Некрасов Юрий Валентинович : другие произведения.

Мошенничество В Банках

Самиздат: [Регистрация] [Найти] [Рейтинги] [Обсуждения] [Новинки] [Обзоры] [Помощь|Техвопросы]
Ссылки:
 Ваша оценка:
  • Аннотация:
    Самый опасный вид мошенничества это тот, о котором еще не знают банки. Иностранный опыт борьбы с мошенничеством говорит о необходимости обмена информацией между банками. Опубликовано журналами Банковские системы и Валютный спекулянт

МОШЕННИЧЕСТВО В БАНКАХ
две статьи

Ю.В. НЕКРАСОВ

РЕПУТАЦИЯ СТОИТ ДЕНЕГ
Защита банков от сетевого мошенничества

Журнал "Банковские системы N 12, 2006"

Стекло, фарфор и репутация легко бьется,
но их никогда нельзя хорошо склеить.
- Бенжамин Франклин

   Клиентура покидает банки, утратившие свою репутацию. Среди причин утраты доверия к банку основными являются - потери клиентурой своих активов, доверенных банку. Сетевое мошенничество сейчас стало главной угрозой потери клиентурой своих активов. А банковское сообщество считает, что рыночная стоимость банка в первую очередь зависит от его репутации. Охрана активов своих клиентов и поддержание образа безопасного и заслуживающего доверия финансового учреждения для банка является основной мерой защиты своей репутации. fraud1 [Moen]
   Риск потери репутации вышел на первое место
   Банковские учреждения в своей работе постоянно подвергаются огромному количеству рисков. Поэтому смягчение этих рисков входит в их первоочередные задачи. Но, смягчая одни риски, можно невольно вызвать другие, часто еще никому неизвестные, а потому и непредвиденные. Недавно "ПрайсВотерКуперс" и "Экономист Интеллидженс Юнит", две мировые консультационные фирмы провели исследования влияния различных рисков на рыночную стоимость банка и на его доходы в 130 банках по всему миру. Результаты исследований приведены ниже. Хотя большее внимание уделяется кредитному и рыночному рискам, т.к. банки имеют большой опыт в их определении и смягчении, на первое место в определении рыночной стоимости вышел риск потери репутации.
   В нижеприведенной таблице указывается процент респондентов, считающих данный вид риска главным в его влиянии на рыночную стоимость банка (левая колонка) и на доходы банка (правая колонка), в скобках указаны места по значению рисков.
  
