Цифровизация поменяла не только наши представления о банкинге, но и открыла новые способы к мошенничеству. Подробнее о кибербезопасности мы рассказывали в материале “Кибербезопасность детей” (который полезен и взрослым). Сегодня мы рассмотрим, как банки пытаются оградить нас от кибермошенников, а заодно поделимся личным пользовательским опытом – как это работает на самом деле, какие схемы эффективны, а какие доставляют неудобства.

Система безопасности любого банка построена на многофакторной идентификации. Где-то этих ступеней две, где-то три. Первый этап – при входе в банковское приложение, когда нужно ввести код, пароль или сверить биометрические данные. Второй этап – дополнительная идентификация по платежам. Обычно это код, который присылается в виде смс или внутри приложения. Третий этап – во время оплаты на незнакомом сайте – через стороннюю инфраструктуру, когда необходимо ввести код 3D-Secure.

Опыт мировых банков

Тем не менее, банки по всему миру стремятся усиливать защиту. На западе под особым контролем держат кредитные операции – существуют компании, которые занимаются аналитикой кредитных операций. Борьба со злоумышленниками начинается еще на этапе обработки заявки. Специальная система, ведущая учет всех кредитных заявок, сравнивает их между собой и отправляет подозрительные в отдельный “ящик”. Например, если 18-летний заявитель в графе дохода указывает тысячи долларов, система автоматически включает красные огни.

Основные средства на стороне банка для борьбы с мошенниками:

• системы скоринга – система оценивания заемщика (стоит или нет ему выдавать кредит);
• сверка биометрических данных – позволяет идентифицировать человека по его биометрическим характеристикам;
• база кредитных историй – система, где собраны все заявки кредиторов;
• внешние источники данных – это данные о заемщиках со стороны, например, с государственных сайтов и других баз;
• проверка аккаунтов в социальных сетях.

Банки также занимаются информированием своих пользователей о новых способах мошенничества. Например, Сбербанк создал раздел, посвященный мошенническим атакам. Здесь можно найти примеры e-mail рассылок от мошенников, списки сайтов, которые выдают себя за банк, списки финансовых пирамид и мошеннические схемы. Также банк просит своих клиентов отправлять им сомнительные сайты с финансовыми услугами, пополняя тем самым черный список сайтов.

В США закон предлагает полное возмещение похищенной суммы, если злоумышленники еще не успели ее потратить. Здесь самое важное – скорость  обращения в банк. Например, если жертва мошенников в течение двух рабочих дней обратится в кредитную организацию, то она потеряет не более $50, а если в течение 60 дней, то не более $500. Если клиент спохватится два месяца спустя, то никакого возмещения не будет.

‍

Опыт казахстанских банков

Внутренние системы защиты казахстанских банков тоже не стоят на месте. Так АРФР (агентство РК по регулированию и развитию финансового рынка, прим. ред.) разработало систему Qainar, которая позволяет оперативно обмениваться информацией между участниками внутри этой системы. Сейчас там 71 участник, включая банки, страховые компании, государственные органы и компании, осуществляющие банковские операции. По статистике Qainar с начала 2023 года финансовыми организациями было отражено около 4,5 млн кибератак.

Был и другой прецедент. 6 апреля 2023 года казахстанские банки и мобильные операторы сделали совместное заявление о новом виде мошенничества.

‍

Пользовательский опыт

Помимо стандартных процедур кибербезопасности, каждый банк придумывает собственные фичи. Чаще всего в тех случаях, когда деньги пытаются обезопасить от самого пользователя (помним, что 99% краж происходит благодаря самим держателям счетов). Насколько это оправдано и удобно я расскажу от первого лица, ведь, работая за рубежом, мне приходится больше и чаще остальных переводить деньги, а значит, находиться под пристальным вниманием служб безопасности банков.  

Сейчас я – счастливая держательница счетов в Kaspi Bank, Freedom Bank, Halyk Bank и Revolut (это иностранный банк, о нем мы рассказывали в материале “Досье №1: Revolut”). Так как я живу в Барселоне, то постоянно сталкиваюсь с переводом денег, оплатой онлайн и в целом “непонятными финансовыми процедурами”. Для банков я – пример идеального злоумышленника. Только деньги я пытаюсь “украсть” со своего счета и перевести на свой же. Обо всем по порядку.

‍

Freedom Bank

Особенности: Внутри самого приложения есть возможность установить географические ограничения на определенные действия – снятие наличных, оплату онлайн-покупок, пользование физической картой, переводы и так далее. В принципе, можно запретить любые действия с онлайн-картой, а пользоваться только физической. Мне нравится эта опция с “галочками”. У меня заблокировано практически все, и разрешение я выставляю непосредственно перед использованием карты для оплаты. Единственный нюанс: сам интерфейс приложения не совсем удобен - чтобы найти эти самые “галочки”, надо постараться.

Возможные проблемы: На Новый год я пыталась оплатить билеты на поезд, оплата не проходила, несмотря на все “галочки” в правильных местах. Мне показалось это логичным, потому что карточку я открыла онлайн буквально за две недели до первого ее использования.

