Банки, связанные с маркетплейсами, — одни из самых быстрорастущих участников рынка. Какие специфические угрозы существуют для клиентов таких банков? Как финтех-компания может защитить любителей шоппинга от кибермошенников? Об этом в интервью bankinform.ru рассказал директор департамента информационной безопасности Вайлдберриз Банка Артем Гяммер.
— Артем, поделитесь статистикой WB банка: как часто ваши клиенты сталкиваются с мошенниками?
— Реальность такова, что полностью остановить кибератаки невозможно. А значит, нужно сделать так, чтобы попытки злоумышленников добраться до денежных средств или вмешаться в обмен данными были обречены на провал. Тогда атаки не приведут к инцидентам с реальным ущербом.
Как этого добиться? На сегодняшний день лучшая практика — это выстраивать эшелонированную оборону: заставить мошенника преодолевать множество барьеров, чтобы на каждом этапе у него росли издержки и расходы. При этом, конечно же, нужно, чтобы сервисы оставались удобными для добросовестных пользователей. В таком ключе мы и развиваем безопасность.
— На кого сегодня нацелены действия мошенников, в первую очередь?
— Я бы сказал, что среди граждан есть две главные группы риска. Первая — люди пожилого возраста, 60+. Их обманывают, чтобы украсть сбережения. Вторая группа — это молодежь 18-25 лет. С ними действуют по-другому: чаще всего, у них не пытаются выманить деньги, зато активно вербуют в дропы и втягивают в мошеннические схемы.
По статистике, людей 25–60 лет обмануть сложнее. Но, разумеется, и они попадаются на уловки. Схем так много, что даже самый прагматичный и критически мыслящий человек не может быть уверен, что распознает мошенников.
— О чем важно знать покупателю маркетплейса и владельцу кошелька или карты WB, с точки зрения безопасности? Расскажите о самых распространенных схемах мошенничества.
— Например, иногда мошенники представляются сотрудниками службы поддержки Wildberries. Рассказывают о «персональных предложениях» или обещают какие-нибудь подарки. И, постепенно, в ходе разговора, пытаются получить доступ к профилю, просят назвать код для входа в личный кабинет или другой код из СМС или пуш-уведомления.
Важно помнить, что поддержка WB никогда не запрашивает данные для входа в профиль, не пишет и не звонит первой. Все общение с поддержкой происходит только в приложении или на сайте Wildberries.
Злоумышленники могут таким образом обманывать не только частных клиентов — покупателей маркетплейса, но и продавцов. Им тоже пишут или звонят от лица поддержки, чтобы пообщаться по вопросам с поставками или возвратами. В процессе беседы выманивают код для входа в профиль, чтобы «помочь». Тут действует то же самое правило: вся коммуникация с поддержкой только в официальных каналах.
По аналогичной схеме действуют и поддельные сотрудники банков, доставки, домофонных компаний. Все они говорят о том, что хотят помочь, вам срочно нужно что-то сделать, иначе совсем беда, а потом просят назвать конфиденциальную информацию: код доступа к той или иной площадке, цифры из СМС и прочее.
Мы подробно описываем и регулярно обновляем базу мошеннических схем, чтобы обезопасить клиентов банка и маркетплейса.
— Дайте несколько советов по безопасности для частных клиентов?
— В первую очередь, никогда нельзя выполнять никакие просьбы или требования, которые поступают от кого бы то ни было. Как мы знаем, сейчас злоумышленники могут использовать технологии дипфейков. Теперь приходится относиться с подозрением не только к текстовым сообщениям с аккаунта вашего знакомого, но и к самым правдоподобным на вид видео- и аудиозаписям.
Стоит помнить, что злоумышленники всегда торопят с действиями. Ограниченная акция, большая скидка, серьезное дело — решить нужно прямо сейчас, а если вы сию минуту что-то не сделаете, все пропало. Это первый тревожный звоночек: вас торопят, просят принять решение быстро и ни с кем не советоваться. Тут важно остановиться, позвонить кому-то, кому вы доверяете, рассказать им об этой истории. Если на том конце провода «сотрудники банка», положите трубку, сами перезвоните на горячую линию банка и уточните детали. Если с вами связалась якобы поддержка WB, зайдите в официальное приложение и уточните детали в чате.
Второе, что важно понимать: выпуск карты для кого-нибудь постороннего, переводы с одного счета на другой, если вы не знаете точно, откуда и кому переводите деньги, — это может оказаться преступлением. Сейчас в интернете можно найти сообщения, где даже предлагают заработать за «простой перевод». На практике так можно стать сообщником правонарушений, за которые в законодательстве предусмотрена ответственность, в том числе уголовная. Поэтому не нужно откликаться на подобные просьбы, не нужно открывать счета и выпускать карты для посторонних лиц.
