Защита от внутреннего мошеничества с платежными картами в банках Текст научной статьи по специальности «Экономика и бизнес»

Л ^ Î.sis^*

УДК 336.71:004.056

ЗАЩИТА ОТ ВНУТРЕННЕГО МОШЕНИЧЕСТВА С ПЛАТЕЖНЫМИ КАРТАМИ В БАНКАХ

PROTECTION FROM INTERNAL FRAUD WITH PAYMENT CARDS IN BANKS

© Голиков Сергей Евгеньевич

Sergey E. Golikov

доцент кафедры информационной безопасности, Севастопольский государственный университет (г. Севастополь).

Associate Professor of the Department of Information Security Sevastopol State University (Sevastopol).

И kcl@mail.ru

Аннотация. В статье рассматриваются причины сложностей по раскрытию внутреннего мошенничества сотрудников финансовых учреждений, описан психологический профиль мошенника. Приведена классификация наиболее распространённых методов внутреннего мошенничества и дано их краткое описание. Показано, что для борьбы с факторами внутреннего мошенничества по платёжным картам необходимо наладить процедуры надлежащего внутреннего контроля. На основании вышеизложенного, определены наиболее действенные меры внутреннего контроля.

Ключевые слова: внутреннее мошенничество, методы внутреннего мошенничества, внутренний контроль, комплаенс.

Введение

Несмотря на то, что банки уверяют своих клиентов в надёжности и безопасности использования пластиковых карт, мошенники находят новые способы незаконного списания средств [1]. По статистике МВД России, число случаев мошенничества с использованием платёжных карт в России увеличилось в 2019 году на 280% по сравнению с аналогичным периодом 2018 года. Общее количество преступлений с использованием платёжных карт составило более 16 тысяч. Каждый год с банковских карт воруют более 1 миллиарда рублей.

В первой половине 2019 года зарегистрировано 6613 уголовных дел о мошенничестве, связанных с электронными платежами (статья 159.3 УК РФ), что в 8 раз больше по сравнению с аналогичным периодом 2018-го. Также, в первой половине 2019 года на 28% увеличилось число зарегистрированных преступлений (до 4441) по статье о мошенничестве при получении выплат [2].

Однако, крупные хищения происходят при непосредственном участии банковских сотрудников, то есть тех людей, которым доверяют.

Abstract. The article discusses the causes of difficulties in disclosing internal fraud of employees of financial institutions, describes the psychological profile of the fraudster. The classification of the most common methods of internal fraud and a brief description are given. It is shown, that in order to combat the factors of internal fraud on payment cards, it is necessary to establish procedures for proper internal control. Based on the foregoing, the most effective internal control measures have been identified.

Key words: internal fraud, methods of internal fraud, internal control, compliance.

Именно наличие доверия даёт им возможность совершать противоправные действия.

Как правило, внутреннее мошенничество в банковских учреждениях является закрытой темой. Этому способствует несколько причин:

- обращения в правоохранительные органы способствует росту репутационных рисков банковского учреждения;

- разочарование в результатах расследования;

- угроза привлечения руководителей за халатность.

Кроме хищений собственными силами, сотрудники часто становятся причастными к организации кибератак на финансовые учреждения. Около 40% кибератак на банки происходит при осознанном или неосознанном содействии сотрудников, поскольку подобные атаки требуют хорошего знания информационных продуктов и бизнес-процессов [3].

Психологический профиль мошенника

Внутренним «врагом» может стать практически любой сотрудник. Как правило, профиль мошенника имеет две основные составляющие:

- продолжительная работа в учреждении;

Н

гаучно-практический журнал. ISSN 2587-8042

9

- отличное знание процедур и недостатков комплаенс-контроля1.

К факторам риска можно отнести:

- лёгкий доступ к ресурсам банковского учреждения, неэффективность внутреннего комплаенс-контроля;

- интенсивный график работы и сильный стресс;

- низкий уровень компенсаторных механизмов;

- наличие разочарований в работе;

- большая рабочая нагрузка, длительное отсутствие отпуска.

К признакам, по которым финансовую организацию можно отнести к зоне риска относятся:

- наличие некачественного менеджмента;

- отсутствие или слабые механизмы контроля;

- высокая текучесть кадров;

- отсутствие корпоративной культуры;

- слабая система коммуникаций между уровнями.

Треугольник мошенничества

Треугольник мошенничества представляет собой наглядную модель взаимосвязи факторов, определяющих, в конечном итоге, совершит ли тот или иной сотрудник компании, мошеннические действия [4].

Рис. 1. Треугольник мошенничества

1 Официальные акты Российской Федерации не содержат определения данной функции. Единственный документ, где встречалось упоминание термина, - Указание Банка России № 03-У от 07.07.1999 г. «О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях» (утратил силу в 2004 году): «Комплаенс-контроль - внутренний контроль за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитной организации, осуществляемый в соответствии с настоящим Указанием. Ком-плаенс-контроль является частью системы внутреннего контроля кредитной организации.

