Рекомендации для клиентов по снижению рисков осуществления перевода денежных средств без добровольного согласия клиента

В целях выполнения требований Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе», Методических рекомендаций Банка России от 28.02.2024 № 3-МР «По усилению кредитными организациями информационной работы с клиентами в целях осуществлению переводов денежных средств без добровольного согласия клиента…», НКО «Альтернатива» (ООО) (далее - НКО) доводит до своих клиентов информацию о существующих рисках получения злоумышленниками несанкционированного доступа к защищаемой информации клиентов с целью осуществления переводов денежных средств без добровольного согласия клиента, а также дает рекомендации по снижению данных рисков.

 

К операциям по переводу денежных средств, совершаемым без добровольного согласия клиента, могут относиться (включая, но не ограничиваясь):

• операции по оплате товаров и услуг через сеть Интернет с использованием электронного устройства клиента (компьютер, электронный планшет, смартфон, мобильный телефон) (далее – ЭУ), в том числе по реквизитам электронного средства платежа (ЭСП) клиента;
• операции по переводу денежных средств, предоставленных клиентом оператору связи в качестве оплаты услуг связи, в том числе перечисление денежных средств на «короткие номера»;
• операции, осуществляемые с использованием системы дистанционного банковского обслуживания, предоставляемой НКО (на основании заключённого договора) и установленной клиентом на ЭУ;
• операции по оплате товаров и услуг с использованием иных приложений, установленных на ЭУ клиента.

Несанкционированный перевод денежных средств может проводиться вследствие заражения ЭУ клиента вредоносным программным обеспечением (далее – ВПО) или посредством удалённого доступа к устройствам клиента.

Заражение ЭУ клиента может осуществляться через спам-рассылку SMS или MMS-сообщений, сообщений электронной почты, содержащих ссылки на внешние ресурсы, или при переходе по ссылкам на иные ресурсы сети Интернет. При переходе по таким ссылкам ВПО устанавливается на ЭУ клиента. Также внедрение ВПО на устройства клиентов производится с использованием вирусных программ, массово распространяемых в сети Интернет через взломанные сайты, социальные сети и другие сетевые сервисы, свободно распространяемое ПО и пр. Через сайты социальных сетей и через рекламно-баннерные сети распространяется наибольшее количество вредоносных программ.

ВПО может в автоматическом режиме или под управлением злоумышленника обладать различными возможностями, в том числе:

• формировать и отправлять от имени клиента распоряжения на перевод денежных средств, в том числе в виде SMS-сообщений на «короткие номера»;
• формировать и отправлять от имени клиента распоряжения на перевод денежных средств с использованием приложений, предназначенных для оплаты товаров и услуг;
• перехватывать сообщения с кодами подтверждения, приходящие на ЭУ в целях подтверждения операции.

Наибольший риск таких операций связан с тем, что в ряде случаев ВПО скрывает от клиента приходящие от финансовой организации или оператора связи уведомления о списании денежных средств. Таким образом, клиент, не зная о несанкционированной операции с его денежными средствами, не может направить в финансовую организацию в определённые законодательством сроки уведомление о факте перевода денежных средств без его согласия.

Обращаем Ваше внимание на следующие случаи повышенного риска при переводе денежных средств:

• использование ЭУ, предназначенных для перевода денежных средств, для доступа через сеть Интернет в вирусо-опасные ресурсы, такие как социальные сети, другие сетевые сервисы, включая почтовые клиенты;
• наличие на ЭУ, предназначенном для перевода денежных средств, ВПО, программ удаленного доступа к ресурсам устройства либо свободно распространяемого ПО;
• отсутствие на ЭУ, предназначенном для перевода денежных средств, средств антивирусной защиты либо нерегулярное обновление антивирусных баз;
• использование неактуальных версий операционных систем и программного обеспечения, используемого для перевода денежных средств;
• хищение ключевых носителей информации, используемых при переводе денежных средств, или несанкционированное копирование данных с таких носителей;
• отсутствие контроля физического доступа к ЭУ, используемым при переводе денежных средств;
• нерегулярная проверка входящих электронных документов.

Также злоумышленники, используя методы социальной инженерии (представившись сотрудниками НКО, оператора связи, сотрудниками государственного органа), могут обманом вынудить клиента сообщить данные для проведения операции – коды доступа, коды SMS-подтверждения и осуществить с использованием таких сведений несанкционированные операции.

В случае обнаружения списания денежных средств необходимо незамедлительно, но не позднее дня, следующего за днем получения от НКО или от оператора связи уведомления о совершении операции, обратиться в НКО или к оператору связи (если произошло списание денежных средств, предоставленных оператору связи в оплату услуг связи, в том числе перечисление денежных средств на «короткие номера»).

