Развитие технологий облегчает многие аспекты нашей жизни, но в то же время оно также создает современные проблемы, такие как кибератаки. В последнее время на повестке дня часто появляются жалобы связанные с кибератаками на банковские карты. Мы можем столкнуться с жалобами в социальных сетях на кражу денег с банковских карт без ведома людей. Kapital Bank, являющийся банком с крупнейшим клиентским портфелем в стране, с целью просвещения людей по многим направлениям, таким как причины кражи, защита личных данных, шаги, которые необходимо предпринять при кибератаке, в этом отношении обязательства банка, а также клиентов, представляет интервью с Джавидом Мирзаевым, членом Правления Банка, главным администратором/директором по управлению рисками.
- Г-н Мирзаев, одной из проблем, которые современные технологии привносят в нашу жизнь, являются кибератаки. Практически каждый день в прессе, в социальных сетях появляются новости о снятии денег с карт людей без их ведома. С чем это связано?
- Да, к сожалению, формы мошенничества сегодня стали оцифрованы, и если говорить между кавычками, то “профессионалов” в этом отношении достаточно. Основной причиной их успеха в большинстве случаев является неосведомленность людей. Кибермошенники каждый день находят новые формы и методы. Если говорить о реальных событиях, то вы наверняка встречали объявления под разными заголовками, например, «Нажмите на такую-то ссылку и выиграйте подарок», «Специальная подарочная акция на день рождения», «Проведение лотереи» и т. д. В 2023 году мы обнаружили и заблокировали в интернете 62 таких мошеннических сайта, созданных под именем Kapital Bank. Количество заблокированных нами мошеннических страниц в таких социальных сетях, как «TikTok», «Facebook», «Whatsapp», «Telegram», «Instagram» — более 600. Если внимательно посмотреть, то в этих ссылках названия написаны неправильно с разницей в 1-2 буквы и использован неправильный логотип. Этим новостям вообще нельзя верить. Когда клиент нажимает на эту ссылку, его личная информация крадется, даже если он не выполняет процесс до конца. Наши клиенты должны однозначно знать, что новости о любых акциях могут быть размещены онлайн только в официально подтвержденных аккаунтах/страницах Kapital Bank в социальных сетях: https://kbl.az/kbsml и Birbank, мобильное приложение Birbank Business: https://kbl.az/bbsml. Даже официальные страницы предоставляют такую информацию напрямую со ссылкой на официальный сайт банка. Позже информация о кампаниях распространяется в серьезных органах печати, телеканалах, в отделениях банков осуществляются коммуникации. Это касается не только нас, но и всех банков.
- Кто является наиболее распространенной целью мошенников? Насколько распространены методы кражи личных данных и как можно от них защититься?
- Конечно, каждый из нас является их целью. Если учесть, что у Kapital Bank более 5 миллионов клиентов, то нашими клиентами являются 2-3 члена каждой семьи. Мошенники это прекрасно знают. Поэтому часто используется название Kapital Bank. Способы мошенничества настолько разнообразны, что независимо от возраста, социального положения, места работы любой из нас может стать жертвой в случае неосторожного действия. Например, среди обманутых звонками больше людей пожилого возраста. Мошенники звонят и представляются сотрудниками банка. Клиенты должны знать, что ни один сотрудник банка не может запросить CVV-код на карте, то есть трехзначный код, 3D-код безопасности, который приходит по SMS.
В то же время использование неофициальных мобильных приложений является источником опасности. При загрузке неофициально модифицированных мобильных приложений, таких как “Whats App+”, “VPN”, разных игры и т.д. телефон подвергается кибератаке без ведома владельца и крадутся его личные данные.
При совершении покупок на платформах онлайн-продаж обязательно использовать официальные, доверенные каналы продаж. Лучше применить к карте лимит на покупки и не хранить данные карты в памяти сайта.
Большое место в этом списке занимают фейковые объявления о вакансиях или такие объявления, как «поставь лайк ссылке и ты заработаешь такую сумму». Хочу отметить важный момент, что на сегодняшний день изучены жалобы всех пострадавших клиентов, обратившихся к нам. Во всех случаях, когда украденную сумму не удалось вернуть, выяснилось, что информацией поделился сам клиент. В большинстве случаев пострадавший сам делится личной информацией, не проверяя безопасность источника. Или его данные украдены без ведома по причинам, которые мы перечислили. После того, как данные карты попадают в руки хакеров, по причине перечисленных пробелов, не принадлежащих банку, SMS-сообщения, отправленные для получения OTP-кода, также могут быть перехвачены.
- Способов мошенничества очень много, и мы часто видим, как клиенты обвиняют банк в неспособности защитить их личную информацию. Какова ответственность банка в этом случае?
- Безопасное банковское обслуживание и борьба с мошенничеством всегда являются одной из главных тем Kapital Bank. В этом отношении банк ссылается на действующее законодательство, нормативные требования и международную практику. Kapital Bank имеет 54 механизма контроля по стандарту ISO27001. Также создан механизм круглосуточного мониторинга для оперативного разрешения инцидентов кибербезопасности. Кроме того, наши сотрудники круглосуточно отслеживают киберугрозы и вмешиваются в опасные ситуации. Это гарантирует независимую защиту данных клиентов и оперативное реагирование на них. Поскольку наш банк предоставляет процессинговые услуги, он ежегодно проходит сертификацию PCI-DSS (стандарт безопасности данных индустрии платежных карт). Этот сертификат является мировым стандартом обеспечения безопасности данных карт клиентов.
