С лицевого счёта похищено… Судебные экспертизы в сфере ДБО и противодействие мошенничеству

С лицевого счёта похищено… Судебные экспертизы в сфере ДБО и противодействие мошенничеству

Появление методических рекомендаций №3-МР от 28.02.2024, в которых ЦБ предписывает кредитным организациям принимать дополнительные меры для защиты своих клиентов, спровоцировало рост количества технических судебных экспертиз. Потребность в них вызвана частыми спорами между банками и клиентами о природе совершения некоторых операций (в том числе без согласия клиентов). Рассказываем об особенностях проведения экспертиз в сфере дистанционного банковского обслуживания (ДБО) и их значимости в контексте противодействия мошенничеству.

В ЧЁМ СУТЬ ЦБ РФ 3-МР?

Методические рекомендации ЦБ РФ 3-МР направлены на усиление информационной работы кредитных организаций с клиентами с тем, чтобы сократить число несанкционированных операций. Они включают в себя меры по улучшению ИБ, по аутентификации пользователей, по контролю за финансовыми операциями и обнаружению подозрительных транзакций. Также они обязывают кредитные организации предупреждать клиентов (через материалы, проведение мероприятий) о том, что недопустимо сообщать посторонним лицам конфиденциальные данные.

Рекомендации вступают в силу с 25 июля 2024 года и отменяют предыдущие рекомендации Банка России от 19 февраля 2021 года. Что же нового привнесено по сравнению с 2021 годом? Принципиальные изменения заключаются в следующем:

• расширенный объём рекомендаций;
• проведение обучающих мероприятий;
• внедрение двухфакторной аутентификации;
• дополнительные рекомендации по противодействию вовлечения в дропперство.

ПРЕДМЕТ ИССЛЕДОВАНИЯ В ЭКСПЕРТИЗАХ ДБО

К сожалению, несмотря на усилия кредитных организаций по информированию клиентов и принятию мер обеспечения безопасности, они не всегда способны в полном объёме предотвратить случаи хищения денежных средств.

Предположим, инцидент произошёл и деньги были похищены со счёта клиента, который считает, что антифрод-система банка не справилась со своей задачей. Специалисты кредитной организации, имеющие сильных юристов и техническую поддержку, легко докажут, что пострадавший не выполнил условия договора, а инструменты защиты сработали безупречно.

Нередко в спорных случаях клиенты могут обратиться в независимые организации для проведения исследований правильности функционирования системы ДБО. Назначая экспертизу, суд может указать её конкретный вид — компьютерная или компьютерно-техническая. В ходе исследования нужно будет получить ответы на следующие вопросы:

1. Обладают ли спорные операции признаками перевода денежных средств без согласия клиента?
2. Выполнялся ли в исследуемый период вход в личный кабинет банка с личного устройства клиента?
3. Направлялись ли клиенту pushили SMS-уведомления следующего содержания <…>?
4. Имеются ли на устройстве клиента следы функционирования вредоносного программного обеспечения?

ОБЪЕКТЫ ЭКСПЕРТИЗЫ ДБО

Для обеспечения всестороннего исследования судьи нередко предоставляют полный доступ к материалам дела, что позволяет эксперту ознакомиться со всеми доказательствами. И наиболее ценными объектами являются:

• документы, подтверждающие договорные отношения между клиентом и банком (договор, соглашение об обслуживании клиентов и др.);
• журналы событий с серверов банковской системы; чаще всего объектом исследования является выгрузка логов за исследуемый период, например журнал входа в личный кабинет клиента банка и история работы клиента в системе ДБО;
• журналы событий с серверов мобильного оператора (в случае если клиент выбрал оповещения посредством SMS);
• личное устройство клиента (ПК, мобильный телефон и т. д.);
• версия мобильного приложения банка за исследуемый период (APK / IPA файл) может предоставляться, если проводится анализ уязвимостей.

