Черный рынок персональных данных в России бурно развивается, его обороты исчисляются миллиардами рублей. Не пора ли принять законы, которые возложат серьезную ответственность на компании и банки, которым мы передаем свои персональные данные, а они их плохо берегут?
«Жительница ХМАО перевела мошенникам почти полтора миллиона рублей». «В Красноярском крае лжесотрудники банка похитили у пенсионерки 70 тысяч рублей». «За сутки туляки отдали телефонным мошенникам почти миллион рублей». Ежедневно информационное поле наполняется все новыми и новыми рассказами о жертвах телефонного мошенничества, которое уже приобретает размах национального бедствия.
Представители Центробанка констатируют, что за последний год число мошеннических звонков в РФ выросло почти вдвое. По данным Сбера, сегодня примерно каждый десятый звонок на телефонные номера российских граждан — мошеннический. По официальным данным МВД, только за 2020 год в рекордные четыре с половиной раза выросло количество афер с применением банковских карт: злоумышленники атаковали 190,2 тыс. банковских карт российских граждан. При этом с помощью интернета было совершено 300,3 тыс. преступлений (+91,3%), с помощью средств мобильной связи — 218,7 тыс. (+88,3%). А всего в прошлом году было зарегистрировано 510 тыс. преступлений, совершенных с использованием информационно-телекоммуникационных технологий (ИКТ) — на 73% больше, чем годом ранее. И это при том, что в среднем число преступлении против личности в России за последний год снизилось на 5,1% (см. график).
Ущерб от действий телефонных преступников исчисляется сотнями миллиардов рублей и соизмерим с доходами ведущих российских банков. Согласно исследованию, проведенного компанией BrandMonitor на основе данных ВЦИОМ, за 2020 год телефонные аферисты похитили у россиян почти 150 млрд рублей. Впрочем, Центробанк дает более сдержанные оценки: по его подсчетам, в прошлом году было совершено 773 тыс. незаконных транзакций, в результате чего жулики похитили у банковских клиентов 9,7 млрд рублей, что, однако, тоже немаленькая сумма.
Без ножа и топора
Самый распространенный тип телефонного мошенничества на профессиональном языке называется «вишинг» (от «voice — «голос» и fishing — «рыбалка, ловля на крючок»). Обман такого рода — это аферы с использованием социальной инженерии, которые заключается в том, что преступники, используя телефонную коммуникацию и играя определенную роль, под разными предлогами выманивает у держателя платежной карты конфиденциальную информацию о банковском счете или же стимулируют жертву к совершению определенных действий, в результате чего деньги с карты похищаются. «Эффективность действий телефонных мошенников основана на том, что преступник может обзвонить большое число потенциальных жертв как адресно, используя ставшие ему известными персональные данные, так и с помощью “холодного” обзвона, — комментирует Дмитрий Кузнецов, директор по методологии и стандартизации компании Positive Technologies. — При этом сам он находится вне физической досягаемости со стороны жертвы, а часто и вне юрисдикции правоохранительных органов страны проживания жертвы. Использование телефонной связи дает преступнику возможность контакта с потенциальной жертвой и безнаказанность».
Роли мошенников и способы выманивания денег множатся каждый день и порой достойны театральных премий. Например, автору этих строк, после того как он недавно поместил в интернете объявление о продаже мебели, сразу же поступил с десяток мошеннических звонков, где аферисты пытались предложить якобы выгодную схему сделки, которая, понятно, сводилась к тому, что предварительно нужно перевести мнимому покупателю предоплату за транспортировку или другие услуги или же сообщить данные своего банковского счета якобы для успешной онлайн-оплаты. При этом актерское усердие некоторых из звонивших (кто-то изображал простого рабочего с Украины с характерным акцентом, кто-то торопящегося бизнесмена — владельца преуспевающего магазина) достойны аплодисментов престижных театральных подмостков.
