ЦБ предложил ввести персональную ответственность работников банков, допустивших мошеннические операции. Об этом заявила глава Банка России Эльвира Набиуллина.
«Мы предлагаем в том числе вводить персональную ответственность топ-менеджеров банков, которые отвечают за «антифрод-процедуры», – сказала глава ЦБ в кулуарах форума «Кибербезопасность в финансах» (цитата по «РИА Новости»).
По словам Набиуллиной, во многих крупных банках подобные процедуры уже запущены и хорошо работают.
В ходе пленарного заседания форума по вопросам кибербезопасности 19 февраля глава ЦБ обозначила две новые проблемы, связанные с деятельностью злоумышленников.
Первая – это увеличение случаев кредитного мошенничества, когда люди становятся жертвами обмана и переводят мошенникам деньги, которые взяли кредит в банке. В 2024 г. кредитные средства составили около 40% от всех украденных у граждан денег.
А вторая новая угроза – это распространение вируса типа SpyNote с функциями удаленного доступа к телефону. Он может маскироваться под различные приложения, что позволяет мошенникам видеть пароли и сообщения.
А что, раньше им всё так сходило?
П.С. Позавчера в автобусе пассажирка рассказывала. Ее знакомая девочка разрешила увольняющейся сотруднице поработать на своем компе. Та предложила передать ей "свою" базу клиентов и занести их ей на комп.
Уволилась. А за девочкой пришли и сразу её в Лефортово. Оказывается, та дамочка сняла 77 млн со счетов "своих" клиентов, используя этот другой комп и кинулась в аэропорт, чтобы свалить в синие дали.
Но в этот момент один из клиентов, дядечка, захотел как раз получить свои бабки. А тут такой сюрприз! Нету бабок-то на счету. Он со скандалом к операционисту. Операционист к начальнице. Начальница - к службе безопасности. Служба безопасности - в полицию.
Тут-то отлетающую с самолета и сняли. (Не)повезло.
П.П.С. А девочку уволили с формулировкой "утратившая доверие". 
Комментарии
По моему скромному мнению, если обязать возмещать ущерб от мошеннических звонков операторов сотовой связи (на том основании, что они являются одним из выгодоприобретателей подобных звонков, ведь мошенники аккуратно платят за связь))), то подобные звонки прекратятся мгновенно
Во всяком случае, телефонный терроризм, когда одолевают звонками рекламные агенты, точно на совести сотового оператора.
Абоненты первыми выть начнут, если их заставить еженедельно ходить ПДн подтверждать. Платно
«Мы предлагаем в том числе вводить персональную ответственность…» - это не значит, что работники банка допустили мошенничество, как состоявшийся факт, и их за это хотят привлечь к ответственности.
Хочется подробностей. Как ?!
Всё серьёзное должно быть запаролено.
Так в том и дело, что по доброте душевной дала ей пароль от своего компа.
Все что я могу сказать по поводу этой истории.
Пароль от компа - всего лишь платформа, тут глыбже - она пустила ее в само банковское приложение управление счетами клиентов, и никак иначе!!!
Дура, потому что баба!
Ну, вот, кто ж мог подумать, что коллега окажется такой?
Может, много лет рядом сидели...
Вы правда верите, что они знают пароли друг друга и еще и флэшки с цифровой подписью передают друг другу?
Скорей они обе в деле, просто пудряд мозги или байки СБ рассказывают.
Чем дальше от столиц, тем патриархальнее и правила необязательнее... Где история случилась, я прослушала (или не услышала).
"Лефортово", которое упомянула пассажирка, могло и оборотом речи просто быть со смыслом турма-северный централ-кутузка, хз...
От слова "пороть"?
Я ж не знаю, когда дело было. Встречу еще раз эту даму - спрошу для вас.
Можете не спрашивать - эту историю сочинили люди которые даже примерно не представляют как работает банк.
Взять хотя бы перл
Это явно придумал менеджер по
пропажампродажам киоска торгующего сигаретами поштучно.Какая нахрен база "своих клиентов"?
Клиенты работают с банком, а кто их будет сопровождать решает начальник департамента по работе с клиентами.
Устроится на работу чья-то племянница "из хорошей семьи" и всех "толстых" клиентов отдадут ей никого не спрашивая.
Получить доступ к счетам клиентов с правом единоличного движения средств на них - это ваще за гранью фантастики.
Вы когда нить открывали в банке счет? Замечали что когда "Маринка" все оформит подходит "Тамарка" визирует ваш договор? Кое-где это делается дистанционно, но в сбере подходит бригадир и прикладывает свой ключ к ридеру.
