28 июля, 2015, BIS Journal №3(18)/2015

Новый вид мошенничества в банковской сфере


Грициенко Андрей

кандидат военных наук, начальник Службы информационной безопасности (Банк «Возрождение» (ПАО))

Шульга Юрий

начальник отдела криптографической защиты информации Службы информационной безопасности (Банк «Возрождение» (ПАО))

У семи нянек дитя без глазу, или спасение утопающих — дело рук самих утопающих

Банки по-прежнему могут надеяться только на собственные силы, надеясь, что в дальнейшем FinCERT — Центр реагирования на инциденты информационной безопасности банков Банка России, и профильная отраслевая саморегулируемая организация (СРО) им помогут.


Всё большая доля бизнес-процессов и клиентских сервисов осуществляется банками, органами государственной власти с использованием информационных технологий, соответственно возрастает роль информационной безопасности. Однако преимущества использования ИТ оборачивают в свою пользу и злоумышленники, выстраивая изощренные криминальные схемы с применением комплексных технологий противоправных действий. В этих схемах оказываются задействованными технические средства несанкционированного доступа к информации, социальная инженерия, пробелы в действующей нормативной правовой базе. На руку злоумышленникам играют нестыковки во взаимодействии федеральных органов государственной власти и отсутствие единого центра реагирования на инциденты в сфере информационной безопасности банков.

РОЛЬ И ЦЕНА ГАРАНТИИ

Порой злоумышленники в банковской сфере придумывают и выстраивают самые причудливые схемы, напрямую или косвенно, в той или иной степени нарушающие закон. В любом случае их действия направлены на получение незаконной выгоды и наносят ущерб банкам и их клиентам. Наглядным примером подобных криминальных «инноваций» стала следующая цепочка событий.

14 ноября 2014 года в один из банков поступил запрос Федеральной антимонопольной службы с жалобой клиента на действия муниципального заказчика. В результате разбирательства, проведённого службой информационной безопасности банка, было выяснено: в реестре банковских гарантий, предоставляемых участниками закупок в качестве обеспечения заявки на участие в конкурсе, размещённом на официальном портале государственных закупок www.zakupki.gov.ru, были обнаружены сведения о 19 банковских гарантиях, якобы выданных данным банком, на общую сумму 274 855 942 рубля. Все 19 банковских гарантий оказались поддельными и на самом деле банком не выдавались.

Казалось бы, в чём новизна? С подделками банковских гарантий банки знакомы давно, и в суде банк легко докажет факт подделки. Но ситуация далеко не так проста, как может показаться на первый взгляд.

Для начала требуется сделать несколько пояснений. Банковские гарантии необходимы компаниям как обязательное условие участия в торгах, на которые выставляются государственные заказы, и также являются обязательным условием для выполнения государственного контракта. Без подобного обеспечения претендент не будет допущен к участию в торгах, а с победителем не будут заключать контракт. Самым надёжным видом обеспечения исполнения обязательств является перечисление поставщиком заказчику денежных средств — в размере 30% от стоимости договора. Однако такой путь поставщики выбирают редко, поскольку из оборота на время выводится значительная сумма.

Возможен также тендерный кредит, но это тоже довольно дорогой способ. В настоящее время в контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд обязательным средством обеспечения заявки на участие в конкурсе является банковская гарантия — письменное обязательство банка уплатить заказчику неустойку в случае ненадлежащего исполнения поставщиком своих договорных обязательств. Цена этой банковской услуги составляет от 1 до 6% (в среднем по рынку — 3,5%) от стоимости обеспечиваемого контракта. Следовательно, «доход» злоумышленников от предоставления поддельных гарантий банка в рассматриваемом случае мог составлять от 2 748 000 до 16 491 000 (в среднем — 9 620 000 рублей). Кто и как допустил оплошность, позволив злоумышленникам наживать значительные суммы?

ЛАЗЕЙКИ ДЛЯ ЗЛОУМЫШЛЕННИКОВ

Выдача гарантий для участников торгов и их победителей — важное направление банковского дела. Осуществлять эту деятельность, предусмотренную пунктом 8 ст. 5 Федерального закона № 395–1 от 02 декабря 1990 года «О банках и банковской деятельности», могут только те банки, у которых есть лицензия на осуществление банковских операций, содержащая соответствующий пункт.