Специалисты делят мошеннические звонки на несколько ключевых видов. Первый — прямое выманивание денег, когда мошенники звонят от имени родственников, друзей и близких и под разными предлогами просят денег. Второй тип — банковское мошенничество, когда преступники притворяются сотрудником банка или службы безопасности, получают конфиденциальную информацию о счете или заставляют совершать нужные для похищения действия. Третий вид — шантаж, когда мошенники звонят от имени работника правоохранительных органов и оказывают давление, например ложной информацией о том, что с вашим родственником что-то случилось (телефон родственника преступники могут временно заблокировать, чтобы нельзя было это проверить). Мошенники звонят также под видом медиков, соцработников или вдруг сообщают «радостную весть», что вы выиграли автомобиль, ноутбук или смартфон, но нужно заплатить госпошлину для оформления приза.
Тип мошеннических звонков «майоров прокуратуры», «полковников полиции», судебных приставов и прочих мнимых представителей силовых структур стал особенно распространён этой весной. «К уже ставшей “традиционной” легенде со звонками якобы от сотрудников службы безопасности банка в последнее время добавилась, например, легенда со звонками якобы от представителей правоохранительных органов и финансовых регуляторов, — рассказывает Дмитрий Швецов, руководитель инфраструктуры сервиса Kaspersky Who Calls “Лаборатории Касперского”. — Согласно анонимизированным отзывам пользователей Kaspersky Who Calls, в России в апреле 2021 года по сравнению с декабрем 2020-го — февралем 2021-го количество таких звонков выросло в четыре раза».
Где сидят «звонари»
За последние пару лет телефонное мошенничество в России превратилось в хорошо организованный преступный бизнес. Здесь уже редко орудуют одиночки, свою деятельность с размахом ведут так называемые серые колл-центры, предложение о работе в которых в завуалированных формулировках типа «высокооплачиваемая работа на телефоне» можно открыто найти в разных российских регионах. По данным полиции, число таких нелегальных колл-центров исчисляется сотнями. В среднем в каждом из них работает порядка 20 человек в смену, на один колл-центр приходится семь тысяч звонков, а денежный оборот одной такой подпольной телефонной компании составляет внушительные 65 млн рублей в месяц.
До недавнего времени значимая часть «звонарей» обманывала граждан из тюрем. Однако в последние месяцы ситуация меняется: в марте текущего года президент РФ подписан закон, обязывающий сотовых операторов отключать сотовую связь по требованию Федеральной службы исполнения наказаний (ФСИН), руководство этой структуры усилило меры борьбы со «звонарями», и за последний месяц количество звонков из тюрем сократилось в несколько раз.
Главная проблема нелегальных колл-центров сейчас в том, что такие преступные группировки все больше орудуют вне России. Представители МВД заявляют, что в настоящее время примерно 50–60% мошеннических звонков осуществляются из стран ближнего зарубежья. Основная часть таких аферистов находится в Украине — рабочая сила здесь дешевле, преступники из-за внешнеполитических разногласий с Россией чувствуют свою безнаказанность, деятельность украинских «звонарей» к тому же подпитывается чувством мести соседнему государству. Оперативники жалуются, что, хотя они и способны устанавливать местоположение таких преступников, привлечь их к уголовной ответственности не могут.
Деньги не возвращают
Время от времени полиция ловит телефонных аферистов, «накрывает» подпольные колл-центры в разных российских регионах. Но все же раскрываемость преступлений, связанных с телефонным мошенничеством, крайне низкая — по некоторым оценкам, она составляет всего порядка 5–10%. Увы, в подавляющем большинстве случаев не возвращают украденные деньги и банки. Согласно официальным данным Центробанка, в прошлом году кредитные организации возместили клиентам только 11,3% потерянных средств, или 1,1 млрд рублей. Позиция банкиров такова: в большинстве случаев жертвы телефонных мошенников виноваты сами.
