Банк России своим приказом закрепил признаки подозрительных переводов денежных средств, которые банки должны блокировать для последующей проверки. Сам закон об остановке и возврате мошеннических платежей вступил в силу несколькими днями ранее.
Приказ ЦБ содержит всего три пункта, банки вправе дополнять их и развивать исходя из особенностей своей работы и профиля клиентов. Техническая реализация и конкретные параметры антифрод-мониторинга полностью отданы на усмотрение банков.
Во-первых, транзакция приостанавливается, если получателем средств является так называемый дроппер, задача которого в хакерских группировках - вывод и обналичивание похищенных денег. Данные о дропперах, в том числе номера его карт, счетов и телефонов, теперь банки обязаны передавать Банку России, тот ведет межбанковские списки таких злоумышленников.
Во-вторых, основанием для блокировки является использование при платеже устройств, которые ранее были замечены одним из банков в хакерской атаке. Их параметры по итогам каждого инцидента банки обязаны передавать в ту же межбанковскую базу - это IP-адреса, идентификаторы сим-карт (IMSI) и смартфонов (IMEI).
Раньше банки такой информацией друг с другом не делились, и группировки хакеров использовали многократно одну и ту же атаку в отношении разных банков. Теперь они под эгидой ЦБ строят единый периметр обороны.
"Так или иначе, при мошенничестве преступники используют виртуальные и физические устройства, которые в том числе связаны друг с другом, - поясняет Александр Ермакович, руководитель направления решений по предотвращению онлайн-мошенничества "Лаборатории Касперского". - Эта информация может эффективно применяться для выявления не только кражи денег, но и сценариев отмывания денег и манипуляций с бонусами в больших онлайн-магазинах".
Третий признак - нетипичные для конкретного клиента объем, место и время операции, странная периодичность операций, необычный получатель средств, использование клиентом нехарактерного для него устройства.
"Предположим, вы каждый день совершаете покупки в своем магазине рядом с домом, и вдруг с вашей карты совершается платеж тоже в супермаркете, но в другой стране, хотя физически вы находитесь здесь и никуда не уезжали, - поясняет первый замдиректора департамента информационной безопасности Банка России Артем Сычев. - Это та самая операция, которая должна быть проконтролирована, то есть банк должен выяснить, совершали вы операцию или нет".
В случае с суммой операции имеет значение не ее размер, а важно, что она отличается (в любую сторону) от того, какими в среднем суммами обычно оперирует данный конкретный клиент, объясняет Ермакович.
Транзакционный мониторинг банки добровольно осуществляли и ранее, но не все, и юридически они не имели права останавливать транзакции. Теперь это является обязанностью: при срабатывании антифрод-системы транзакция приостанавливается, после чего банк обязан незамедлительно связаться с клиентом для ее подтверждения. Способы связи остаются полностью на усмотрение банка. Если клиент все подтверждает, банку следует незамедлительно возобновить исполнение платежа. При невозможности связаться с клиентом банк разблокирует транзакцию через двое суток.
Если злоумышленникам удалось похитить деньги, банк обязан их возместить клиенту, напомнил Сычев. Это правило действует, если пострадавший обратился не позднее чем на следующий день после хищения, а банк не смог доказать, что в нем виновата неосторожность или доверчивость владельца счета. Карта после хищения в любом случае должна быть перевыпущена.