   рыночная стоимость
   доходы
   риск потери репутации
   34% (1)
   22% (6)
   кредитный риск
   25% (2)
   37% (1)
   рыночный риск
   25% (3)
   31% (2)
   регулятивный риск
   18% (4)
   25% (3)
   стратегический риск
   16% (5)
   23% (4 место поделено)
   операционный риск
   14% (6)
   23% (4 место поделено)
   риск прерывания
   13% (7 место поделено)
   13% (8 место поделено)
   IT / технический риск
   13% (7 место поделено)
   8% (10 место поделено]
   риск ликвидности
   10% (9)
   19% (6)
   риск руководства
   7% (10 место поделено)
   13% (8 место поделено)
   суверенный/политический риск
   7% (10 место поделено)
   8% (10 место поделено)
   Причины потери репутации могут быть разными. Но сегодня выходит на первое место нарушение защиты активов клиентов, утрата которых разрушает клиентское доверие к своему банковскому учреждению. Или, как это недавно было в России, ко всей банковской системе.
   Риски, выбранные для исследований
   Исследователи из все рисков, выбрали нижеследующие, снабженные краткими пояснениями:
   риск потери репутации;
   кредитный риск - риск невозвращения кредита;
   рыночный риск - риск потери доходов в связи с изменений рыночных факторов ;
   регулятивный риск - риск потери доходов, связанный с нормативными актами, регулирующими определенную отрасль, страну, тип ценных бумаг;
   стратегический риск - риск не достижения целей, поставленных перед банком, ();
   операционный риск - риск нарушения выполнения обязательств, вызванного сбоем банковских операционных систем или работы персонала;
   риск прерывания - риск внезапного, прекращения деятельности банка из-за не учтенных причин;
   IT / технический риск - риск потери доходов, связанной со сбоем техники или информационных технологий;
   риск ликвидности - риск невозможности быстрой покупки финансовых инструментов, вызванный недостатком наличности или краткосрочных активов;
   риск руководства - риск потери доходов, вызванной неправильными решениями руководства банком;
   суверенный/политический риск - риск невыполнения обязательств по кредитам, в том числе, и по государственным (суверенный), вызванных действиями властей (национализация, политическая нестабильность) .
   Для смягчения большинства рисков существуют методы, использующие сложные числовые и дискретные модели. Банкиры всегда до настоящего времени обращали меньше внимания на риск потери репутации, но напрасно, и тогда, и теперь этот риск присутствовал всегда. Кроме того, как и другие типы риска, риск потери репутации также имеет элементы, которые могут быть смоделированы и проанализированы.
   Сетевые виды мошенничества
   У некоторых читателей ещё до сих пор бытует мнение, что сетевой мошенник - молодой непризнанный гений, сидящий на кухне за своим компьютером, собранным из некондиционных деталей. Но благодаря его гениальности у него всё получается, а свои доходы он жертвует неимущим. Но сетевые мошенники - это международная организованная группа, хорошо структурированная, законспирированная, имеющая свою агентуру в банках. Их оснащению и доходам может позавидовать любая из мировых голубых фишек.
   Британская газета Сан сообщала, что проводила журналистское расследование. В Индии журналисты вышли на агента сетевых мошенников. Агент предлагал купить сведения, удостоверяющими личность 1000 владельцев банковских счетов первоклассных британских банков, обслуживающих физических лиц. Сведения включали имена, адреса, номера счетов, пароли, номера, ПИН коды кредитных карточек, паспортные данные и т.п. В случае покупки данных покупателю обещали ежемесячно передавать сведения, удостоверяющими личность еще 1000 банковских клиентов.
   Почему сетевые мошенники продают свои базы данных? На этот вопрос есть много ответов. Вот три их них.
   - Сетевые мошенники уже опустошили эти счета и хотят, чтобы при повторной атаке на них были пойманы лица, не входящие в их преступную группировку, т.е. отвести от себя подозрения.
   - Сетевые мошенники хотят вовлечь в преступную деятельность новых лиц, с последующей их вербовкой.
   - Не все сетевые мошенники располагают разветвленной банковской инфраструктурой для увода активов со счетов клиента, и специализируются только на получении сведений, удостоверяющих личность владельцев банковских счетов.
   Сегодня представляют наибольшую угрозу три вида сетевого мошенничества по краже сведения, удостоверяющими личность клиента банка, и последующей краже их активов. Эти два вида сетевого мошенничества: "фишинг", "фарминг" и "трояны". Эти термины прочно вошли в сетевой лексикон и замене не подлежат, несмотря на имеющуюся сейчас у нас тенденцию русифицировать финансовые и другие технические термины.