С нашей точки зрения, ключевая задача кибербезопасности сейчас — это продвижение культуры киберосознанности. Чтобы люди знали, как защититься от мошенников, с одной стороны, и понимали степень своей ответственности за те или иные действия — с другой.
— Расскажите подробнее о том, какие меры вы предпринимаете, чтобы обеспечить безопасность клиентов банка и маркетплейса?
— Мы применяем современные алгоритмы для надежного шифрования всех платежных данных. Наши антифрод-системы на основе машинного обучения в реальном времени блокируют подозрительные транзакции. Для онлайн-платежей используем протокол 3-D Secure с двухфакторной аутентификацией. Это позволяет нам минимизировать риски и повышать доверие клиентов.
На сайте нашего банка есть отдельный раздел по информационной безопасности, где собраны основные правила безопасности и советы. Вскоре мы планируем запустить «Гид по кибербезопасности» с разбором реальных ситуаций, схем обмана и прикладными советами по защите своих данных.
— В WB есть возможность очень легко и быстро открыть электронный кошелек, используя минимальное количество каких-то идентификационных данных. Вы не опасаетесь, что этот инструмент станет интересен для дропперов на фоне ужесточения законодательства и возможного ограничения количества банковских карт?
— Для электронных кошельков законодательно установлены жесткие лимиты на перевод и вывод средств. Если клиент предоставляет минимум информации, он может использовать кошелек только для покупок с ограничением в 40 тысяч рублей в месяц, без возможности совершать переводы. Чтобы повысить уровень кошелька, нужно пройти идентификацию, предоставив персональные данные. При этом переводы будут ограничены суммой в 200 тысяч рублей в месяц.
Тарифы и правила пользования кошельком таковы, что этот инструмент злоумышленникам просто неинтересен.
— Какие поправки в законодательство в сфере борьбы с мошенничеством вы считаете важными? Чего еще не хватает?
— Безусловно, принятые меры регуляторов — это уже очень много. Но еще есть серые зоны, в которых регулирование, на наш взгляд, стоит усилить. Вот пример ситуации, которую мы обсуждали с коллегами и представителем Банка России на Уральском форуме «Кибербезопасность в финансах».
Мы в банках научились быстро выявлять подозрительные транзакции. Регулятор позволяет заблокировать для клиента, который с большой долей вероятностью является дроппером, возможности перевода и обналичивания средств. Но у мошенников остается лазейка: они приходят в банк и пишут заявление на закрытие счета, после чего получают «свои» деньги. В этом случае банк по закону не может отказать клиенту в выдаче наличных. Дроп забирает средства со счета, открывает карту в новом банке и продолжает свою преступную деятельность.
Эту лазейку можно закрыть, например, дав банкам полномочия на применение периода охлаждения. Если у банка есть основания полагать, что перед ним дроппер, мы бы хотели иметь возможность не выдавать деньги по заявлению о закрытии счета до получения официальных документов от МВД.
— С 1 марта в России начала работу Государственная информационная система (ГИС) «Антифрод». Насколько это поможет банковскому рынку в борьбе с мошенниками?
— Единая государственная антифрод-платформа только запущена, сейчас мы все присматриваемся к тому, как она работает. В целом это очень полезная для рынка инициатива, поскольку она даст нам возможность быстро обмениваться данными о злоумышленниках. Если человеку отказали в открытии счета в одном банке по подозрению в дропперстве, то об этом сразу узнают все остальные участники рынка.
Банки смогут оперативно сообщать друг другу и о выявленных паттернах мошеннических схем. Когда кто-то выявляет новую преступную схему, об этом должны узнать все участники рынка. Если с помощью ГИС «Антифрод» мы сможем производить такой быстрый обмен информацией, то защита каждого банка в отдельности станет гораздо сильнее.
— Какие главные вызовы стоят перед вами в сфере кибербезопасности в 2026 году?
— Первый и главный вызов, я считаю, это просвещение людей. Естественно, при этом нужно предпринимать технические меры защиты, а также совершенствовать законодательство. Но главное — это все же человек.
Банки создают для клиентов щит безопасности: работают над антифрод-системами, внедряют искусственный интеллект для быстрого выявления подозрительных операций, законодатели принимают все новые и новые законы. Но вся эта крепость может оказаться под угрозой в момент, когда человек верит незнакомому голосу в телефонной трубке. Нам нужно вести мощную информационную кампанию, чтобы научить людей распознавать мошенников.
Свежие банковские новости читайте в наших каналах: Макс, телеграм и Яндекс Дзен.