Все это основано на юридических коллизиях: подобные преступления можно классифицировать как кражу или как мошенничество, а это, как говорят в Одессе, две большие разницы. «Если речь идет о краже денежных средств со счета потерпевшего (данное деяние квалифицируется по тяжкой статье УК РФ — пункт “г” части 3 статьи 158), то в данном случае, вина будет, по большому счету, лежать на банковской организации, поскольку та не обеспечила надлежащую охрану денежных средств на счете клиента, — рассказывает Андрей Орлов, директор юридической компании “Орлов и партнеры”. — Когда потерпевший предоставляет в банк копию постановления о возбуждении уголовного дела, где указана именно кража, а не мошенничество, банк возвращает на счет своего клиента украденную сумму. Все это происходит не в связи с добропорядочностью банков, а в силу решений суда, так как при заключении договора клиента с банком последний обязуется сохранить денежные средства лица в безопасности».
Однако сейчас телефонные аферы чаще квалифицируются как мошенничество, в чем как раз и заинтересованы банки. «Разновидностей мошенничества очень много, они охвачены статьей 159 УК РФ с различными примечаниями, — продолжает Андрей Орлов. — В случае, если денежные средства похищают “путем обмана или злоупотреблением доверия” (то есть путем мошенничества), то тут вина, по сути, лежит на самом потерпевшем. Правоохранительные органы здесь возбуждают уголовные дела, предусмотренные статьей 159 УК РФ, в результате чего при обращении в банковскую организацию денег потерпевшему не вернут. Что имеет логику, которая заключается в том, что банк не может нести ответственность за доверчивость и глупость клиента».
Перекладывание ответственности
Безусловно, банки заинтересованы в борьбе с аферистами и много делают для противостояния преступникам. «Наш банк всеми возможными способами информирует своих клиентов о мошеннических схемах: в буклетах, плакатах, СМС и так далее, а также выступая на массовых радио, ТВ, в газетах. Но было бы неплохо, если бы государство подключилось к этой работе на федеральных ТВ-каналах, в интернете, — говорит Вячеслав Касимов, директор департамента информационной безопасности Московского кредитного банка (МКБ). — Кроме того, для наших клиентов достаточно эффективно работает сервис фрод-мониторинга, защищающий в том числе от социальной инженерии. Недавно мы внедрили фрод-мониторинг, нацеленный на защиту людей преклонного возраста, которые, по статистике ЦБ, чаще всего становящихся жертвами социнженеров».
Представители банков считают, что нужно совершенствовать механизмы возврата денег пострадавшим, а также ужесточать ответственность за финансовые преступления. «ЦБ работает над законопроектом для упрощения возврата денег жертвам кибермошенников, — продолжает Вячеслав Касимов. — Регулятор предлагает автоматическую блокировку спорной суммы на счете злоумышленника или посредника после обращения жертвы, а также упрощенную судебную процедуру без привлечения истца и ответчика. Введение подобной практики, безусловно, внесет значительный вклад в борьбу с мошенничеством. Основной сложностью здесь будет решение вопроса, кого считать мошенником, а кого нет, то есть выработка корректных критериев идентификации мошенников. Кроме того, мы поддерживаем инициативу ЦБ по ужесточению уголовного наказания за мошенничества. Как бы бизнес и регуляторы ни старались, ужесточая требования к своим системам безопасности, информируя людей о правилах безопасности, без адекватных изменений в УК и повышения раскрываемости подобных преступлений будет сложно поставить заслон кибермошенникам».
Одновременно банкиры винят в проблеме операторов связи. Так, недавно заместитель председателя правления Сбербанка Станислав Кузнецов выступил с громким заявлением, что победить телефонное мошенничество можно уже в этом году, если принять меры на уровне операторов связи. А на прошлой неделе представители Тинькофф-банка предложили создать специальную систему учета и анализа телефонного мошенничества (СУАТМ) «для выявления недобросовестных операторов связи, которые проводят звонки злоумышленников в адрес банковских клиентов».