Любое мошенничество содержит три элемента, представленные сторонами треугольника (рис. 1):

1. Мотив - некое побуждение к действию. К факторам давления, побуждающих совершить противоправное действие можно отнести:

- финансовые проблемы;

- нереалистичные цели, поставленные организацией;

- наличие долговых обязательств;

- давление образа жизни.

2. Возможность. Сюда относятся:

- отсутствие чётких ограничений в правилах;

- слабый/недостаточный внутренний контроль;

- наличие индивидуальных особенностей: хорошие операционные знания и т. п.

3. Обоснование. Каждый мошенник, понимая, что совершает неприглядное дело, должен найти для себя причину, почему совершаемый им негативный поступок на самом деле является «хорошим». К наиболее распространённым самооправданиям можно отнести:

- все это делают;

- я не получаю компенсацию за сверхурочную работу;

- я это сделал, чтобы показать недостатки внутреннего контроля;

- я не получил повышения и т. п.

Методы внутреннего мошенничества в сфере бизнеса платёжных карт

Рассмотрим наиболее известные методы внутреннего мошенничества с платёжными картами (рис. 2).

Утечка информации, которая позволяет выпустить поддельные карты. Внутренние злоумышленники имеют доступ к конфиденциальной информации. Утечки информации могут быть умышленными или неумышленными. Умышленные (злонамеренные) утечки - случаи утечки информации, когда пользователь, работающий с информацией, знал или предполагал возможные негативные последствия своих действий, был предупреждён об ответственности, однако, в нарушение установленных правил работы с информацией, он совершил поступок,

Рис. 2. Методы внутреннего мошенничества в сфере бизнеса платёжных карт

повлёкший утрату контроля над информацией и нарушение конфиденциальности информации. Неумышленные (случайные) утечки - к таковым относятся случаи утечки информации, когда пользователь не знал и не предполагал наступления возможных негативных последствий, не был предупреждён об ответственности.

Утечка информации возможна в банке-эмитенте, в банке, обслуживающем торгово-сер-висную сеть, в торгово-сервисной сети, непосредственно держателями карт, в процессинговых центрах, у провайдеров платёжных систем.

Изготовление дубликатов платёжных карточек. Мошенники изготавливают «болванки» - поддельные карты, на которые наносят информацию с оригинальной карты. Для предотвращения данного вида мошенничества необходимо разделить процессы движения между структурными подразделениями собственно карт и ПИН-кодов, осуществлять выдачу ПИН-кодов и платёжных карт разными сотрудниками, осуществлять непрерывное видеонаблюдение за работой менеджеров по обслуживанию клиентов.

Похищение средств с карты до момента её выдачи клиенту. Перед выдачей карты клиенту мошенники списывают имеющиеся на ней средства. Имитируется операция с последующим отображением в автоматизированной банковской системе через счета незавершённых расходов. Данный вид мошенничества возможен при отсутствии надлежащих процедур банковского контроля, отсутствия автоматической выверки авторизованных и возмещённых средств.

«Двойная прокатка» кассиром банка. Тип мошенничества, характеризуемый тем, что сотрудник, принимающий карту для расчёта от подлинного держателя карты и использующий для проведения транзакции механическое устройство (импринтер) и бумажный носитель информации о карте (слип), осуществляет незаконную многократную прокатку карты с получением дополнительных копий слипов, используемых в дальнейшем в мошеннических целях.

Фишинг - получение реквизитов карты или данных для входа в мобильный (интернет) банк с целью хищения денежных средств. От имени банковской организации могут быть присланы сообщения об изменении аутенти-фикационных данных. Ставшие известные сотрудникам банковского учреждения конфиденциальные данные клиентов (контрольная фраза, ПИН-код, QR-код и т. п.), могут быть использованы для совершения мошеннических действий.

Списание средств со «<спящих» счетов - злоумышленники находят счета, по которым длительное время не проводились операции, затем, по подложным документам снимают с них деньги.

Списание незначительных сумм со счетов клиентов - снятие небольших сумм со счетов клиентов в надежде, что пропажу не заметят.

Отправка в авторизационный центр данных на пополнение карточного счёта -сотрудники отправляют поддельные данные на пополнение. Данный вид мошенничества возможен в случае отсутствия надлежащего контроля за остатками на карточных счетах, имеющейся возможности корректировки платёжных файлов и удаления после обработки в процессин-говой системе, совмещение одним сотрудником функций по формированию и обработке файла с платежами.

Несанкционированное изменение авторизационного лимита или установление кредитного лимита осуществляется сотрудниками финансового учреждения вследствие наличия неконтролируемого доступа к авторизационным базам, функциям разблокировки сумм по авторизованным операциям. Проводится несанкционированная корректировка кредитного лимита или остатка по карточному счёту в авторизационной системе. Разблокировка сумм позволяет проведение операций на дополнительные суммы.