Возможно тупая Тамарка и дала ключ отрабатывающей пару недель Маринке. Но странно, что тупая Тамарка стала старшей с правом подтверждения.
На лицо сговор 2-х дур, и странно, что СБ проморгало перевод 77 млн рупий или это просто байка:)
Нереально.
Это немного не то - "Тамарка" всего лишь визирует/подтверждает введенное "Маринкой".
У Тамарки точно так же как и у Маринки нет доступа к счетам - они могут посмотреть только номер счета и последние цифры номера карты.
Видеть счета (суммы) могут только сотрудники классом выше чем офисные дурочки.
Вносить "правки" в счета могут единицы, по специальным заявкам, которые утверждаются на уровне начальника департамента, иначе СБ сразу же блокнет все работы. Все действия протоколируются.
Чтобы стырить деньги нужна организованная группа.
Чтобы стырить большие деньги нужна организованная группа на верхнем эшелоне.
PS Вот реальный случай - два дебила
это сила, только "Виталики"Один (Маринка) поменял телефон клиента, второй(Тамарка) подтвердил. После этого
спи..стырили "немного" денег у клиента, а потом вернули взат номер телефона.У нас ржала вся комната - мало того что все "записано по шагам", так они еще и стыренные деньги вывели себе на зарплатные карты.
А чо там с возрастной категорией "Виталиков"? Ежели не секрет, канеш.
около 25 плюс-минус
Какой бред - бороться с собственным невежеством методами технического прогресса!
Хороши пластиковые карточки вместо денег в кармане, правда?
Перед внедрением "цибл'я" нужно максимально осложнить работу банкам, а обществу показать что во всех проблемах виноваты только банкиры. По моему мнению, могу ошибаться
Если обязать банки выплачивать компенсацию за ущерб от мошенников,каналы мошенничества быстро перекроют. А тут предлагают сажать "зиц председателей Фунтов": буратины несут деньги "банку буратин",дядя владеющий банком через структурное подразделение "мошенники", буратин массово доит,а им в качестве утешения выдает на суд других буратин,работающих в этом банке.) Как это прекратит отток денег? Никак. Банк ответственности не несет,и ему это может быть даже выгодным. А если выгодно-будет сделано.) "За деньги-все!"
Включаем здравый смысл.
Ответственность банка. Банк может к сотруднику - регресс.
а что, ст. 159 УК РФ уже отменили?
или речь идёт об ужесточении наказания именно для банковских работников?
Опять полумеры. Поиск козлов отпущения.
Комплексный подход нужен, давить нужно на все кнопки, и на банки, и на опсосов, и на местных сообщников, и на силовиков, чтобы GSM-шлюзы все выявили техническими средствами и ликвидировали. И на законодателей, чтобы обеспечили все эти меры законодательно.
Вопрос - человек пришел в банк за своими деньгами. Какое право имеет банк ему деньги не выдавать? На каком основании?
Да, человек может быть обманут мошенниками. Но он САМ пришел в банк, не пьяный, не под кайфом, паспорт принес и хочет получить СВОИ деньги. При чем тут ответственность банка?
Операционист может попытаться отговорить человека, но не имеет права ему отказать в выдаче денег.
Кстати, крупные суммы нужно обычно заказывать в банке за 3 дня.
Насчет того, когда и как клиент получил свои деньги, а также какая сумма была, не могу сказать. Не знаю, она про это не рассказывала.
Да я не про вашу дамочку, ваша дамочка - обычная уголовница.
Захотела легкой жизни, к успеху шла, не подфартило.
Я про простых людей, пришедших в банк за своими деньгами.
НЕВАЖНО по какой причине они хотят получить деньги.
В договоре с банком прописано, что банк может в одностороннем порядке менять этот договор. Завтра внесут, что если деньгами не пользовался больше 6 месяцев, то они и не твои, раз не нужны.
Нифига козе баян? Обязать банки возвращать средства и все. Они сами кого надо нкжут и мошенничество сойдет н нет.
Уже пятый год законодатели тормозят, и госуслуги заточили под мошенников
Пчелы против меда. Ритуальные песни похоже.
Когда с пеной у рта лоббируют оцифровку и биометрию, надо понимать , что битва идёт именно за бабло , которое можно поднять на торговле цифровыми и биокопиями россиян (для последующего ошкуривания заинтересованными лицами) и ни для чего больше. Вот эта вот вся торговля мордой на сканер - это не про удобство хомячков , разучившихся складывать "2+2" , это чтоб мы не смогли увернуться от очередного раздевания до трусов непонятными структурами , лоббируемыми "государством"(каким , чьим? ХЗ)
Давно пора. К идентификатору клиента замешивать идентификатор сотрудника, который офорлял, начальника смены и начальника филиала. Когда и если у клиента пропадают деньги, то кратно штрафовать всю цепочку. В конце концов, должна у сотрудников банка быть мотивация работать или нет.