Как известно, все карты Kapital Bank имеют систему 3D защиты. Действительно, есть сайты, где у клиента не запрашивают код подтверждения по СМС во время транзакции, операции на таких сайтах регулярно отслеживаются и блокируются, если они попадают в категорию подозрительных. В общем, каждый день сотни таких ресурсов попадают в черный список и блокируются в рамках сотрудничества с «Мeta» и соответствующими государственными учреждениями. Только за 2023 год к нам поступило около 4000 заявлений, связанных с мошенничеством. Нами заблокированы около 2000 карт с подтвержденными фактами.
- Скажите, считаете ли вы достаточными информационные мероприятия по этому вопросу?
- Мы используем все доступные ресурсы для этой цели. Информация по этой теме регулярно публикуется в наших социальных сетях. Мы также создаем видеоролики совместно с Ассоциацией банков Азербайджана. Тем не менее, важно подчеркнуть, что обеспечение безопасности требует сотрудничества между банками и клиентами. Мы призываем наших клиентов быть осторожными при использовании мобильных приложений, которые могут вызывать сомнения в надежности, воздерживаться от передачи личной информации или карты третьим лицам, не раскрывать трехзначный CVV-код на карте, одноразовый пароль 3D-верификации OTP, полученный по SMS, или персональный идентификационный номер удостоверения личности, а также не доверять непрофессиональным видеороликам и рекламным текстам, подготовленным от имени банков. Кроме того, не рекомендуется переходить по фальшивым веб-ссылкам, созданным мошенниками, размещать на таких ссылках информацию о картах, а также доверять тем, кто обещает легкий заработок в различных социальных сетях.
- Джавид бэй, эти события происходят непреднамеренно, и мы можем сталкиваться с мошенничеством. Как в этом случае продолжается процесс для клиента и банка? Что в первую очередь должен сделать человек, столкнувшийся с мошенничеством?
- Если лицо, столкнувшееся с мошенничеством, получает SMS или «Push»-уведомление о транзакции, или если клиент видит в мобильном приложении транзакцию, которую он не совершал, ему следует немедленно обратиться в банк. Для этого можно обратиться в ближайшее отделение или через центр запросов банка, официальные каналы социальных сетей, а также через мобильное приложение. После обращения банк обеспечивает блокировку токенов на карте или платежных инструментах (ApplePay, GooglePay). Далее клиент должен одобрить банку эти удаления и заявить, что транзакция проводилась не им. Взамен банк принимая претензию, инициирует расследование в соответствии с директивами и процедурами Центрального Банка, правилами международных платежных систем и внутренними процедурами, а также информирует клиента о результатах расследования. Поскольку это вопрос индивидуальный, в некоторых случаях клиента могут пригласить в филиал, попросить предоставить дополнительные документы или написать соответствующие заявления согласно установленному порядку, а также предложить обратиться в правоохранительные органы.
- В каких случаях клиенту возвращаются украденные деньги?
- Конечно, результаты становятся ясными по окончании расследования. Прежде всего банк изучает способ прохождения сделки. Например, POS-терминал, электронная коммерция, банкомат, мобильное приложение и т. д. Далее уточняется, каким образом мошенники получают информацию и каким объемом информации о клиенте они располагают. По результатам данного исследования перед банком стоят 2 проблемы. В 1-м случае, если окажется, что персональная информация клиента была передана им 3-му лицу и вся информация о клиенте находится у мошенника, к сожалению, механизма поддержки, который банк может сделать в этот момент, не существует.
Во 2-м случае, наоборот, происходит мошенничество, с карты совершается кража, но у мошенника нет всех данных клиента. Например, с помощью какого-то вируса часть данных с телефона была изучена и украдена, но у мошенника нет кода клиента 3D и OTP. В этом случае банк может подать иск на основании международных правил безопасности и обеспечить права клиента.
В результате деньги клиентов возвращаются, если подозрительные транзакции не соответствуют стандартам платежных систем, мошенники не имеют полного доступа к данным безопасности клиента, поэтому не могут ввести всю информацию. В любом случае все дела расследуются, и этот процесс занимает в среднем 45 календарных дней.
Если посмотреть статистику мошеннических операций по картам в 2023 году, то из почти 4000 заявок на эту тему 70% были решены в пользу клиентов, а 30%, к сожалению, не были удовлетворены, поскольку личные данные были переданы клиентом.
Помимо этого, если оставить в стороне поступившие в банк заявления, всего в прошлом году около 382 тысяч операций были признаны банком подозрительными и не допущены к исполнению. Впоследствии взаимодействие с клиентами предотвратило 72 000 случаев мошенничества без единого случая кражи. То есть в результате звонка сотрудников 72 тысячи человек заявили, что сами не пытались провести операцию. Другие клиенты подтвердили, что операцию проводили именно они сами.
Отмечу также, что процедуры как платежных систем, так и Центрального банка и находящегося при нем Центра банковских карт регулируют порядок проведения процессов практически во всех подозрительных и ошибочных операциях, и банк осуществляет соответствующие действия по этим процедурам.
- Большое спасибо, Г-н Мирзаев.
- Я благодарю вас. Надеюсь, это интервью будет полезным для всех.