Потенциальным «участником» новой схемы мог стать журналист «Известий», если бы не имел обширных знаний в вопросе мошенничества в банковской сфере. Ему поступил звонок от «сотрудника» ВТБ, который поздравил с одобрением займа. Одновременно с этим пришло СМС с кодом для оформления заявки на кредит наличными. И тут же упало еще одно — для подтверждения телефона.
«Сотрудник» предложил назвать коды для окончания формирования заявки. К сожалению мошенников, опыт журналиста не позволил этого сделать — он сам перезвонил в банк. В call-центре ему сообщили, что никаких заявок от него не поступало, а он стал потенциальной жертвой мошенников.
И пояснили новую схему. На сайте многих организаций есть форма онлайн-анкеты, которая является заявкой на кредит. Злоумышленники заполняют ее на дропа (подставное лицо, которое используют аферисты для перевода похищенных средств. — «Известия»). Но указывают телефон жертвы.
— Мошенники таким образом привязывают кредит к телефону третьего лица. Если он сообщает им коды для формирования заявки и подтверждения номера телефона, то после одобрения его попросят назвать еще один — для подписания документов на кредит, — пояснили журналисту в call-центре ВТБ.
И всё: на счет дропа поступают деньги, которые переводятся по цепочке к главному бенефициару этой схемы, то есть мошеннику. В чем смысл, простота и даже элегантность этой схемы?
Представители платформы «Мошеловка», где подтвердили получение обращений от бдительных граждан о такой схеме, связанной с сервисом ВТБ, объяснили механизм ее действия. Как рассказала «Известиям» координатор ресурса Евгения Лазарева, злоумышленники внимательнее других следят за повесткой и подстраивают свои действия под нее. Это дает им возможность искать пути для обхода различных норм.
— Сейчас в Госдуму внесен ряд законопроектов, которые направлены на борьбу с мошенничеством с использованием социальной инженерии при оформлении кредитов на третьих лиц, — сказала она. — Это самозапрет на кредиты, который человек может установить, и период охлаждения на перевод средств на подозрительные счета. Естественно, аферисты понимают, что планируемые инициативы сильно сократят возможность для ограбления населения. Поэтому они активно прощупывают сервисы крупных банков, ищут уязвимости, которые позволят максимально упростить механизм убеждения жертвы.
Именно таким слабым местом оказалась онлайн-анкета на сайтах организаций.
— Фактически особо убеждать жертву не надо — просто кредит одобрен и подтвердите. Доверие вызывает тот факт, что СМС приходит именно от банка, — сообщили в «Мошеловке».
В пресс-службе ЦБ также отметили, что регулятор неоднократно обращал внимание: исходя из актуальной повестки, мошенники оперативно меняют свои схемы и сценарии для хищения денег у граждан.
— При этом злоумышленники используют различные способы для увеличения сумм хищений, в том числе провоцируют граждан к оформлению кредитов, — подчеркнули в ЦБ.
По словам Евгении Лазаревой, всех жертв объединяет то, что у них относительно чистые кредитные истории и с самим банком взаимоотношения закончились в прошлом или есть незакрытые «спящие» счета.
Многие с удовольствием возьмут одобренный кредит. И не возникнет никаких сомнений, поскольку сообщение пришло от банка, а звонящий «сотрудник» называет точное время, когда оно поступило, и его содержание.
Как отметила координатор платформы «Мошеловка», пока обращения поступают только от клиентов ВТБ, но есть огромный потенциал для использования такого механизма и с другими банками. Она объяснила, что по мере принятия законопроектов, направленных против мошенничества, к такому способу будут прибегать всё чаще.
Специалист компании F.A.C.C.T. по противодействию финансовому мошенничеству Дмитрий Дудков подтверждает, что риски стать жертвой этой схемы есть у клиентов тех российских банков, у которых на сайте размещена открытая форма оформления заявки на кредит.
— А опасность в том, что СМС клиентам поступает с короткого номера реального банка, — добавил он.
А жертва кто? Элегантность схемы состоит в том, что конечной жертвой в ней может стать банк, уверены эксперты.
— Дроп вправе совершенно основательно сказать, что он не имеет отношения к этому кредиту, поскольку не вводил коды, которые являются фактически подписью, — отметила Евгения Лазарева.
Действительно, кредиты онлайн оформляются при помощи кодов, которые выступают простой электронной подписью (ПЭП). Если перевести эту ситуацию в офлайн, то схема выглядит так, что договор оформляется на одно лицо, а подписывает его другое.
— На мой взгляд, в случае реализации такой мошеннической схемы с большой долей вероятности крайним окажется не владелец мобильного телефона и даже не посредник, будь он мошенник или третье лицо, которое мошенники используют втемную, а банк, выдавший кредит, — прокомментировала адвокат КА «Юков и партнеры» Светлана Тарнопольская.
По ее мнению, ситуация не слишком простая с правовой точки зрения: каждому из «участников» схемы придется доказывать, что он не «бенефициар» в ней.
— Владельцу мобильного телефона — что он не получал кредит, поскольку счет зачисления денежных средств не имеет к нему никакого отношения; посреднику (дропу) — что он не давал своего согласия на получение кредита и через его счет деньги ушли помимо его воли и интереса, — подчеркнула юрист.
Она предположила: на основе складывающейся судебной практики по оценке мошеннических операций в сфере кредитования можно сделать вывод о том, что суды будут склонны отказывать банкам во взыскании денежных средств с таких «заемщиков» — как владельцев мобильных телефонов, так и дропов.
— И основания для такой позиции серьезные. Именно банки, как профессиональные участники рынка, должны нести риски оказания услуг посредством онлайн-кредитования, — подытожила Светлана Тарнопольская.
Оба участника, которые берут кредит, формально ни при чем, соглашается Евгения Лазарева. Но она уверена, что человеку, чей телефон был использован при оформлении договора, банк сильно попортит нервы, поскольку именно номер был способом коммуникации с заемщиком.
В пресс-службе ВТБ заявили «Известиям», что банк применяет многофакторную систему идентификации и аутентификации, в том числе с проверкой через «Госуслуги» и бюро кредитных историй.
— В случае, если клиент не заполнял заявку на кредит, но получил СМС о его оформлении, важно внимательно читать код из СМС — для какой именно операции он был направлен и совпадает ли это с переданной вам информацией. При любых сомнениях мы рекомендуем связываться с банком для уточнения, — сказали в кредитной организации.
Юрист Светлана Тарнопольская считает, что с учетом новой схемы, скорее всего, банки введут дополнительные критерии идентификации заемщика во избежание подобных проблем. И тоже советует никому не называть приходящие им в виде сообщений коды и не вестись на «заманчивые» кредитные предложения.
А Дмитрий Дудков из F.A.C.C.T. уверен, что сейчас банки могут уберечь своих клиентов, используя технологии для защиты как мобильных, так и веб-каналов от финансового мошенничества.
Анна Каледина