   Фишинг phishing [MOEN]
   Фишинг (англ. рhishing) звучит как ужение рыбы (fishing), на самом деле - выуживание из сети сведений, удостоверяющих личность владельцев банковских счетов. Вид сетевого мошенничества, имеющий конечную цель кражу активов, хранящихся на счетах банков.
   Сетевые мошенники - "фишеры" используют массовые рассылки электронных писем с просьбой передать важную конфиденциальную информацию жертвы - пароли, номера счетов и кредитных карт от имени банков или известных сетевых магазинов и т.п. Здесь главным является легенда, которая должна убедить жертву в необходимости передать такую информацию. Поэтому письма выполняются и по форме, и по манере изложения с соблюдением всех деталей, включая сетевые адреса, отправителя. Для некоторых жертв достаточно - электронного письма. Вот широко известный факт. На письмо, якобы отправленное от имени курсового офицера известной в Америке военной академии Вест-Пойнт, ответили 80% адресатов. Будущие офицеры охотно поделились со старшим офицером своими данными, удостоверяющими личность владельцев банковских счетов.
   Но в большинстве случаев электронное письмо содержит ссылку на фальшивый сайт, наряду со ссылками на настоящие сайты. Но на фальшивом сайте, который не отличим от настоящего, у жертвы требуют освежить свои персональные данные.
   Успех сетевого мошенничества обеспечивается точным знанием, что жертва пользуется конкретным банком, платежным инструментом, сайтом, провайдером и т.п. Это почти минимизирует оперативное обнаружение мошенника.
   На западе создаются органы, борющиеся с эти видом мошенничества. Известные в мире компании MasterCard, Microsoft, PayPal, eBay и производители программного обеспечения для компьютерной безопасности создали Рабочую группу по борьбе с "фишингом". По оценке этой рабочей группы в мае этого года было выявлено, что сетевые мошенники - "фишеры" сделали 20109 рассылок электронных писем и создали 11976 фальшивых сайтов. Несмотря на то, что фальшивый сайт существует только несколько дней, он собирает обильную жатву сведений, удостоверяющих личность владельцев банковских счетов.
   Как избежать вредоносное действие "фишинга"? Можно воспользоваться многочисленными программами, которые изготовляют известные и мало известные фирмы. Здесь не указываются название программ, ни их производителей, чтобы избежать обвинений в их рекламе. Но, основным оружием в борьбе с "фишингом" является обучение пользователей простым и понятным правилам безопасности в Интернете. Ведь достаточно знать что ни одна финансовая организация не попросит сообщить пароль или PIN-код по электронной почте или в сообщении ICQ. И тогда все искусно изготовленные мошеннические послания и сайты с просьбами "подтвердить" или "восстановить" данные клиента оказываются бесполезными. Но а если жертва настолько уверилась в фальшивом электронном послании и его аргументации, необходимо связаться с банком, используя другие формы связи. И еще один маленький совет, в критических случаях, а случай, касающийся денег клиента всегда критический, не надо пользоваться ссылкой, а набирать вручную адрес нужного сайта в адресной строке браузера.
   Рабочая группа по борьбе с "фишингом" отмечает, что пользователи стали более осведомленными о данной угрозе и более осмотрительными. Существует благоприятный прогноз, что мошенники станут реже прибегать к "фишингу", т.к. ему на смену идут новые виды сетевого мошенничества, например, "фарминг" и "трояны".
   Фарминг
   Фарминг (англ. рharming) игра слов: превращение английского слова farming (сдача в аренду) в термин сетевых мошенников phishing (фишинг). Вид сетевого мошенничества, имеющий конечную цель кражу активов, хранящихся на счетах банков. Если "фишинг" только приглашал посетить фальшивый сайт, на котором предлагалось ввести данные, удостоверяющие личность владельцев банковских счетов, то "фарминг" направляет жертву на фальшивый сайт автоматически, когда жертва пытается войти на официальный сайт банка. Причем так, что жертва об этом не догадывается. Автоматика может работать тремя способами:
   - Заражение на компьютере жертвы программы DNS, которая преобразует доменные имена, состоящие из букв в адресной строке браузера, в фактические адреса сайтов в сети (IP-адрес), состоящие из цифр. Вирус, попавший в программу DNS обычным путем, дает неправильный IP-адрес при правильном адресе в адресной строке браузера. Использование эффективных, современных средств антивирусной защиты позволяет предотвратить проникновение подобных вирусов в программу DNS компьютера жертвы. Но если этот вирус попадет в незащищенный компьютер, его разрушительное действие жертва не заметит. Это - наиболее популярный вид "фарминга"