Решение от банка: Мы достаточно быстро решили проблему со службой поддержки, мне прислали специальный код на казахстанский номер (для меня разговор с любой службой поддержки превращается в квест с поиском другого телефона с казахстанской симкой, его зарядкой и надеждой, что все коды придут).

К слову, служба поддержки во Freedom мне нравится больше остальных, так как все происходит в WhatsApp, отвечают достаточно быстро (даже в 4 часа ночи по Казахстану).

‍

Kaspi Bank

Особенности: Помимо кодов через смс или в самом приложении, Kaspi применяет  дополнительные меры. Так, в приложении есть лимиты на покупки онлайн. У меня они обычно либо отключены, либо стоят на минимальных  25 000 тенге. Так как у меня нет уверенности, что данные моей карты не украдены, а заменить ее прямо сейчас я не могу, все деньги я держу на депозитном счету. При необходимости делаю переводы.

Возможные проблемы: У Kaspi есть и другие “стопы” онлайн-оплат. Один из них – блокировка счета. Наверное, это хорошо, но для меня – сплошное мучение. Я давно потеряла надежду оплатить картой этого банка хоть что-нибудь онлайн, так как не понимаю, какие суммы блокируются. Иногда проходят оплаты в 150€, а иногда блокируется и 10€.

Как-то я пыталась перевести деньги со счета Kaspi Bank на счет Halyk Bank. У меня не получилось, я обратилась в службу поддержки Kaspi - Kaspi Гид.

Решение от банка: Мне позвонил сотрудник банка для моей идентификации и расспросил меня, с какими целями я хочу сделать перевод на счет другого банка. Как выяснилось, мошенники часто просят перевести деньги в другой банк, потому что “у Kaspi ограниченные ресурсы, и мы не можем помочь вам инвестировать/выкупить товар/сделать еще что-нибудь”. Я прослушала примерно получасовую лекцию о мошеннических ловушках, пообещала быть внимательной и поклялась, что деньги и правда останутся у меня. На 20 минут мне разблокировали возможность межбанковского перевода. В следующий раз все повторилось.

С одной стороны, это не очень удобно. Особенно если учесть, что служба поддержки Kaspi работает не быстро. Если надо перевести сумму, скорее всего, придется потратить 2-3 часа на звонок для идентификации и ликбез. С другой стороны, информирование важно и может спасти сбережения. Но, как показывает практика и примеры из жизни других людей, мошенники работают и с малыми суммами (до 20 000 тенге), которые не идентифицируются системами как возможные атаки мошенников.

‍

Halyk Bank

Возможные проблемы: Со стороны банка у меня не было никакого информирования о мошенниках. Однажды с карточки списалось 20€ на каком-то игровом сайте. Я не играю, а последний раз оплачивала карточкой Halyk Bank что-то онлайн еще в 2022 году. По поводу этой странной транзакции я позвонила в банк.

Решение от банка: В банке сделали логичное предположение, что данные моей карты были украдены, и мне необходимо заблокировать ее в приложении. Ни инструкции, ни рекомендаций по защите данных, от банка я ровным счетом ничего не получила. На данный момент у меня стоит временная блокировка карточки, и когда мне необходимо провести оплату, я на время снимаю код, оплачиваю и блокирую обратно.

‍

Revolut

Особенности: Этот банк – мой фаворит. В приложении есть данные физической карты, онлайн карты и временной карты. Временная карта предназначена для онлайн покупок, ее данные меняются сразу после проведения оплаты. Если, например, вы приобрели на сайте что-то за 30€, а мошенники украли данные карты, то с вашего счета спишутся 30€, но воспользоваться картой для повторной оплаты будет невозможно - ни вам, ни мошенникам.

Есть и неочевидные способы предупреждения мошенничества. Мне пришло смс, что моя посылка доставлена, необходимо пройти по ссылке, чтобы заплатить 2€ за курьера. Так вышло, что я действительно ждала посылку в эти даты, а доплата за курьера – обычная практика. Я уже перешла по ссылке, ввела данные карточки, осталось вбить только подтверждающий код, как приложение Revolut прислало уведомление – “Вы пытаетесь привязать свою карту к другому Apple ID”. Естественно, я резко прекратила процедуру, но еще в течение двух часов мне приходили коды для подтверждения введенных данных.

Возможные проблемы: Был и менее приятный опыт. На фестивале я не могла расплатиться карточкой: ни онлайн, ни оффлайн. Терминал, принимающий оплату, был зарегистрирован в другом городе, и у Revolut сработала система защиты – я и карточка находимся в Барселоне, а оплата принимается в Валенсии. Пришлось  расплатиться другой картой.

‍

Вывод

Каждый банк по-своему предупреждает своих пользователей о мошенниках. К сожалению, чаще информация о мошенничествах попадает в наше информационное поле тогда, когда мы уже оказываемся их жертвой. Из всех инструментов мне больше всего нравится “временная карта” для онлайн-платежей. Даже если я оплачу мошенникам 20€, я не буду рисковать остальными финансами на счете.

В целом, работа по борьбе с мошенничеством со стороны большинства банков очевидна мне, как пользователю. Да, блокировки, хоть и неудобный инструмент, но – эффективный, а главное – обратимый.

‍