Списать деньги без согласия пользователя и оформить на него кредит станет сложнее. С 1 октября 2022 года клиенты смогут самостоятельно устанавливать в своем банке запрет на онлайн-операции либо ограничивать их параметры. Кроме того, банки будут обязаны подтверждать телефонные номера и адреса электронной почты абонентов, которые совершают онлайн-транзакции.
[H2]Самозащита от переводов[/H2]
Банки будут предотвращать денежные переводы, совершаемые без согласия граждан. Для этого клиент должен самостоятельно выбрать ограничения, которые он хочет наложить, чтобы избежать мошенничества. Установить запрет можно как на все онлайн-операции, так и на отдельные услуги, например переводы, кредитование. Ограничить можно как максимальную сумму одной транзакции, так и лимит на определенный срок.
Чтобы воспользоваться бесплатным сервисом, клиенту нужно написать заявление в свой банк. Форму документа и порядок его направления определяет кредитная организация, разъясняет регулятор. При этом пользователь может отменить запрет или изменить параметры ограничений в любое время.
Для дополнительной защиты банки будут проводить идентификацию всех устройств, с которых граждане совершают онлайн-операции. С 1 октября организации обязаны проверять адрес электронной почты клиента, на который банк направляет уведомления и справки об операциях. Также финансовые организации начнут подтверждать телефонный номер абонента, когда тот совершает операции через мобильное приложение.
[H2]Эффективны ли меры[/H2]
По данным Центробанка, количество и объем операций без согласия клиентов финансовых организаций в 2021 году увеличился в сравнении с 2020-м. Объем операций составил 13,5 млрд рублей (в 2020-м — 9,7 млрд рублей), а количество возросло с 773 тыс. единиц до 1,035 млн.
— Эта информация указывает на масштабы проблемы, и, на мой взгляд, новые правила смогут уменьшить эти цифры. Но стоит понимать, что меры не помогут предотвратить социальную инженерию. От нее помогает только информирование людей.
Изменения в положении Банка России № 683-П сложно назвать нововведением, так как большинство российских банков в той или иной мере уже реализует описанные меры. Однако, по мнению эксперта, хорошо, что эти требования устанавливаются и на законодательном уровне.
— К примеру, сейчас пользователи мобильного приложения банка могут выставить как лимиты на переводы или снятие денежных средств, так и на возможность использования реквизитов банковской карты при онлайн-покупках. Управление лимитами при помощи приложения является очень удобным инструментом, но в то же время позволяет самому мошеннику деактивировать установленные лимиты.
У злоумышленников, представляющихся «службой безопасности банка», есть высокие шансы ввести в заблуждение доверчивого клиента и сподвигнуть его на снятие галочки на лимиты в приложении банка.
[H2]Обойдут ли мошенники идентификацию[/H2]
Что касается подтверждения телефонных номеров и электронных почт, то большинство банков также реализует эти меры. Банки собирают цифровой отпечаток мобильного устройства. Это позволяет контролировать установку мобильных банковских приложений на новые гаджеты, но при этом не блокировать их загрузку совсем.
— Чтобы воспользоваться мобильным банком, злоумышленнику необходимо завладеть не только паролем от аккаунта, но еще и перехватить одноразовый код, который является вторым аутентификационным фактором. Но это сложно выполнимая операция, если пользователь хранит пароли в безопасности и не поддается социальной инженерии.
Эксперты полагают, что идентификация устройств является серьезным препятствием для злоумышленников.
— Теперь злоумышленникам необходимо получить доступ к устройству жертвы, что на порядок сложнее и требует высоких компетенций в области хакинга, включая применение методов социальной инженерии. Обычные мошенники или хакеры-любители не смогут реализовать подобную атаку, а хакерам высокой квалификации интересны совсем другие задачи.
— Судя по всему, каждый банк сам будет решать, насколько серьезно проверять «подлинность» пользователя. Самая строгая процедура — подтверждение личности в офисе, даже в таком раскладе теоретически мошенничество возможно, но оно окажется для злоумышленников сложным и дорогим. К тому же это противоречит тому, чтобы делать банковский сервис удобным, и уменьшит лояльность клиентов.