Я Вас удивлю, но в банках так уже "сто лет" так делается.
Любая операция выполняется двумя сотрудниками.
Вы, например решили сменить номер телефона или поменялась прописка - один сотрудник вносит изменения, а второй подтверждает. И все это фиксируется в базе.
Вопрос в соблюдении регламента.
Если вы решите взять кредит, то Вам все мозги вынесут пока офрмят.
А вот если Вы берете кредит чтобы "поделиться" деньгами с мошенниками, то его почему-то сразу одобряют - вот здесь и надо раскручивать цепочку причастных.
Там ещё интересный момент с геолокацией, запрос на оплату делается в одном городе, а смс подтверждение в другом, надо как-то соотносить эту информацию.
Не то, что бы я удивлён. В таком случае мы уже сейачс знаем ответственных лиц, значит санкции можно применять уже.
Ага, я находясь на Мальдивах, в роуминге, делаю заказ на Алиэкспрессе - геолокируйте на здоровье.
Не, мошенник со своего устройства на мальдивах делает заказ, а смс приходит вам в китай. На лицо несоответствие, есть повод уточнить.
Технологию и орг.моменты отслеживания не распишите?
Потребуется доработка законодательства во взаимодействии мобильных операторов связи и банков, это во первых.
Когда делается заявка на платёж, то в банк помимо прочего подаётся адрес узла подачи (роутер там, или абонента, или адрес сети)
Банк должен отправить смс на мобильный телефон абонента. В этот момент оператор связи передаёт адрес базовой станции, в поле зрения которой находится мобильный телефон в данный момент. Если нет противоречия между адресом запроса и адресом базовой станции, то высылаем смс с кодом. Если коллизия есть, то применять расширенный протокол.
Я понимаю, что тут надо проработать особенности организации мобильной и сетевой инфраструктуры на территории РФ.
Самая малость - переписать ФЗ-152.
Кто подаст? Провайдер "ХеранукаПоРоялю" провинции СиньЦзиПин Уйгурского района в северном Китае?
Ага , оператор связи "Суньвпень" провинции СиньЦзиПин Уйгурского района в северном Китае.
Ну то есть технически Вы не представляете как это работает и что с этим можно сделать.
PS Все что Вы описываете в своих благих намерениях делается только по ордеру от прокуратуры.
Вопрос правильный. Смотрите, тут есть три ситуации:
1. то и то находится на территории нашей страны - обрабатывается собственными силами
2. одна точка на территории страны, вторая за пределами - подтверждение/доп меры
3. обе точки находятся за пределами - предполагаю, что МИД имеет некоторые рекомендации для людей выезжающих за границу
Не переписать, а дополнить, да и это обычная практика, откройте в консультанте любой ФЗ или ПП РФ, указаны все корректуры.
Не до конца понимаю, как вы сделали такой вывод, но да, я не занимаюсь связью, но понимаю, что мобильный телефон получает входящий трафик с одной и/или нескольких базовых станций, значит устанровить по крайней мере населённый пункт не составляет труда, а то и местополжение с точностью до десятков метров. и о том, что такое ip адрес я тоже знаю, и даже знаю некоторые особенности физической реализации ip протокола версии 4 и версии 6. Так же я понимаю, что если закрыть в одной комнате ростелеком и мобильных операторов, то они прекрасно смогут договориться.
Касательно иностранных мобильных операторов сложнее, право у нас не экстерриториальное, но тем не менее обслуживание российских банковских карт на территории других стран возможно, так что принципиальных сложностей нет, технические проблемы быть могут, но я не думаю, что они не решаемы.
Я покупаю на Алиэкспрессе "красивая кожа накладка руля для тех кто хочет в езду", запрос на СМС придет с сервера "Али" который расположен в провинции Инь-Янь. Телефон, куда надо послать СМС, находится в Москве.
Что будем делать?
Про ФЗ-152
Но Вы почему-то не озвучили даже примерные темы предполагаемой корректуры. Абстрактные пожелания не работают. После внедрения Ваших предложений может оказаться что ФЗ ваще перестанет работать в виду отсутствия смысла.
Вы знаете, например, что банки не отправляют сами СМС? Этим занимаются специализированные конторы.