Первоначально защита банковских гарантий регулировалась ст. 368 ч. I Гражданского кодекса РФ — требованием письменного обязательства гаранта — кредитной или страховой организации, в случае невыполнения контракта подрядчиком уплатить заказчику установленную неустойку. Пункт 8 ст. 45 Федерального закона РФ от 5 апреля 2013 года № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» конкретизирует это требование. Банковская гарантия, предоставляемая как обеспечение заявки на участие в торгах или исполнения контракта, должна быть включена в реестр банковских гарантий, размещённый в единой информационной системе.

Порядок ведения такого реестра в единой информационной системе был определён Постановлением Правительства РФ № 1005 от 8 ноября 2013 года «О банковских гарантиях, используемых для целей Федерального закона „О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд“». Пункт 2 этого документа определял: вплоть до введения в эксплуатацию единой информационной системы, реестр банковских гарантий временно будет размещаться на официальном сайте государственных закупок (www.zakupki.gov.ru).

Правительством РФ был принят ряд нормативных документов. Были закреплены требования к форме банковской гарантии, перечню документов, предоставляемых в банк для её получения, правила ведения специализированного реестра в единой информационной системе. Ведение реестра банковских гарантий и размещение его в единой информационной системе в сфере закупок отнесено к компетенции Федерального казначейства. В реестр должны включаться информация и документы, указанные в ч. 9 ст. 45 ФЗ-44, подписанные усиленной неквалифицированной электронной подписью правомочного представителя банка.

На официальном портале государственных закупок, где временно размещается реестр банковских гарантий участникам торгов, можно ознакомиться с формой банковской гарантии. Она содержит название банка, дату публикации, фамилию, имя и отчество сотрудника, который её разместил, а также сертификат ключа проверки его электронной подписи. Всё должно было работать хорошо, но, как оказалось, лазейки для злоумышленников всё-таки остались.

МОШЕННИЧЕСКИЙ ДЕМПИНГ

Как оказалось, действующие формы документов, подтверждающих предоставление банком гарантии, не содержат достаточно надёжных средств защиты. Как это ни удивительно, но обычный бланк банковской гарантии не содержит специальных средств защиты от подделки, к примеру, специальных голографических знаков. Его легко можно «изготовить» на качественном цветном принтере в домашних условиях. Бреши оказались и в защите электронного реестра банковских гарантий. Естественно, что находятся люди, которые понимают, как это можно использовать в своих интересах, в ущерб банкам и их клиентам — государственным и муниципальным заказчикам.

Продажа поддельных банковских гарантий наносит прямой ущерб банкам, потенциальный ущерб государству, который реализуется в случае срыва выполнения госконтракта, а всю выгоду получает мошенник-посредник. Банк в гарантии отказал, а он «выдаст», пусть и почти настоящую. Также мошенник может, «демпингуя», предлагать гарантии дешевле, чем банки, в той или иной пропорции делиться прибылью с наивным или недобросовестным клиентом.

Налицо аналогия с фальшивыми деньгами: чем больше подделки похожи на настоящие купюры, тем за больший процент от номинала изготовители продают их «распространителям». «Конечный пользователь» может вполне добросовестно заблуждаться насчёт подлинности купюр, а может сознательно идти на риск, оказываясь соучастником преступления. Использование поддельных банковских гарантий может показаться привлекательным и для определённого типа клиентов. В первую очередь для тех, кому, скорее всего, банк откажет. К тому же, на поддельной банковской гарантии можно ещё и сэкономить!

Отсутствие надёжного механизма защиты банковских гарантий, то есть предварительного определения их подлинности, открывает перед злоумышленниками большие возможности. Фальшивку могут разоблачить лишь в том случае, если государственный контракт окажется сорван, и заказчик предъявит гарантию в банк к оплате. В иных случая, когда участники торгов не получают государственного контракта или же выполняют его, приемлемым «сублиматом» служит и поддельная гарантия. Риск быть схваченным за руку куда как ниже, чем для фальшивомонетчиков, санкции, предусмотренные законом, намного меньшие, а перспективы неотвратимости наказания, как стало понятно из дальнейшего изучения ситуации, вообще туманные.