   - Второй вариант "фарминга" заключается в проникновении на сайты и построение на них сценариев, позволяющих манипулировать посетителями сайта, отсылая их на фальшивый сайт.
   - Третий вариант "фарминга" заключается в заражении записей DNS на сервере Интернет - провайдера жертв. Но заразить DNS на сервере Интернет-провайдера очень сложно. У них очень надежная защита. Но для мошенников этот способ позволяет сразу получить данные, удостоверяющие личность многочисленных владельцев банковских счетов.
   Для защиты от "фарминга" рекомендуются следующие меры предосторожности:
   - Используйте эффективные, современные средства антивирусной защиты.
   - Первая линия обороны от "фарминга" проходит на сервере Интернет-провайдера. Он должен быть надежен и известен.
   - Проверяйте адреса сайта, запрашивающего идентификационную информацию. У адреса не должно быть никаких лишних символов.
   - Проверяйте сертификаты. У каждого сайта должен быть действующий сертификат, выданный официальной организацией. Он легко проверяется браузером командой Файл/ Свойства/ Сертификаты.
   - Никогда не входите с помощью ссылки на сайт, требующий ввода конфиденциальной информации. Вводите адрес в адресную строку браузера.
   Трояны
   А после "фарминга" появились "Трояны". Это - вид сетевого мошенничества, использующего вирусы, управляющие компьютером. Вирусы переносятся электронной почтой с прикрепленными файлами. Новейшие версии антивирусов в этой ситуации часто оказываются бесполезными. Новые виды вирусов пробираются в компьютер и находятся там в бездействии до тех пор, пока жертва не свяжется со своим банковским счетом. После этого вирус считывает все, что печатает жертва. После последнего щелчка мышью, подтверждающего финансовую операцию, вирус прерывает соединение и молниеносно уводит деньги на другие счета.
   Кража активов
   Она осуществляется очень просто. Со счета снимаются деньги, переводятся на другие счета, там обналичиваются и переводятся в другие виды активов: ценные бумаги, недвижимость, гранты, займы, кредиты, пройдя многоступенчатые переводы из одной формы активов в другую с тем, чтобы попасть к конечному выгодополучателю чистыми, как слеза младенца. Мошенники, используя данные, удостоверяющие личность владельцев банковских счетов, снимают деньги и направляют на счета легковерных граждан, которые за определенный процент от переведенных денег соглашаются получить на свой счет украденное. В результате мошенник остается неизвестным, а легковерный гражданин окажется в поле зрения правоохранительных органов. Легковерных граждан вербуют тоже через Интернет на сайтах вакансий. В вакансиях, естественно ничего о кражах не говорится, но там ставится условие, чтобы кандидат имел банковский счет. Очень много легковерных граждан было завербовано в России на известных сайтах. И что самое странное, очень мало из них попало в правоохранительные органы. Видимо, правоохранительные органы думают, если вообще думают, что мошенники создали и пользуются банковской сетью, состоящей из так называемых "спящих" счетов жертв, у которых украдены сведения, идентифицирующие их личность. Как здесь поставить заслон мошенникам? Надо только регулярно проверять выписки по банковским и кредитным картам и выявлять все подозрительные операции. Если сообщить вовремя об использовании "спящих" счетов, мошенническую сеть обязательно разрушат. А вот возместят ли вкладчикам уведенные с его счета деньги при использовании украденных сведений, идентифицирующие их личность, решать будет суд.
   Заключение
   О репутации банкиру никогда не рано думать, ибо потерять её можно в минуты, а для восстановления требуются года, а может быть и вечность. Утрата репутации может перевести к огромным денежно-кредитным убыткам и потери имени на рынке. И хотя самыми удобными для анализа являются кредитные и рыночные риски, наступила пора заняться анализом риска потери репутации. Особенно при расцвете сетевого мошенничества. Для России эта статья может быть чуточку преждевременна. Лишь небольшое количество вкладчиков пользуется удаленным управлением своим счетом. Чуть большее количество клиентов банка имеет дебетовые и кредитные карты. Но основная масса клиентов толпится в очередях пред окошками операционистов. Но эта картина в ближайшем будущем должна исчезнуть. Вот тогда наступит час сетевых мошенников.
   Поэтому сейчас банки должны подумать об укреплении своей локальной сети, о страховании против сетевого мошенничества, о ведении планомерной работы по безопасности среди вкладчиков, о выявлении "засланных казачков", а может быть и о создании своей специальной банковской сети.
  
