и здесь, по мнению Марии, гражданам трудно не попасться на удочку мошенников.
— Вся проблема в том, что действующие операторы банка зачастую в самом деле звонят вам по поводу сомнительных транзакций, происходящих с вашей карточкой. К примеру, многие казахстанцы наверняка получали звонки от настоящих операторов банков с вопросами: совершали ли вы такой-то платеж? Это распространенная практика. Но в моем случае мне также позвонили с мобильного телефона, номер которого был очень похожим на банковский. Потом в ходе следствия полиции выяснилось – мошенники использовали хакерскую программу, которая поменяла номер телефона на тот, который они сами указали. То есть, теоретически мошенники могут подделать любой номер, даже короткий, и на их удочку легко попасться и самому недоверчивому и осторожному клиенту.
Идентификация банка
Что в этой ситуации мог бы сделать банк?
— На мой взгляд, уже давно, сразу после первого произошедшего случая, надо было ввести систему подтверждения личности оператора банка, — говорит Мария. – В некоторых зарубежных банках введена практика: звонивший оператор называет кодовое слово, которое известно только лишь самому клиенту. И после этого клиент уже удостоверился, что ему звонит самый настоящий сотрудник банка. Либо из банка следует предварительный звонок клиенту с просьбой позвонить на горячую линию банка, указанную на сайте. Далее один из операторов вылавливает ожидаемый звонок и таким образом происходит идентификация и клиента, и банковского сотрудника. Не только в этом, но и в других казахстанских банков я подобной практики не встречала, что говорит о том, что казахстанцы поставлены банками в заведомо невыгодное положение.
Здесь нужно пояснить, что практика введения кодового слова существует многими казахстанскими финучреждениями. Но она является односторонней – кодовое слово при заключении договора вводят лишь для клиента на случай его обращения в банк, но никак не для сотрудников банка.
— А ведь это важный момент: мошенник не сможет воспользоваться кодовым словом без помощи сотрудника банка. А если факт мошенничества произойдет, то всем будет понятно, что в банке кто-то, грубо говоря, «слил» информацию, — считает собеседница.
Кто здесь информатор?
Кстати говоря, в социальных сетях уже не в первый раз высказывается мнение относительно того, что в банке могут сидеть сотрудники, которые и «сливают» мошенникам информацию о состоянии счетов клиентов. Что можно сказать по поводу этого предположения?
— Я думаю, здесь нужно исходить из двух аспектов, — говорит Мария Владимировна. – Во-первых, давайте рассмотрим ситуацию со стороны – допустим, что мошенник действует сам, без помощи сотрудника банка. Тогда он может вычислить только следующее – есть ли у вас карта конкретного банка, а также ваши имя и фамилию. Это делается довольно просто – в мобильном приложении совершается мнимый перевод на какое-то лицо по номеру телефона, который можно взять, допустим, с какого-нибудь объявления. Там высвечивается сразу ФИО человека и наличие карты конкретного банка. Кстати говоря, БВУ (банки второго уровня) постоянно предупреждают, что нужно быть осторожными в сети. И что по объявлению мошенники могут вычислить ваши данные. Но это выглядит как попытка снять с себя вину. На самом деле мошенники никогда не будут владеть точной информацией о сумме вашего депозита.
Но какие меры может принять банк для защиты личных данных граждан?
— Как ни крути, а здесь банк должен убрать из системы привязку счетов клиентов к мобильному телефону. Ведь это – благодатное поле для мошенников! – считает Мария.
Теперь о втором аспекте. В нашем случае звонившая Марии женщина, которая представилась сотрудником банка, а оказалась мошенницей, сразу же назвала сумму депозита, которую якобы нужно перевести на другой счет для сохранности вклад. Откуда у нее эта информация? Посредством объявлений в сети эту цифру не вычислить. Вот тут-то у граждан и возникают подозрения по поводу «языков» из банков.
— Когда я сообщила эту информацию в областной филиал БВУ для проведения внутреннего расследования, на меня покосились, — продолжает собеседница. — А где-то через две недели сообщили, что по результатам расследования никто из сотрудников банка не заподозрен в данной истории. И тут возникает вопрос: а как банк, собственного говоря, проводил данное служебное расследование? У меня сложилось впечатление, что в банке просто опросили своих сотрудников: мол, ты не сливал информацию? Нет? Ну, хорошо!