 

Клиентам следует учитывать следующие рекомендации для снижения риска осуществления перевода денежных средств без добровольного согласия:

1. Не следует сообщать посторонним лицам свою персональную информацию (ФИО, реквизиты ЭСП, логин, пароль, номер карты, счета, паспорта и т.д.).
2. В случае утери ЭУ необходимо незамедлительно заблокировать SIM-карту у оператора сотовой связи.
3. Если у Вас неожиданно перестала работать SIM-карта – незамедлительно обратитесь к оператору сотовой связи для выяснения причин, так как это может быть одним из признаков, совершаемых в отношении Вас третьими лицами мошеннических действий.
4. В случае изменения номера телефона нужно обратиться в НКО для изменения телефонного номера, по которому осуществляется доступ к сервисам НКО или который был зафиксирован в качестве контактного номера. Необходимо помнить, что старый номер сотовый оператор может передать другому абоненту в случае, если он неактивен некоторое время.
5. Для перевода денежных средств используйте защищенные ЭУ – не пытайтесь обходить установленные производителем программные средства защиты. Не перепрошивайте свое ЭУ программным обеспечением сторонних лиц, не являющихся производителями устройства, т.к. это может сделать Ваше устройство уязвимым к заражению ВПО.
6. Не допускается пользоваться системой дистанционного банковского обслуживания (далее - Система ДБО) с «гостевых» рабочих мест (например, в интернет-кафе) и использовать собственное ЭУ для перевода денежных средств через публичные беспроводные сети (free Wi-Fi), незащищенные беспроводные сети. Специальные приложения применяют механизмы защиты своих данных при передаче, а так как публичные беспроводные сети сравнительно труднее контролировать, то у злоумышленников появляется больше возможностей для попыток обхода защитных механизмов. Для работы необходимо использовать подключение к сети Интернет через оператора мобильной связи (3G, 4G) или через доверенную защищенную беспроводную сеть.
7. При создании паролей придерживайтесь следующих правил. Не допускается использовать в качестве пароля простые, легко угадываемые комбинации букв и цифр, а также пароли, используемые для доступа в другие системы. Пароль должен быть не менее 8 символов, в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.). Пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, год рождения, номер телефона и т.п.).
8. Необходимо хранить код доступа (пароль) в тайне и предпринимать необходимые меры предосторожности для предотвращения его несанкционированного использования. Не рекомендуется записывать код доступа там, где доступ к нему могут получить посторонние лица (включая незаблокированное ЭУ).
9. Не сообщайте коды доступа, SMS- и push-коды, необходимые для проведения операций, ПИН-код платежной карты и контрольный код, указанный на оборотной стороне платёжной карты (СVV/CVC-код) посторонним лицам, сотрудникам НКО или банка-эмитента карты по телефону, электронной почте или иным способом. При возникновении подозрения, что такие данные стали известны третьему лицу, необходимо сообщить об этом по контактным телефонам, указанным на официальном сайте банка-эмитента.
10. Не оставляйте ЭУ без присмотра. Ограничьте доступ посторонних лиц к компьютеру, с которого осуществляется переводы денежных средств. Установите пароль на доступ к ЭУ и/или на доступ к SMS-сообщениям. Это затруднит доступ злоумышленникам к ЭУ в случае его утраты. По возможности исключите/ограничьте удаленное управление компьютером с установленной системой интернет-банкинга.
11. На компьютерах, используемых для работы с Системой ДБО, необходимо исключить посещение интернет-сайтов сомнительного содержания, загрузку и установку нелицензионного программного обеспечения. Указанные сайты и программное обеспечение могут являться разносчиками вредоносного программного обеспечения, предназначенного для кражи денежных средств.
12. На компьютерах, используемых для работы с Системой ДБО, необходимо применять лицензионные средства антивирусной защиты, межсетевые экраны и антишпионское ПО, работающие в автоматическом режиме, и регулярно в рекомендуемые разработчиками сроки проводить их обновление.
13. Отключение или несвоевременное обновление антивирусных средств, установленных на ЭУ не допускается. В случае обнаружения на ЭУ нештатного отключения антивирусных средств – не допускается работа с Системой ДБО и иными системами перевода денежных средств до устранения причины нештатного отключения.
14. Необходимо на постоянной основе регулярно, например, ежемесячно, проводить полную проверку ЭУ, на котором производятся переводы денежных средств, на наличие ВПО.
15. По возможности, исключите обслуживание ЭУ, используемых для работы с Системой ДБО, случайными сотрудниками технической поддержки. Никогда не передавайте ключи электронной подписи сотрудникам технической поддержки для проверки работы Системы ДБО, проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок владелец ключа электронной подписи должен самостоятельно подключить ключевой носитель к компьютеру, убедиться, что пароль доступа к ключу вводится в интерфейс клиентской части Системы ДБО, и лично ввести пароль.