  
   Юрий Некрасов

ЗАСЛОН МОШЕННИЧЕСТВУ В БАНКАХ

Журнал "Валютный спекулянт N 6, 2003"

   Самый опасный вид мошенничества это тот, о котором еще не знают банки. Иностранный опыт борьбы с мошенничеством говорит о необходимости обмена информацией между банками. fraud [MOEN]
   Большие банки научились бороться с мошенничеством при использовании фальшивых чеков, но этот вид преступления переместился в банки меньших размеров.
   Успехи больших банков в борьбе с мошенничеством при использовании фальшивых чеков вызваны применением специальных технологий и обменом информацией между собой. Чтобы искоренить этот вид мошенничества, как вид преступления, большие банки должны помочь маленьким банкам, не обладающими ни технологиями, ни ресурсами для борьбы с мошенниками, работающими с фальшивыми чеками.
   Такое сотрудничество банков также могло бы препятствовать другим резко проявившимся преступлениям. К ним, в первую очередь, относятся два наиболее серьезные преступления. Это - хищение удостоверений личности и мошенничество с использованием электронных сделок. Большие и маленькие банки одинаково уязвимы для этих преступлений. Большие банки должны расширить свой арсенал средств борьбы с мошенничеством при использовании фальшивых чеков за счет мер, которые необходимо принять к этим двум видам преступлений. Маленькие банки должны больше уделять внимание противодействию хотя бы рутинному мошенничеству, чтобы иметь моральное право на помощь больших банков.
   Большинство специалистов в банковском и консультационном секторах считают, что борьба с мошенничеством должна вестись на уровне всего банковского сектора экономики, а не на уровне региона или отдельного банка.
   Проявление мошенничества при использовании фальшивых чеков заметно увеличилось в начале девяностых годов с появлением лазерных принтеров, которые упростили подделку чеков. Большие банки в ответ на это разработали свои новые собственные методы и технологии.
   Например, почти 150 американских банков стали клиентами "Кэрреке корпорейшн", расположенной в г. Далласе, и специализирующейся в обнаружении мошенничества. С 1994 года корпорация использует программное обеспечение, известное под именем "Фродлинк". В программное обеспечение включена постоянно пополняемая база данных операций, безупречных со стороны закона и статистики. Затем программа сравнивает объем операций, проходящих по банковскому счету, с имеющейся базой данных и выявляет клиентов, требующих более пристального внимания. Второй метод, нашедший широкое применение, заключается в информации банков о всех выпущенных чеках. Фальшивые чеки не проходят через сито такой проверки.
   С 1998 года Ассоциация американских банкиров и Секретариат банковских технологий создали и финансируют программу учета потерь по 12 категориям, отвечающим стандартам этих организаций. Входящие в эту программу банки ежеквартально обмениваются информацией о потерях, а также опытом выявления мошенников. Примером может служить информация, распространенная на одной из таких конференций, рассказывающая о системе, расположенной у кассира, которая с помощью ультрафиолетовых лучей может определить фальшивые удостоверения личности (в случае США - фальшивые водительские права).
   По данным Ассоциации американских банкиров банки, участвующие в описанной выше программе, уменьшили количество случаев мошенничеств с фальшивыми чеками на 3 %. В то время, как во всем банковском секторе это количество возросло на 1 %. Большие банки с активами более чем 5 миллиардов долларов смогли предотвратить 80 % попыток мошенничества с фальшивыми чеками и снизить свои потери от мошенничества почти наполовину.
   Но мошенники не успокоились, а выбрали другую жертву. Ей оказались банки с активами менее чем 5 миллиардов долларов. Там количество случаев мошенничеств с фальшивыми чеками за тот же период удвоилось. Мошенники также изменили тактику, теперь они используют большее количество фальшивых чеков, выписанных на меньшую сумму (меньше 1000 долларов), чтобы не привлекать внимание банков.
   Одним из инструментов выявления мошенничества является программное обеспечение. Сейчас разработчики, понимая спрос на дешевую продукцию со стороны малых банков, предлагают новые системы. Описанная выше программа "Фродлинк" сейчас уже предлагается для персональных компьютеров по ценам, которые могут выдержать малые банки. Планируется предоставить услуги по использованию программы "Фродлинк" через Интернет за небольшую плату.
   Что касается обмена информацией, то у малых банков имеются трудности. Они не в состоянии выявить мошенничества во всех его формах. А не обладающие информацией банки не принимают в организации банков, которым есть что предложить своим партнерам. Малые банки часто не могут получить ясную картину мошенничества с фальшивыми чеками в своих банках. А программное обеспечение, способное выявить случаи мошенничества, может стоить им несколько миллионов долларов. Отсутствие механизма выявления не дает возможности исполнителям убедить высшее руководство, что борьба с мошенничеством стоит инвестиций.