За надежную связь
Операторы связи, в свою очередь, говорят, что они тоже ведут борьбу, —впрочем, по сути, она сводится к внедрению технологий, связанных с отслеживанием нежелательных звонков. «Подозрительные вызовы блокируются, в их отношении проводятся проверки, — рассказали “Эксперту” в пресс-службе “Вымпелкома” (бренд “Билайн”). — Например, благодаря системе AntiFraud ежемесячно блокируется более ста миллионов звонков-сбросов на номера абонентов “Билайн”. Услуга “Кто звонит”, позволяет получить информацию о входящем звонке с неизвестного номера сразу же во время вызова. При этом автоматической блокировки входящих звонков не происходит — абонент сам решает, отвечать на такой звонок или нет».
Однако эффективность подхода, когда оператор связи уже после совершенного преступления заносит номер телефона в черный список, чтобы оно не повторилось, сомнительна. Ведь преступник с легкостью может совершить следующее преступление уже с другого номера.
К операторам связи есть много вопросов — например, связанных с серым рынком SIM-карт. Несмотря на то что по российскому законодательству все абоненты сотовой связи имеют право приобретать SIM-карты только в привязке к паспортным данным, черный рынок SIM-карт продолжает существовать и, по оценкам аналитического агентства Telecom Daily, составляет сейчас 10–11 млн нелегальных карт.
Еще одна острая проблема — возможность звонить абонентам с подменного номера: до сих пор в законодательстве существует лазейка, когда пользователь услуг виртуальных АТС и IP-телефонии имеет возможность подменить номер звонящего абонента, чем пользуются мошенники, выводя на экран потенциальной жертвы номера, похожие на реальные банковские. Законопроект, предполагающий ответственность за подмену номера, был внесен в Госдуму еще в 2018 году, однако его не приняли до сих пор. «Ситуация усугубляется тем, что современная телефонная связь базируется на протоколах, разработанных в семидесятых годах прошлого века, — комментирует Дмитрий Кузнецов из Positive Technologies. — Разработчики этих протоколов не предусматривали возможности злонамеренного доступа к телефонным сетям, и даже сотовая связь пятого поколения не обеспечивает полноценную защиту от подмены телефонных номеров или перехвата SMS- и push-сообщений. Безусловно, отдельные добросовестные операторы связи пытаются применять точечные меры защиты, но какого-то заметного эффекта в целом в сфере связи эти меры не дают. Отчасти решением проблемы стало бы изменение самой концепции телефонной связи: абонент должен иметь возможность разрешать звонить на свой номер только определенному кругу абонентов (например, используя “белые списки”, “приглашения”, механизмы “дружбы” и “общих друзей”, аналогичные используемым в социальных сетях), но пока стандарты телефонной связи ничего подобного не предусматривают».
По секрету всему свету
Любое мошенничество с использованием информационно-коммуникационных технологий начинается с краж персональных данных. При «холодном» прозвоне, когда аферист звонит наугад и пытается обмануть первого попавшегося абонента, его шансы на успех минимальны. Совсем другое дело, когда преступник имеет точную частную информацию о потенциальной жертве: как человека зовут, сколько у него на счету средств, историю его транзакций и проч. Сегодня в России утечки баз данных превратились в рядовое явление, и никто из тех, кто эти данные аккумулирует, не несет серьезной ответственности за утечки.
Скандалы с утечками данных в России случаются постоянно, в том числе из солидных банковских учреждений. Например, в конце 2019 года в СМИ появлялись сообщения о продаже в теневой части интернета DarkNet базы с 60 млн записей о владельцах кредитных карт Сбербанка. А летом прошлого года случилась утечка данных с информацией о счетах клиентов ВТБ. Однако никто в результате не был призван к ответственности.