16. Необходимо осуществлять проверку ЭУ на наличие ВПО перед началом работы, а также после доступа к Вашему ЭУ сотрудников технической поддержки различных организаций или любых других частных мастеров, выполнивших работу по установке, обновлению и поддержке различных программ.
17. Не рекомендуется передавать ЭУ для использования третьим лицам, в том числе родственникам, т.к. на оставленном без присмотра ЭУ может быть совершён ряд действий, направленных на получение доступа к персональным данным, ПИН-коду платежной карты и контрольному коду, указанному на оборотной стороне платёжной карты (СVV/CVC-код) и иным данным. Например, злоумышленник может установить ВПО, настроить переадресацию SMS - сообщений на другое устройство и т.п.
18. Не рекомендуется переходить по ссылкам, приходящим в почтовых сообщениях, SMS и ММS-сообщениях из недостоверных или неизвестных источников, в том числе на известные сайты, а также загружать и устанавливать на ЭУ программное обеспечение из недостоверных источников.
19. Будьте внимательны при получении писем или SMS-сообщений якобы от имени НКО. Основные признаки того, что сообщение отправлено мошенниками:
    • ссылка, указанная в сообщении, не содержит названия НКО либо содержит его в искаженном виде;
    • запрашиваемые в сообщении действия требуют Вашего срочного ответа или принятия немедленного действия (якобы, ваш счет будет заблокирован);
    • в сообщении требуется предоставить, обновить или подтвердить Ваш логин и пароль к системам дистанционного банковского обслуживания;
    • содержит информацию, что на Ваш счет поступили денежные средства, которых Вы неожидали.
20. При обращении от имени НКО по телефону, электронной почте, через SMS- сообщения лиц с просьбами сообщить или передать конфиденциальную информацию (ключи, пароли и пр.) ни при каких обстоятельствах не сообщайте данную информацию. НКО никогда не запрашивает у клиентов персональные данные.
21. Перед вводом своих данных на сайте НКО или сайте с Системой ДБО необходимо убедиться, что соединение установлено с официальным сайтом. Для этого необходимо проверить правильность указания адреса сайта в строке браузера и наличие сертификата безопасности (содержит «https» в адресной строке).
22. При общении с сотрудниками НКО пользуйтесь только теми телефонами, которые указаны на сайте НКО, либо получены Вами от сотрудников НКО лично.
23. Следует регулярно проверять входящие электронные документы в электронной системе. В случае отсутствия регулярных проверок Вы можете не прочитать уведомление о совершенных переводах денежных средств и не отследить несанкционированные операции в случае их совершения.
24. Необходимо проводить контроль сумм и получателей платежных документов в информационном окне электронной системы при выходе на связь с НКО, а также контролировать количество и сумму отправленных документов по полученным от НКО квитанциям.
25. Следует регулярно контролировать состояние своих счетов и незамедлительно информировать НКО обо всех подозрительных или несанкционированных операциях в соответствии с договором. При установке порядка регулярного контроля рекомендуем принимать в расчёт, что переводы денежных средств, в отношение которых наступила безотзывность перевода денежных средств, не могут быть приостановлены.
26. В случае неожиданного выхода из строя ЭУ либо пропадания на нём программного обеспечения, необходимо прекратить работу на устройстве, отключив его от всех видов сетей, включая локальную корпоративную сеть, и модемов, срочно связаться с НКО для блокировки, запросить выписку по счету непосредственно в НКО. При обнаружении несанкционированных платежных операций написать заявление в НКО, а также обратиться с соответствующим заявлением в правоохранительные органы. Работоспособность поврежденного устройства не восстанавливать до проведения технической экспертизы.
27. Если во время отсутствия соединения с НКО (т.е. Вы не работаете в Системе ДБО) на экране ЭУ появляются сообщения, провоцирующие на установление такого соединения, то это свидетельствует о наличии вредоносного ПО. В данной ситуации установление соединения с НКО может привести к отправке фальшивого документа. При появлении подобного сообщения необходимо провести контроль платежных документов, находящихся в статусе - «Выгружен».
28. Если в процессе работы в Системе ДБО обнаружены какие-то не имевшие ранее места события (нештатные информационные окна, платежи, Вами не проводившиеся или не санкционированные, сообщения об ошибках, сообщения о неверном ключе доступа или пароле, и т.п.), то зафиксируйте суть события, прекратите работу, выключите компьютер и незамедлительно уведомите о событии НКО.
29. Необходимо отключать, извлекать носители с ключами электронной подписи (токены), если они не используются для работы с Системой ДБО.
30. При увольнении сотрудника технической поддержки Вашей организации, осуществлявшего обслуживание компьютеров, используемых для работы с Системой ДБО, убедитесь в отсутствии вредоносных программ на компьютерах. А при увольнении ответственного сотрудника или сотрудника технической поддержки, имевшего доступ к ключу электронной подписи, обязательно позвоните в НКО с уведомлением о приостановлении использования электронного средства платежа (ключа электронной подписи). При необходимости, выпустите новый ключ электронной подписи.