Эксперты в сфере информационной безопасности заявили, что с ростом популярности системы быстрых платежей участились случаи мошенничества. Преступники стали активнее похищать деньги через СБП, используя социальную инженерию, а также подделывать сайты интернет-магазинов с QR-кодами СБП, ведущими на их счета.
Согласно статистике Центробанка, в 2021 году объем переводов физлиц через СБП вырос со 170 млрд руб. в январе до 788 млрд руб. в декабре, а их количество увеличилось с 27 млн до 136 млн операций. Платежи по QR-коду через СБП только за вторую половину прошлого года выросли с 2,4 млрд руб. до 17 млрд руб.
Банки отмечают, что мошенничество через СБП увеличилось с марта и превысило февральские показатели в разы. По их словам, там начали действовать хакеры, которые ранее похищали средства с карт с помощью социальной инженерии. Так, стали появляться клоны страниц реальных интернет-магазинов, на которых QR-коды оплаты ведут на счета мошенников. Некоторые хакеры отправляют электронные письма физлицам со ссылками на мошеннические сайты.
Банкиры назвали проблемой то, что финучреждения не всегда проверяют торгово-сервисные предприятия, которые подключают к СБП.
Независимый эксперт на рынке платежных карт Дмитрий Вишняков говорит, что «это серьезная проблема для любой платежной системы, ведь она выступает гарантом получения денег». Он отмечает, что даже при моментальных платежах у банка-участника системы есть возможность отозвать подозрительную транзакцию. «Процедуры по возмещению расходов по мошенническим операциям должны быть описаны в правилах платежной системы, и также они должны соответствовать закону о Национальной платежной системе»,— считает Вишняков.
Глава правления ассоциации «Финансовые инновации» Роман Прохоров говорит, что главным методом хищений остается социальная инженерия: «Формы и методы борьбы с такими операциями не сильно зависят от применяемого способа переводов — те же самые карточные антифродовые системы могут использоваться и для СБП». По его словам, на прошлой неделе в банки пришли рекомендации об отключении от дистанционного обслуживания дропперских счетов, используемых для вывода и обналичивания похищенных средств.
В марте Центробанк заявил, что число крупных DDoS-атак на российские финансовые организации выросло в 22 раза по сравнению с началом года. Он потребовал от кредитных организаций «компенсирующих мер», не уточняя, что именно нужно сделать.
В октябре 2021 года Банк России в рамках борьбы с нелегальными платежами неофициально порекомендовал банкам максимально сократить объем переводов с карты на карту. ЦБ также затребовал с банков данные по выявлению ими дропперских операций при переводах средств с карты на карты.
В декабре сообщалось, что Госдума готовит законопроект о списке дропперов, которые не смогут переводить деньги в онлайне, а должны будут делать это только по паспорту в отделении банка.
В том же месяце Центробанк предупредил банки, что будет запрашивать информацию обо всех транзакциях физлиц, в том числе персональные данные получателей и отправителей.
В начале февраля сообщалось, что в дорожной карте правительства по регулированию криптовалют перед ЦБ поставили задачу добиться того, чтобы к ноябрю банки усилили контроль за денежными операциями своих клиентов: оперативно выявляли подозрительные счета и постоянно отслеживали транзакции.