Это мероприятие стоит больших денег. И кроме того требует санкции прокурора - это к вопросу о ФЗ-152.
По факту Вы предлагаете режим постоянной слежки за абонентом. Мало кто Вас поддержит в таком начинании.
Следующий шаг запретить людЯм тратить свои деньги? Все расходы только по заявке через МФЦ с личным присутствием?
Если знаете что такое IP адрес, то пользуйтесь этими знаниями , не забывая логику.
Ваще при чем тут ростелеком? У нас так-то много провайдров и ОПСОСов. Если Вы решили запереть всех вместе, то придется арендовать стадион, как в Чили.
Банк не отправляет СМС, он кидает их на СМС-шлюз.
Как оператор связи узнает что "надо кинуть адрес базовой станции банку" и какому именно банку??
Теперь попробуем поискать смысл в
"Адрес запроса" - это платежный шлюз какого-либо банка, он даже близко не имеет никакого отношения к "базовой станции".
Я нахожусь на территории РФ в командировке город Усть-Пердючинск, мне позвонила бабушка - до пенсии 5 дней, а ей надо вызвать мастера поправить пластиковое окно.
Я захожу на сайт сбера инициирую перевод бабушке. При этом моя карта ВТБ. Предположим что каким-то образом банк получил от ОПСОСа мои координаты и что? Я в живу Тюмени, а платежный шлюз Сбера в Москве. Что ВТБ должен делать с этой информацией?
Как
Красная шапочкаВТБ догадается чтопирожкиденьги хочет получть не бабушка , а серый волк?Доработаем ФЗ-152 что если локация телефона далее 10-15-25 км от "места прописки", то переводы/платежи запретить?
PS Ну и "на посошок".
Есть виртуальные операторы связи - Тиньков, Сбер, ВТБ, Газпром и еще пара десятков.
Как будем отслеживать? Эти падлы использую вышки "большой четверки".
Сейчас я на Билайне, отошел на 20 метров вбок и оказался на Теле2 или МТС.
Делать доработки законодательства, что бы добавлять фактический адрес абонента, адрес клиента вместе с адресом сервера.
А я должен озвитчивать конкретные формулировки, котрый надо внести в ФЗ, вы серьёзно?
Я знаю, что банк непосредственно СМС не обладает, а делает это через промежуточные структуры. Вообще не важно кто там и сколько, это не вляиет на суть вопроса.
Санкции требует слежка за мобильном телефоном, а если законодательно прописать автоматическую пересылку, то никаких сложностей не будет, только в головах людей.
Я не предлагаю ни за кем следить, а просто добавлять адрес мобильной станции, через которую оконечное устройствополучает трафик.
О запретах говорите вы, значит и комментировать это вам. Ростелеком при том, что он обеспечивает связь, наприемр связь с шахтами МБР в случае большого шухера, и по этому именно о ростелекоме я говорю, а на интересы мелких провайдеров спокойно можно забить.
Когда вы расскажите, для чего это делать, то я подумаю, что вам ответить. Надо просто разработать протокол, с помощью которого можно будет определеить подозрительный запрос и обработать его в ручном или автоматизированном режиме.
Я понимаю, что вы говорите, не понимаю только зачем? Я говорю о том, что в рамках существующей инфраструктуры можно разработать/улучшить протоколы передачи данных, для этого требуется свести операторов данных и банки и проработать этот момент, вы же почему-то просите предоставить вам в комментариях конкретные правки в ФЗ, это очень странно.
Вы очень много и абстрактно написали ни о чем.
Вот Ваши слова
Объясните тогда суть Вашей идеи.
В чем суть алгоритма Вашего протокола, а не просто - "за все хорошее, против всего плохого"
Из ваших вопросов я понял то, необходимы решения на уровне правительства, что бы иностранные компании могли обмениваться данными с нашими компаниями по средствам интернета. Всё это прорабатывается сначала на уровне намерений, потом прорабатывается техническая возможность, потом закон и межправительственные договора и развёртывание системы.
А - точка входа в сеть, B - мобильный телефон к которому привязаны СМС банка, С - сервер банка, D - сервер назначения платежа, Е - сервер ОПСОСа.
Между всеми этими точками могут быть промежуточные звенья, их качество и количество несущественно. Если A и B находятся в одном месте, то обычная процедура оплаты, далее разрабатывается процедура определения подозрительной операции, как самый простой вариант это разное территориальное положение.