ИНДУСТРИЯ ПОДДЕЛОК

Выдача поддельных банковских гарантий — серьёзно организованное дело, предполагающее ряд функций и координацию их выполнения. Ведётся поиск потенциальных клиентов-покупателей: по запросу «банковская гарантия быстро и дёшево» поисковые машины в интернете выдают целый перечень сомнительных контор. Изучаются «банки-жертвы», от имени которых можно выдавать поддельные гарантии, фактически уводя часть их дохода от этого направления деятельности.

Оформляются поддельные документы, включая копии утерянных владельцами паспортов и т. п. Изготавливаются фальшивые, ничем на деле не обеспеченные «банковские гарантии», которые размещаются в реестре на официальном портале государственных закупок. Получается «агентское» вознаграждение за «услуги». Мошенническая деятельность в интернете маскируется, ведётся активное противодействие правоохранительным органам, зачастую довольно успешное, и такая деятельность пока остаётся безнаказанной. Заранее проводится подбор исполнителей, происходит распределение обязанностей. 

Изготовив полный комплект поддельных документов, мошенники обращаются для регистрации в уполномоченный Удостоверяющий центр Федерального казначейства, где документы в обязательном порядке внимательно изучаются. Исключение  — проверка того, действителен или нет гражданский паспорт РФ лица-предъявителя. Оказывается, что такой пункт просто-напросто отсутствует в Регламенте работы Удостоверяющего центра.

Данный факт вызывает удивление, поскольку для банков действуют очень строгие правила проверки действительности паспортов, для чего долго и трудно создавались соответствующие процедуры, выстраивались каналы связи. Хотя речь может идти об операциях всего в сотни рублей. А вот в Удостоверяющем центре при размещении на официальном сайте государственных закупок (www.zakupki.gov.ru) банковских гарантий почти на 274 млн рублей подлинность паспорта заявителя, оказывается, проверять не обязательно. В результате уполномоченный Удостоверяющий центр Федерального казначейства выдаёт неквалифицированный сертификат ключа проверки электронной подписи… по недействительному фальшивому гражданскому паспорту.

Но это, оказывается, ещё не всё. В Регламенте работы Удостоверяющего центра, как выяснилось, отсутствует запрет на выдачу в «одни руки» сертификатов с полномочиями и Администратора банка, авторизующего выдачу прав Уполномоченным специалистам банка, и Уполномоченного специалиста с правом опубликования сведений в реестр. Тогда как для банков запрет такой концентрации полномочий — давно пройденный этап. В результате мошенник по недействительному фальшивому гражданскому паспорту получает сертификат электронной подписи Удостоверяющего центра Федерального казначейства с правами «суперпользователя»: и Администратора банка, и Уполномоченного специалиста с правом опубликования сведений в реестре.

Напрашивается вывод, что такая «доброта», обеспеченная уязвимостями в Регламенте, не может обходиться, и на деле не обходится без недобросовестных работников, эти Регламенты исполняющих. Сотрудники, допускающие подобное по халатности или злому умыслу, к сожалению, встречаются среди основной массы добросовестного персонала.

ЭЛЕКТРОННЫЙ ПОДЛОГ

Стоит отметить, что в последнее время ситуация слегка сместилась в лучшую сторону: теперь Федеральное казначейство выдаёт квалифицированные сертификаты. На тот же момент представитель злоумышленников лично посетил ведомство дважды. В первый раз ему указали на недоработки в документах и через две недели он, устранив их, пришёл снова. Его похвалили за то, что всё сделано правильно, приняли документы и выдали сертификат для усиленной неквалифицированной электронной подписи.