По мнению Марии, здесь нужно было провести внутреннее расследование с привлечением сотрудников правоохранительных органов, а так оно превратилось в формальное.
Кто больше всех знает?
К такой ситуации в банке, по мнению собеседницы, может привести крайне спорная практика многих банков, которая фактически нарушает права граждан на защиту личных данных.
— В банках есть, как правило, возможность электронного пополнения депозита клиентом, — говорит она. – Но эта опция предусмотрена только в национальной валюте. Когда же дело касается пополнения в другой валюте, то здесь не обойтись без похода в банк. Впрочем, многие клиенты все еще пополняют и тенговые депозиты через кассы БВУ. И вот тут происходит интересная ситуация – оператор или кассир, отправляя деньги на ваш счет, прекрасно видит всю сумму вашего депозита. Чтобы пополнить ваш вклад, она берет у вас удостоверение личности, делает его копию. Так где гарантия, что завтра сотрудник «не сольет» информацию о клиентах третьим лицам?
Аналогичная система, по мнению Марии, работает по крайней мере в нескольких банках страны, и ее надо исправлять.
— А если на счету у клиента миллион долларов? И он не хочет, чтобы банковские работники видели этот счет. Ведь это – вопрос личной безопасности вкладчиков, а проблема решается очень просто: в базе данных нужно убрать отображение имеющейся суммы, и тогда кассир или оператор будут знать только о текущей сумме пополнения или снятия вклада.
Потеряешь мобильный – потеряешь все!
Еще один момент, который беспокоит Марию как пользователя банковских услуг, касается уже не ситуации с мошенниками, а случаев столкновения с другими криминальными элементами — карманниками.
— Допустим, у человека украли мобильный телефон, а у него там закачано приложение банка. Что делает вор в первую очередь? Он проверяет сотку на наличие приложения, которое сейчас, наверное, загружено у каждого второго гражданина. Теперь его задача – перевести деньги на другой счет. Но приложение защищено паролем к экрану из четырех цифр. Тогда человек пробивает его наугад (если он украл вместе с телефоном ваши документы, то будет пробовать вашу дату рождения). После трех попыток система отсылает его на общий вход в приложение, где можно нажать на функцию смены пароля. А код для нового пароля почти всегда приходит на номер украденного телефона!
— На все про все у карманника уйдет не более 10 минут. А вы можете не догадываться час-два, что у вас нет с собой мобильного телефона. А когда спохватитесь, ваших денег на счету уже и нет, — предостерегает Мария.
Поэтому она советует гражданам не держать приложение на том телефоне, номер которого зарегистрирован в системе банка. Увы, такое предостережение почему-то не встретишь от самих БВУ.
Самим же банкам, на взгляд Марии, следует проводить более гибкую политику в плане привлечения депозитов населения. Ведь большинство мошеннических схем построены на легкодоступности снятий вкладов самими клиентами.
— В погоне за клиентами некоторые банки настолько упростили схему открытия, пополнения и снятия депозитов, что вызвали неподдельный интерес к своим продуктам со стороны мошенников. А ведь как было раньше? Просто так большую сумму депозита не переведешь и снимешь, пока не придешь в банк. А если бы у человека была такая необходимость, возможно, мошенничество и не стало бы таким легким, — говорит женщина.
Самое удивительное, по убеждению Марии, это то, что все подобные схемы не надо проворачивать хакерам или гениям аферы. Осуществить их при желании может любой мало-мальски подкованный с точки зрения финансовой грамотности человек. Вот почему появилось так много случаев мошенничества вокруг банковских продуктов.
— Я не сообщила ничего гениального, и все эти схемы я нашла сама, без помощи банковских работников. И многие наши граждане при желании также могли бы воспользоваться очевидными дырками в системе безопасности банков. Но, слава Богу, у них, в отличие от мошенников, есть самый сильный тормоз – совесть.
Шухрат ХАШИМОВ, газета «Литер» от января 2021 года.