[H2]Оспаривание списаний[/H2]
Разобраться с последствиями обмана и наказать воришек довольно сложно. Оспорить кредитный договор или транзакцию проблемно, поскольку зачастую клиенты добровольно предоставляют доступ к мобильному банку либо переводят деньги мошенникам. Обычно условия дистанционного банковского обслуживания содержат ряд условий, страхующих банки от различных ситуаций.
— К примеру, один из банков включил условие о том, что он не несет ответственности в случае несанкционированного доступа неуполномоченных лиц к рабочему месту системы, установленному у клиента (включая удаленный сетевой доступ), и ключам шифрования клиента. Такое условие позволяет юристам банков отбиваться от многочисленных исков пострадавших клиентов.
Судебная практика по таким спорам в основном не в пользу потребителей, за исключением немногих ситуаций, где действительно есть вина банка. Такие дела встречались в практике, когда клиенты не заключали договор на дистанционное банковское обслуживание, или если в рамках уголовного дела удалось признать потерпевшим именно банк, а не клиента.
— Например, на сайтах-двойниках мошенники создают ситуацию для оплаты услуг, когда оплата произведена, банк совершил санкционированное списание по поручению пользователя. После опротестования сайт-двойник уже не пользуется доменом, запрос банка о возврате денежных средств не подтверждается, так как отсутствует субъект-мошенник.
По мнению собеседницы, для решения проблемы цифровые сервисы могут вести списки доверенных сайтов с доверенными ссылками, постоянно их актуализировать, создавая доверенную среду.
[H2]Запрет на кредит[/H2]
Ранее, в июне 2022 года, ЦБ механизм самозапрета на выдачу кредитов для противодействия мошенникам. Граждане смогут обезопасить себя от ситуации, когда на их имя оформляют кредит или заем.
Для этого клиент должен поставить в бюро кредитных историй специальную отметку «Запрещаю выдавать мне кредит». Это может быть как запрет на выдачу только онлайн-ссуды либо полный запрет на выдачу кредита и займа. Банки и микрофинансовые организации будут проверять наличие самоограничений.
«Почему через два дня. Если есть небольшой период «охлаждения», точка разрыва в коммуникации, то, как правило, у человека хватает сообразительности либо он поговорит с друзьями, со знакомыми и поймет, что происходит что-то не то».
Предполагается, что новый механизм позволит снизить риск утечек личных данных граждан, включая «сливы» копий паспортов, логинов и паролей.
[H2]Самозащита от переводов[/H2]
Банки будут предотвращать денежные переводы, совершаемые без согласия граждан. Для этого клиент должен самостоятельно выбрать ограничения, которые он хочет наложить, чтобы избежать мошенничества. Установить запрет можно как на все онлайн-операции, так и на отдельные услуги, например переводы, кредитование. Ограничить можно как максимальную сумму одной транзакции, так и лимит на определенный срок.
Чтобы воспользоваться бесплатным сервисом, клиенту нужно написать заявление в свой банк. Форму документа и порядок его направления определяет кредитная организация, разъясняет регулятор. При этом пользователь может отменить запрет или изменить параметры ограничений в любое время.
Для дополнительной защиты банки будут проводить идентификацию всех устройств, с которых граждане совершают онлайн-операции. С 1 октября организации обязаны проверять адрес электронной почты клиента, на который банк направляет уведомления и справки об операциях. Также финансовые организации начнут подтверждать телефонный номер абонента, когда тот совершает операции через мобильное приложение.
[H2]Эффективны ли меры[/H2]
По данным Центробанка, количество и объем операций без согласия клиентов финансовых организаций в 2021 году увеличился в сравнении с 2020-м. Объем операций составил 13,5 млрд рублей (в 2020-м — 9,7 млрд рублей), а количество возросло с 773 тыс. единиц до 1,035 млн.
— Эта информация указывает на масштабы проблемы, и, на мой взгляд, новые правила смогут уменьшить эти цифры. Но стоит понимать, что меры не помогут предотвратить социальную инженерию. От нее помогает только информирование людей.
Изменения в положении Банка России № 683-П сложно назвать нововведением, так как большинство российских банков в той или иной мере уже реализует описанные меры. Однако, по мнению эксперта, хорошо, что эти требования устанавливаются и на законодательном уровне.