Официальный сайт государственных закупок предполагает роль Администратора банка и две роли Уполномоченных специалистов: размещающего заявку и публикующего её. В рассматриваемом нами банке на тот момент было всего два Администратора банка и более 100 Уполномоченных специалистов, из которых только двое обладали правом публиковать банковские гарантии. Но уполномоченный Удостоверяющий центр Федерального казначейства выдал представителю злоумышленников «суперсертификат»: и как администратору банка, и как уполномоченному специалисту с правом размещать, и как уполномоченному специалисту с правом публиковать банковские гарантии!

После чего злоумышленники, пользуясь правами Администратора банка, сначала создали две поддельные организации с наименованием филиалов банка на официальном сайте государственных закупок Российской Федерации (www.zakupki.gov.ru), а затем начали бойкую торговлю поддельными банковскими гарантиями от имени несуществующих подразделений банка. Поддельные гарантии размещались на указанном сайте, а затем подписывались формально «правильной» усиленной неквалифицированной электронной подписью, уже от лица Уполномоченного специалиста. Необходимо отметить, что филиалы с подобными названиями у банка есть, но самостоятельными юридическими лицами они не являются.

Обнаружив подлог, банк начал принимать меры. Банк обратился в Межрегиональное операционное управление Федерального казначейства. Был сделан запрос: на основе анализа логов установить, кем именно были размещены поддельные гарантии от имени банка на официальном портале государственных закупок www.zakupki.gov.ru.

Далее, каким образом уполномоченный Удостоверяющий центр предоставил мошеннику сертификат ключа проверки электронной подписи. Кроме того, была направлена просьба аннулировать этот сертификат, а также сообщить имена владельцев действующих сертификатов для сверки с перечнем сотрудников. Пришедший ответ оказался неожиданным: сертификат искомому мошеннику Межрегиональное операционное управление Федерального казначейства не выдавало, а потому не может и аннулировать.

МОЛЧАНИЕ ИНСТАНЦИЙ

Тогда банк направил запрос в Федеральное казначейство России: кем на официальном сайте государственных закупок были созданы два фиктивных подразделения банка? Документ сопровождался просьбой сообщить, каким уполномоченным Удостоверяющим центром Федерального казначейства выпущен сертификат для мошенника, якобы бухгалтера одного из филиалов банка? Также интересовал вопрос, какой именно работник банка с полномочиями администратора организации предоставил самозванцу полномочия размещать и публиковать банковские гарантии.

Ответ пришёл, по сути, формальный: сообщалось, что выдача уполномоченным лицам организации сертификатов осуществляется в случае положительного результата проверок документов, представленных для их получения. То есть в соответствии с порядком регистрации на официальном сайте государственных закупок, утверждённым приказом Федерального казначейства № 4н от 25 марта 2014 года. А для удаления уже размещённой на сайте информации необходимо решение суда или предписание федерального органа исполнительной власти, уполномоченного на осуществление такого контроля — Федеральной антимонопольной службы России.

Далее в ответе ведомства сообщалось, что проверка соблюдения уполномоченными должностными лицами порядка регистрации и процедур выдачи сертификатов ключа проверки электронных подписей, проведённая по письму банка, не выявила нарушений ни федерального законодательства, ни Регламента Удостоверяющего центра Федерального казначейства в части процедуры выдачи сертификата. Однако в ходе проверки были установлены признаки преступления, и соответствующие материалы переданы в компетентные органы «для принятия процессуального решения».

Нельзя сказать, что в ответ на обращения банка со стороны Федерального казначейства вообще ничего не было сделано. Сертификат, выданный мошеннику, был приостановлен. Но за предшествовавшее время мошенники успели опубликовать на официальном портале государственных закупок 19 поддельных банковских гарантий, якобы выданных банком. Поскольку сертификат не был аннулирован, а всего лишь приостановлен, ранее выданные фальшивые гарантии продолжали находиться на портале и производить впечатление настоящих.