Использование счетов незавершённых расходов для учёта операций по платёжным картам. Проблемы по данному вопросу существуют у большинства финансовых учреждений. Предоставить расшифровку сумм по данным счетам достаточно проблематично. Часто при «разборе» данных счетов обнаруживают значительное число операций, по которым не произошло возмещения средств вследствие технологических сбоев, нарушения сроков расчётов. При данном виде мошенничества потери несёт финансовое учреждение.

Для снижения количества данного вида мошеннических операций необходимо настроить синхронность технологических процедур, которая бы обеспечивала контроль за своевременным завершением расчётов и формированием соответствующих отчётов, внедрение регламентных процедур, выводящих состояние счетов незавершённых расходов на нулевой остаток, формирование автоматических уведомлений в разрезе аналитических счетов, реестров операций, по которым своевременно не завершены расчёты. В дальнейшем поводится выяснение сумм несоответствия, обращение к платёжной системе, отнесение выявленных сумм на соответствующие балансовые счета. В качестве дополнительной меры контроля может использоваться визуально-аналитический метод анализа роста дебетовых остатков счетов незавершённых расходов.

Организация внутреннего контроля

С целью снижения рисков в области внутреннего мошенничества по платёжным картам важно наладить процедуры надлежащего внутреннего контроля. Целью внутреннего контроля является обеспечение:

- эффективной деятельности финансового учреждения на карточном рынке;

1аучно-практический журнал. ISSN 2587-8042

11

Ä л Tl

Меры внутреннего контроля

Таблица 1

Профилактические Выявляющие

Предотвращение ошибок или отклонений Выявление ошибок или отклонений после появления

Процедуры аутентификации Отчёт об отклонениях

Политики и правила безопасности, правила поведения

Распределение обязанностей, контроль доступа Сверки, инвентаризация

Согласование Регулярный аудит

- стратегической политики банка на карточном рынке;

- защиты активов банка и клиентов;

- полноты и достоверности учётной информации.

Меры контроля делятся на выявляющие и профилактические. В таблице 1 приведён список мер внутреннего контроля, которые необходимо использовать для организации надлежащей защиты и предотвращения внутреннего мошенничества с платёжными картами.

Заключение

Несмотря на постоянное улучшение технологий, используемых при изготовлении и эксплуатации платёжных карт, уровень внутреннего мошенничества в первую очередь зависит от организационных, технологических

и технических мероприятии, направленных на повышение комплаенс-контроля при работе с платёжными картами. Эффективными мерами профилактики является разработка политики противодействия внутреннему мошенничеству, системы мер по предупреждению, выявлению и реагированию на факты мошенничества.

В общем случае система противодействия внутреннему мошенничеству должна состоять из нескольких линий защиты:

1. Правила поведения сотрудников и политики противодействия внутреннему мошенничеству, формирование позиции нетерпимости к мошенничеству, обучение сотрудников.

2. Надёжная система внутреннего контроля.

3. Внутренний аудит и внутренняя безопасность.

Материалы поступили в редакцию 09.03.2020 г.

Библиографический список (References)

1. Мошенничество с банковскими картами [Электронный ресурс] // Много кредитов : портал. - URL: https:// mnogo-kreditov.ru/bankovskie-karty/ moshennichestvo-s-bankovskimi-kartami. html (дата обращения: 09.03.2020).

2. Мошенничество с банковскими картами [Электронный ресурс] // Государство. Бизнес. ИТ : сайт. - URL: http://www.tadviser.ru/index.php/ Статья:Мошенничество_с_банков-скими_картами (дата обращения: 09.03.2020).

3. Пономарёва, А. Классический способ - хищение со «спящего» депозита [Электронный ресурс] / А. Пономарёва // Банки.ру : сайт. - URL: https://www. banki.ru/news/daytheme/?id=i0735805 (дата обращения: 09.03.2020).

4. Ефремов, С. Психология корпоративного мошенничества [Электронный ресурс] / С. Ефремов // Юридическая психология : сайт. - URL: http://yurpsy. com/files/fakt/325.htm (дата обращения: 09.03.2020).

1. (2020). Moshennichestvo s bankovskimi kartami [Fraud with Bank cards]. URL: https://mnogo-kreditov.ru/bankovskie-karty/moshennichestvo-s-bankovskimi-kartami.html (accessed 09 March, 2020).

2. (2020). Moshennichestvo s bankovskimi kartami [Fraud with Bank cards]. URL: http://www. tadviser.ru/index.php/Stat'ja:Moshennichestvo_s_ bankovskimi_kartami (accessed 09 March, 2020).

3. Ponomarjova, A. (2018). Klassicheskij sposob - hishhenie so «spjashhego» depozita [The Classic way-theft from a «sleeping» Deposit]. URL: https:// www.banki.ru/news/daytheme/?id=i0735805 (accessed 09 March, 2020).

4. Efremov, S. (2020). Psihologija korporativnogo moshennichestva [Psychology of corporate fraud]. URL: http: //yurpsy.com/files/fakt/325.htm (accessed 09 March, 2020).