ЭТАПЫ ПРОВЕДЕНИЯ ЭКСПЕРТИЗЫ

1. Предварительное ознакомление с материалами дела. Изучение нормативной и документальной базы, позиции сторон, свидетельских показаний и т. д.
2. Исследование клиент-банковского взаимодействия: а) изучение журналов банковской системы, связанных с аутентификацией клиента, а также со спорными операциями, помогающими понять их последовательность и характер; б) анализ устройства клиента, включая выявление возможных уязвимостей, вредоносного ПО и т. д.
3. Исследование журналов мобильного оператора позволяет выявить информацию о передаче данных, совершении звонков или отправке SMS, потенциально связанных со спорными операциями.
4. Синтез. На основе предоставленных материалов и проведённых исследований эксперт восстанавливает хронологию событий.
5. Формулирование выводов и подготовка экспертного заключения. Выдаётся заключение эксперта с выводами по поставленным вопросам.

Ниже приведём примеры исследований случаев использования различных тактик злоумышленников.

Социальная инженерия

С лицевого счёта клиента банка похищено свыше 500 тыс. руб. Перед экспертом стояли задачи выяснить: производился ли вход в личный кабинет банка со смартфона клиента (Samsung A50), а также обладают ли спорные операции признаками перевода денежных средств без согласия клиента. Были выявлены несоответствия спорных операций признакам, утверждённым приказом Банка России от 27.09.2018 № ОД-2525, а именно нетипичное для клиента время входа в приложение (ночное), место и устройство (iPhone XR). Несмотря на это, система пропустила эти спорные операции. Однако представители банка ссылались на имеющийся в материалах дела опрос клиента, в котором тот сообщил о подозрительном звонке со стороны сотрудника «отдела безопасности» банка.

Фишинг

В другом случае на электронную почту клиента поступило письмо, содержащее во вложении вредоносный код, загружающий на компьютер жертвы «стилер», который крадёт сохранённые в браузере пароли и данные банковских карт. После чего со счёта жертвы была списана значительная сумма денежных средств.

В ходе досудебного расследования инцидента была установлена вся цепочка атаки и даны рекомендации, прежде всего по установке на компьютер средств защиты информации. В результате осознавший свою невнимательность клиент передумал подавать иск в сторону банка.

Внедрение ВПО

В данном случае предметом спора стало платёжное поручение, направленное с корпоративного ноутбука бухгалтера организации клиенту системно значимого банка. С целью выявления признаков нарушения условий договора по эксплуатации системы ДБО на исследование было передано само устройство с токеном электронной подписи, заявление о предоставлении комплексного банковского обслуживания, выписка по операциям на счёте клиента. Эксперты посредством методов цифровой криминалистики установили, что пострадавший нарушил меры безопасности: ключ электронной подписи был постоянно вставлен в ноутбук, антивирусные базы устарели и не обновлялись, была активирована нелицензионная операционная система. Кроме того, на данном ноутбуке были выявлены следы функционирования программного обеспечения для удалённого администрирования, а также найден «троян-банкер», обладающий функционалом перехвата учётных данных, относящихся к банковским системам.

ПЕРСПЕКТИВЫ ПРИ РАЗРЕШЕНИИ СПОРОВ

Хотя статистика свидетельствует о том, что зачастую суд признаёт правоту банков (примерно в 62% случаев клиентам отказывается в удовлетворении иска в полном объёме), вышеперечисленные примеры иллюстрируют, что для определения причин произошедшего инцидента, а также установления истины в подобных спорах требуется как техническое, так и нормативное исследование. Именно они нередко служат важным доказательством при принятии решения судом и влияют на исход дела.

Учитывая, что в 2024 году Центробанк расширил объём рекомендаций по усилению информационной работы кредитных организаций с пользователями, есть надежда на сокращение числа операций, производимых без согласия клиентов. И тогда, как следствие, снизится и количество судебных споров, связанных с неправомерными переводами денежных средств и заключением кредитных договоров.