Алгоритм определени принадлежности точек A и B в одном месте может выглядеть примерно так. Точка D посылает запрос в С, и сообщает при этом данные A и D. Сервер C делает запрос на сервер E о положении B. Итого в С есть данные по A и B, в этот момент принимается решение о протоколе оплаты обычный или расширенный. Для того что бы конкретизировать и уточнить эти шаги уже требуется знание и понимания работы сети. Как именно становится известно на какой номер посылать СМС я не знаю, но мне это и не важно, ибо эта система существует и работает, и при необходимости я в ней разбирусь при наличии специалиста, который в этом разбирается.
Для того, что бы принимать такие решения надо обладать пониманием и волей, ибо любая сложная система разрабатывается людьми, физические устройства и алгоритмы лишь инструмент. При всём этом совсем не обязательно, что рассматриваемая проблема вообще существует, например, я считаю, что в таких ситуациях так называемые обманутые сами виноваты, проблема в другом, на кого возложить ответственность и как ловить нарушителей. Мой опыт говорит о том, что на этапе проработки идеи мысли о физической реализации только мешают, а когда есть идея и разработаны интерфейсы и логико временная диаграмма, тогда уже в рамках итерационного процесса происходит синтез системы.
Расшифруйте эти понятия.
Что такое "точка входа в сеть" и что имелось в виду под "мобильный телефон"
А еще, чуть не забыл, что значит "Если A и B находятся в одном месте" какое удаление друг от друга допустимо чтобы не выпасть из "одного места"?
Давайте проще , "ближе к природе".
Zum Beispiel.
Я хочу на 8 марта отправить любимой бабушке 30 тр, чтобы она сходила ночной клуб на празник. Она тусит в Москве.
Я прописан в Твери, нахожусь на Сахалине. У меня ВТБ, у бабушки Сбер.
Перекидываю деньги через Сбер - услуга "пополнение карты сбера".
Рассказывайте как Ваш олгоритм отличит меня от мошенника который хочет украднуть мои деньги и отправить их не к моей, а к чертовой бабушке.
А - точка входа в сеть. Сижу я дома, у меня статический ip это он.
B - мобильный телефон к которому привязаны СМС банка. Мобильный телефон сидит на базовой станции, ей номер и место установки известны.
Порог выбирается методом экспертной оценки на основании оценки существующей и перспективной инфраструктуры, может переназначаться в процессе работы/по результатам отработки. Координаты базовых станций известны, оборудование установлено в помещениях, данные в росреестре есть, можно привязаться.
Никак, он решает другую задачу.
Вы не находите, что система защиты от совершения покупки в одном месте и выманиванием кода из СМС в другом месте несколько отличаются от собственноручного перевода денег? Для того, что бы не быть обманутым надо внимательно читать что написано и смотреть куда нажимаешь. Защита от перехвата инофрмации реализуется при помощи криптографических алгоритмов. В ближайшем будующем будет актуальна квантовая криптография, когда сам факт перехвата информационного пакета становится известным получателю.
Эта ПЯТЬ !!!
Когда я читаю Ваши идеи, то прям не знаю - смеяться или плакать.
Даже безотоносительно самой идеи проверять местонахождение "А и В"- на Ваш взгляд мошенники такие лохи что не догадаются купить ВНП?
Мне позвонили и сказали что я должен пройти флюрографию и прям щаз меня запишут в электронную очередь, только надо сказать код из СМС. А там может быть перевод, покупка, сброс пароля от госуслуг - всё что хочешь
От чего Ваша система в принципе защитит?
Вот тут и защитит, ибо место запроса на покупку делается не там, где вы находитесь. Если вас разводят из соседней комнаты, то не поможет.
Мне звонили моженники, и просили назвать код из СМС, а там попытка сменить пароль от госуслуг. Вот если бы была такая система, то код на получения доступа ко мне даже не пришел бы.
Если вас хотят взломать люди, которые способны применять ВПН, перехватывать мобильный трафик и т.д. то вам самому надо перейти на газеты и голубиную почту. Вы слишком высокого мнения о мошенниках и об умственных способностях людей. Как можно выкинуть в окно мешок с деньгами? Как можно перевести кому-то миллион рублей через 10 минут после просьбы? Да мне если мама напишет и 10 тысяч попросит перевести, то я не переведу, потому, что у неё принципально не может быть необходимости в оперативных покупках.
Ясно.
Как будет время погуглите, для прикола - радиус соты, динамичский IP, IP-телефония, переадресация СМС, стоимость СМС-шлюза, стоимость VPN.
Заодно попробуйте поразмыслить над стоимостью Ваших идей, я тут даже подсказывать не буду.
PS
VPN пионэры поднимают за 10-15 минут, большая часть этого времени уходит на ожидание прохождения платежа за сервер.
Страницы