Базы с информацией о клиентах могут похищать как хакеры, так и недобросовестные сотрудники для продажи. Данные воруют (или покупают у недобросовестных сотрудников) у сотовых операторов, банков, интернет-магазинов, государственных органов и так далее — везде, где клиенты заполняют какие-то анкеты и проводят платежи. Как рассказал «Эксперту» на условиях анонимности сотрудник службы безопасности одной крупной компании, черный рынок персональных данных в России бурно развивается, его обороты исчисляются миллиардами рублей. «Пробить» информацию сейчас можно практически о любом человеке, нелегально собрав данные о нем в разных источниках, начиная с сетей мобильных операторов и заканчивая данными госучреждений. Разная информация стоит разных денег: простейшая информация из более доступного источника может стоить от нескольких сотен рублей за «пробив» одного человека до 30–50 тысяч за получение ценной информации о той или иной «солидной» персоне. При покупке персональных данных оптом цена начинается с 10–25 рублей за «строчку», и таким образом массив из данных, например, тысячи клиентов может обойтись телефонному мошеннику всего в несколько десятков тысяч рублей.
Хотя в России есть законодательство по защите персональных данных, оно не имеет эффективных механизмов реализации. В большинстве случаев сложно установить, что (или кто) стало причиной утечек: банки валят на интернет-магазины, магазины — на банки и т. д. А банку или другой коммерческой организации потеря данных реально не грозит значимым наказанием, кроме репутационного ущерба. По словам юристов, сейчас утечка персональных данных в подавляющем большинстве случаев квалифицируется как административное правонарушение и наказывается штрафами, которые хоть и были повышены этой весной, однако все равно не критичны, особенно для больших компаний: максимум, что им может грозить, — взыскание в размере до 500 тыс. рублей. При этом механизм возбуждения подобного рода дел и разбирательств пока не отработан: нет практики обращений людей в суд, дела в основном возбуждает прокуратура, да и то лишь в резонансных случаях, получивших широкую огласку.
Компании, будь то банки или интернет-магазины, а также государство никак не заинтересованы в серьезной защите персональных данных. «Компании от утечки персональных данных своих клиентов практически не страдают: такие утечки не приводят напрямую к финансовому ущербу для самой организации, и даже о самых резонансных утечках огромных массивов данных общественность забывает уже через пару недель, -- говорит Дмитрий Кузнецов. — При этом серьезная защита данных от утечки требует значительных затрат от бизнеса. Поэтому очень часто “защита персональных данных” ограничивается написанием правильных слов во внутренних документах организации без какой-либо практической деятельности по их защите. Возможно, положительный эффект могут дать жестокие репрессивные меры, аналогичные принятым в странах ЕС. Здесь потеря персональной информации клиентов грозит внушительным штрафом в размере четырех процентов годового оборота и может стать веским поводом задуматься о защите данных».
В Госдуме РФ сейчас обсуждается возможность введения уголовной ответственности за пропажу частных данных, в том числе финансовых. В частности, о готовности такого законопроекта недавно заявляли в Минцифре, но пока его принятие остается лишь в планах. Однако без решения этого вопроса — введения законодателем ощутимых штрафов и уголовного наказания виновных — ситуация с кражами данных не изменится.
Повысить мотивацию
Итак, в поисках ответа на извечный российский вопрос «кто виноват?» банки кивают на сотовых операторов, операторы связи говорят, что они просто дают людям звонить друг другу и винить их в развитии телефонного мошенничества — это все равно что предъявлять претензии магазину кухонных принадлежностей в том, что распространяется бытовая поножовщина. Полиция жалуется на невозможность ловить преступников во враждебной Украине, попутно публично критикуя недостаточную эффективность банковских систем защиты. Круг замыкается.
Регулятор тоже демонстрирует озабоченность проблемой, но пока кардинальных способов борьбы с мошенничеством не предлагает. Например, одно из последних предложений Минцифры РФ заключается в том, что нужно создать единую базу номеров мошенников и подключать ее ко всем операторам связи. МВД, со своей стороны, планирует до конца года представить сервис «Антимошенник», работа которого также будет построена на базе телефонных номеров с уже совершенными преступлениями. Но возможная эффективность таких шагов по упомянутой выше причине вызывает скепсис. Нет ответа и на вопрос, почему, если половина «звонарей» сидят сейчас во враждебной нам Украине, не расправиться со второй половиной “серых” колл-центров, при том что есть техническая возможность определить местоположение звонка преступника?