   Исполнители малых банков должны начать работу, чтобы убедить руководство в необходимости инвестиций в борьбу с мошенничеством. Для этого можно использовать основную базу данных и офисное программное обеспечение с таблицами, отслеживая объемы потерь от мошенничества различных категорий, которые включают фальшивые чеки, подделанные подписи, мошенничества с платежными дебетовыми картами и т. д. Это требует много работы, но информация доступна любому, кто хочет ее получить. Для типичного малого банка результаты начнут появляться после года отслеживания потерь. Тогда будет доказательная база, что инвестиции в борьбу с мошенничеством окупаются. Обычно при правильном выборе программного обеспечения инвестиции окупаются в течение трех - шести месяцев.
   Американская Ассоциация Банкиров считает хищение удостоверений личности большой угрозой банкам. Похищенные удостоверения личности позволяют мошенникам открывать счета в банках и проводить по ним фальшивые чеки. По мнению мошенников, похищенные удостоверения личности лучшая маскировка, чем поддельная подпись и другие средства маскировки. По данным Федеральной торговой комиссия в США в 2002 году произошло 162000 хищений удостоверений личности, т.е. в два раза больше чем в предыдущем году. Банки не получают никакой информации об этих хищениях и несут финансовые потери.
   Одним из действенных средств проверки новых клиентов у банков стала база данных документов, которые обычно не хранят в бумажнике, и риск утери или хищения которых минимален. Банки могут потребовать у нового клиента старые адреса проживания, доказательства уплаты по закладным и т.п. Отсутствие правильных ответов компрометирует нового клиента.
   Сейчас банки стремятся получить доступ к другим базам данных, например к номерам социального обеспечения. Сегодня американский банк имеет право доступа к этим номерам только при проверке нового служащего, но не клиента. Вторая идея банков создать независимое агентство, которое при получении заявления от потерпевшего об утрате удостоверения личности, информировало бы об этом полицию, банки, кредитные бюро, компании, выпускающие платежные карточки, провайдеров сотовых телефонов, поставщиков и так далее.
   Как было написано выше, увеличивается количество случаев мошенничества с использованием электронных сделок. Как правило, электронные сделки хорошо защищены от мошенничества, но каждое новшество в платежах открывает дверь новым способам мошенничества. Фактически, мошенничество с фальшивыми чеками сегодня можно классифицировать как "мошенничество с депозитными счетами", чтобы включить в классификацию новые формы преступления, появившиеся вместе со сделками, которые проходят через автоматизированные расчеты и другие электронные операции.
   Но, оказывается, электронные документы не обладают качествами, которые можно проверить человеческими органами чувств: они не несут, например, специальную окраску, не имеют рельефной печати, или даже не пахнут. Т.е. не обладают тем, что помогает персоналу банка выявлять мошенничество. Взамен персонал банка получает, например, штрих код, где закодированы имена владельца счета, получателя платежа, сумма платежа и номер счета.
   Расшифровывая информацию, банки могут подтвердить подлинность владельца банковского счета, как создателя документа, и также доказать, что информация в документе не была изменена. Штрих-код легко считывается быстрее, чем обычный документ. Фальшивые платежные карты, предъявленные в пунктах продаж, достаточно сложно выявить органами чувств, так как они немедленно возвращаются потребителям и исчезают из потока документов.
   В настоящее время трудно говорить об этом виде мошенничества из за недостатка собранной информации. Случаи неправомочных платежей бывают в пунктах продаж, во время передачи платежных поручений по телефону и электронной почтой, в сети Интернет и т.п. Выявленная в 2001 году в США сумма неправомочных электронных платежей составила 0,02 % от всех электронных платежей.
   Сегодняшнее американское банковское законодательство дает право потребителю опротестовать оплату чеком только в течение 48 часов. В случае электронного платежа потребитель получает уже 60 дней. Вот почему сейчас банки принялись усиленно изучать эту проблему и ставить заслоны во всех пунктах прохождения платежа. Но одно остается неизменным, надо хорошо знать своего клиента. Установив контакты с торговой сетью, банки стремятся установить там то же правило.
 Ваша оценка:
Связаться с программистом сайта.

Новые книги авторов СИ, вышедшие из печати:
О.Болдырева "Крадуш. Чужие души" М.Николаев "Вторжение на Землю"

Как попасть в этoт список
Сайт - "Художники" .. || .. Доска об'явлений "Книги"