Банк такая реакция Федерального казначейства, разумеется, не удовлетворила, поэтому в Министерство экономического развития РФ 19 декабря 2014 года было направлено официальное письмо. В письме содержалась просьба удалить с официального интернет-портала федеральных государственных закупок поддельные банковские гарантии, якобы выданные банком. А также опубликовать в соответствующем разделе сайта информацию о признании их недействительными. 19 января 2015 года из Департамента развития контрактной системы Минэкономразвития России был получен ответ о том, что «… в настоящее время Минэкономразвития России совместно с Казначейством России прорабатывается вопрос о повышении уровня контроля за выдачей и использованием уполномоченными лицами сертификатов ключей проверки электронных подписей, применяемых в рамках законодательства Российской Федерации о контрактной системе в сфере закупок…». Банку же по вопросам, указанным в обращении, было предложено «… обратиться в правоохранительные органы Российской Федерации».

НАДЕЖДА НА САМОЗАЩИТУ

Таким образом, мы столкнулись с новым видом высокотехнологичного мошенничества. Злоумышленники комплексно применяют современные технологии, методы социальной инженерии, пользуются недоработками нормативно-правовой базы и федерального законодательства, а также нестыковками в межведомственном взаимодействии в отсутствие единого центра противодействия правонарушениям в сфере информационной инфраструктуры банковской деятельности и электронных платежей.

Эти злоумышленники действуют без зазрения совести и без какой-либо опаски. Клиенты банка сообщают, что им приходят письма с предложениями недорогих банковских гарантий в качестве обеспечения участия в конкурсных государственных закупках.

Гарантии каких «банков-партнёров» со значительным дисконтом предлагали в рассылке мнимые «доброжелатели», обещая: «Банк отказал, а мы одобрим»? Это — ОАО «Банк ВТБ», ОАО «Сбербанк России», ОАО «Россельхозбанк», ОАО «Уралсиб», ЗАО «АКБ «Военно-промышленный банк» и другие крупные банки. Злоумышленники наносят ущерб банкам, которым Министерство финансов РФ после серьёзной проверки доверило выдачу банковских гарантий, — их менее трёхсот.

Пока федеральные органы власти, отвечающие за государственные закупки, примут необходимые меры, чтобы перекрыть этот канал мошенничеств, банкам придётся действовать самостоятельно:
  • отслеживать в интернете, не предлагает ли банковские гарантии от их имени кто-то совсем посторонний;
  • выявлять организации, занимающиеся поиском клиентов, желающих «сэкономить» на получении банковских гарантий и предлагающих «агентские услуги» от имени банка;
  • проверять, кто именно подписывает электронной подписью на официальном портале государственных закупок банковские гарантии от имени банка;
  • выявив подделку, уведомлять контрагентов, государственных заказчиков о том, что предъявленные им банковские гарантии — не настоящие, фальшивые.
Именно так и было сделано сотрудниками банка. Но в ожидании «счастливого финала» пришлось запастись терпением: через пару дней после того, как были отправлены официальные письма банка с уведомлением о выявлении подделки, адресаты получили новые письма, якобы от имени банка, что предыдущее письмо было ошибочным… Так беззастенчиво действуют мошенники, пока правоохранительные органы разбираются с тем, по какой статье Уголовного Кодекса РФ их можно привлечь к ответственности.


P.S. И все-таки, господа, упомянутый в данной статье банк не зря постарался со своими расследованиями мошенничества с поддельными банковскими гарантиями. «Лёд тронулся…», и Федеральным казначейством России все-таки приняты серьёзные защитные меры.

Во-первых, значительно ужесточены требования к выдаче сертификатов Уполномоченными удостоверяющими центрами Федерального казначейства России. Сертификаты теперь соответствуют усиленной квалифицированной электронной подписи, взамен ранее выдававшихся сертификатов для усиленной неквалифицированной подписи.

Во-вторых, все записи в реестре банковских гарантий на официальном сайте государственных закупок (www.zakupki.gov.ru) теперь подписываются двумя электронными подписями: уполномоченного лица банка и руководителя Федерального казначейства России.

 

Пока поток поддельных банковских гарантий прекратился. Мошенники, насколько нам известно, не изобличены и не наказаны, но остались без «работы». Надолго ли? Жизнь покажет, насколько принятые защитные меры оказались адекватны угрозе.


 

 

Смотрите также

Подпишись на новости!
Подписаться