Крайним в этой ситуации оказывается клиент. Армия квалифицированных банковских юристов по принципу «сам виноват» успешно доказывает виновность потерпевших от телефонных афер. Например, одно время распространенной причиной невозврата средств жертвам интернет-мошенничества банками был предлог, что клиент пользуется нелицензионным программным обеспечением на компьютере. А поскольку на подавляющем большинстве частных компьютеров установлен нелегальный софт, это априори делало виновным почти всех пользователей банковских услуг.
Сейчас банки обвиняют клиента чуть ли не в том, что он просто снял трубку и вступил со злоумышленниками в диалог: некоторые жертвы мошенничеств вообще не сообщали по телефону никаких данных, но их все равно обокрали — такими историями переполнены интернет-форумы, где недоумевают, почему банк, например, не отреагировал на ситуацию, когда мошенники вдруг без проблем и без ведома пользователя отвязали от банковского счета телефонный номер клиента, подменили его на поддельный и затем в несколько переводов сняли все имеющиеся на счете деньги? Ведь даже несложный программный алгоритм может распознать в таких действиях подозрение на кражу. Обманутые клиенты также жалуются, что банк часто доказывает их вину за счет невыполнения прописанных банком правил безопасности, которые могут быть очень жесткими (например, о факте мошенничества нужно сообщать строго в течение 24 часов. Для сравнения: в США это 60 суток).
Разорвать замкнутый круг могла бы более жесткая позиции регулятора в отношении банковских учреждений. По такому пути, например, пошли власти США, которые считают, что основные риски, связанные с воровством денег со счетов, должны нести банки. В США действует простое и ясное правило: если клиент не отдал физически свою банковскую карту жуликам и заявил о пропаже денег со счета в течение 60 дней с момента преступления, то вся ответственность за их исчезновение лежит на банке. Похожие правила, например, действуют в Великобритании — здесь клиент может простым способом отменить транзакцию, если понял, что его обманули, и быстро вернуть деньги.
В результате действия таких норм телефонное мошенничество в тех же США и других развитых странах хоть и существует, но не имеет такого размаха, как в России. А все потому, что такое правило является мощной мотивацией для финансовых учреждений искать действительно эффективные механизмы борьбы с мошенничеством. Крупные финансовые институты, оказавшиеся крайними в смысле оплаты убытков по системным мошенничествам, например, нанимают за свой счет детективные агентства, чтобы вычислить системных жуликов и предоставить властям доказательства, чаще проводят проверки внутри своих организаций и у своих партнеров на предмет возможной утечки данных. Наконец, это заставляет финансовые организации активнее взаимодействовать с регулятором в плане принятия нужных подзаконных актов в отношении деятельности операторов связи и других участников рынка.
Критики такого подхода говорят: в России подобные принципы могут не сработать, потому что банки в этом случае могут столкнуться с волной мошенничества в их сторону. «Банк — финансовое учреждение, ориентированное на получение прибыли, а не социальное заведение. И возлагать на него в принудительном порядке ответственность за финансовую неграмотность или наивность клиентов кажется неправильным, — указывает Сергей Волдохин, директор компании “Антифишинг”. — Мошенники с большой вероятностью развернут ситуацию в свою пользу. Например, они могут заявлять о краже денег со своей карты и получать компенсации от банков, а могут нанять людей, готовых за незначительные суммы выполнять подобные операции».
Безусловно, ответственности с клиента никто не снимает, грамотность населения надо повышать, иммунитет общества к мошенникам вырабатывать. Но в случае возложения мошеннических рисков на банки, им уже придется доказывать виновность жертвы в каждом конкретном случае, возможно выступая с инициативами о совершенствовании юридических норм, и такие ресурсы у финансовых учреждений есть.