— К примеру, сейчас пользователи мобильного приложения банка могут выставить как лимиты на переводы или снятие денежных средств, так и на возможность использования реквизитов банковской карты при онлайн-покупках. Управление лимитами при помощи приложения является очень удобным инструментом, но в то же время позволяет самому мошеннику деактивировать установленные лимиты.
У злоумышленников, представляющихся «службой безопасности банка», есть высокие шансы ввести в заблуждение доверчивого клиента и сподвигнуть его на снятие галочки на лимиты в приложении банка.
[H2]Обойдут ли мошенники идентификацию[/H2]
Что касается подтверждения телефонных номеров и электронных почт, то большинство банков также реализует эти меры. Банки собирают цифровой отпечаток мобильного устройства. Это позволяет контролировать установку мобильных банковских приложений на новые гаджеты, но при этом не блокировать их загрузку совсем.
— Чтобы воспользоваться мобильным банком, злоумышленнику необходимо завладеть не только паролем от аккаунта, но еще и перехватить одноразовый код, который является вторым аутентификационным фактором. Но это сложно выполнимая операция, если пользователь хранит пароли в безопасности и не поддается социальной инженерии.
Эксперты полагают, что идентификация устройств является серьезным препятствием для злоумышленников.
— Теперь злоумышленникам необходимо получить доступ к устройству жертвы, что на порядок сложнее и требует высоких компетенций в области хакинга, включая применение методов социальной инженерии. Обычные мошенники или хакеры-любители не смогут реализовать подобную атаку, а хакерам высокой квалификации интересны совсем другие задачи.
— Судя по всему, каждый банк сам будет решать, насколько серьезно проверять «подлинность» пользователя. Самая строгая процедура — подтверждение личности в офисе, даже в таком раскладе теоретически мошенничество возможно, но оно окажется для злоумышленников сложным и дорогим. К тому же это противоречит тому, чтобы делать банковский сервис удобным, и уменьшит лояльность клиентов.
[H2]Оспаривание списаний[/H2]
Разобраться с последствиями обмана и наказать воришек довольно сложно. Оспорить кредитный договор или транзакцию проблемно, поскольку зачастую клиенты добровольно предоставляют доступ к мобильному банку либо переводят деньги мошенникам. Обычно условия дистанционного банковского обслуживания содержат ряд условий, страхующих банки от различных ситуаций.
— К примеру, один из банков включил условие о том, что он не несет ответственности в случае несанкционированного доступа неуполномоченных лиц к рабочему месту системы, установленному у клиента (включая удаленный сетевой доступ), и ключам шифрования клиента. Такое условие позволяет юристам банков отбиваться от многочисленных исков пострадавших клиентов.
Судебная практика по таким спорам в основном не в пользу потребителей, за исключением немногих ситуаций, где действительно есть вина банка. Такие дела встречались в практике, когда клиенты не заключали договор на дистанционное банковское обслуживание, или если в рамках уголовного дела удалось признать потерпевшим именно банк, а не клиента.
— Например, на сайтах-двойниках мошенники создают ситуацию для оплаты услуг, когда оплата произведена, банк совершил санкционированное списание по поручению пользователя. После опротестования сайт-двойник уже не пользуется доменом, запрос банка о возврате денежных средств не подтверждается, так как отсутствует субъект-мошенник.
По мнению собеседницы, для решения проблемы цифровые сервисы могут вести списки доверенных сайтов с доверенными ссылками, постоянно их актуализировать, создавая доверенную среду.
[H2]Запрет на кредит[/H2]
Ранее, в июне 2022 года, ЦБ механизм самозапрета на выдачу кредитов для противодействия мошенникам. Граждане смогут обезопасить себя от ситуации, когда на их имя оформляют кредит или заем.
Для этого клиент должен поставить в бюро кредитных историй специальную отметку «Запрещаю выдавать мне кредит». Это может быть как запрет на выдачу только онлайн-ссуды либо полный запрет на выдачу кредита и займа. Банки и микрофинансовые организации будут проверять наличие самоограничений.
«Почему через два дня. Если есть небольшой период «охлаждения», точка разрыва в коммуникации, то, как правило, у человека хватает сообразительности либо он поговорит с друзьями, со знакомыми и поймет, что происходит что-то не то».
Предполагается, что новый механизм позволит снизить риск утечек личных данных граждан, включая «сливы» копий паспортов, логинов и паролей.
