Можно ли привлечь банк к ответственности, если созданное им приложение используется мошенниками?

Мошенники научились выводить деньги через легальные приложения

Можно ли привлечь банк к ответственности, если созданное им приложение используется мошенниками?

Жертвами нового вида цифрового мошенничества стали люди, использующие приложения для мобильного банкинга. Владельцев смартфонов под разными предлогами убеждают поставить приложение, представляющее собой легальную программу для делегирования доступа TeamViewer.

Ее, например, используют сисадмины, чтобы дистанционно установить ПО на компьютерах пользователей. А злоумышленник звонит от имени банка, сообщает, что со счетов клиента кто-то пытается вывести деньги (перед этим даже может прийти фейковое сообщение о снятии).

Якобы от службы безопасности банка пользователя просят помочь решить техническую проблему, чтобы помешать мошенникам, – и срочно поставить TeamViewer. Если владелец смартфона послушается, мошенник сможет действовать от его имени и вывести деньги через мобильный банк.

Вот уже полгода ежемесячно система Secure Bank в среднем фиксирует более 1000 попыток вывода средств со счетов физлиц с помощью программ удаленного доступа, сообщили в Group-IB.

Пик пришелся на весну 2019 года: в апреле и мае в компанию начали поступать массовые запросы от банков. Активность с небольшим спадом продолжилась летом, второй пик был в июле.

Фиксировать подозрительные действия оказалось трудно, поскольку пользователь мобильного приложения банка сам соглашается установить программу делегирования доступа к смартфону, а потом отличить его действия от действий мошенника достаточно сложно.

Однако только в одном банке удалось предотвратить ущерб на сумму 16 миллионов рублей за 2 месяца. Среднемесячная сумма ущерба с использованием программ удаленного доступа для крупного банка может составлять от 6 до 10 миллионов рублей.

Банковскому сектору нужны специалисты в цифровых технологиях

– Единственный вариант обнаружить эту схему – фиксировать установку программы для удаленного управления на смартфоне и осуществлять поведенческий анализ на протяжении всей пользовательской сессии, – отмечает руководитель направления по развитию продукта Group-IB SecureBank Павел Крылов. – “Умные” технологии защиты клиента в каналах дистанционного банковского обслуживания умеют создавать его профиль, основанный на поведенческих характеристиках. Сам факт появления ПО для удаленного доступа, особенно если раньше оно клиентом не использовалось, уже фактор риска. Мы отслеживаем такие действия, а анализ дальнейшей работы пользователя позволяет понять, совпадает ли его поведение с обычным поведением его профиля. Если нет, активность считается подозрительной и действия мошенника блокируются банком.

“Мы практически не фиксируем подобных атак на наших клиентов в последние месяцы”, – уточнили “РГ” в банке ВТБ. Вице-президент и директор по безопасности Почта Банка Станислав Павлунин также отмечает, что в банке сталкивались с единичными случаями такого мошенничества.

Мошенники постоянно совершенствуют сценарии: звонки “аналитиков банка”, переписка в соцсетях с “банком” – каждую неделю появляются новые схемы

– Многоуровневая антифрод-система банка успешно противодействует таким атакам, но важно, чтобы сами потребители были бдительными и не позволяли устанавливать на смартфон или компьютер сомнительные программы, – указал Станислав Павлунин.

Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов рассказал, что мошенники постоянно совершенствуют подходы и сценарии: установка TeamViewer и подобных программ, звонки “аналитиков банка”, переписка в соцсетях с “банком”.

Каждую неделю банк видит новые схемы, но все их можно разделить на три типа.

Первый тип – целенаправленная социальная инженерия, когда у мошенников есть как минимум контактные данные клиента, и они адресно выманивают данные для входа в интернет-банк у самого же клиента, представляясь, например, работником службы безопасности банка. Применяется и широковещательная социальная инженерия – прозвон базы номеров или отправка сообщений о проблемах с картой и требование перезвонить.

Среднемесячная сумма ущерба с использованием программ удаленного доступа для крупного банка может доходить до 10 миллионов рублей

– Как правило, звонки от банка – это предложение продуктов и услуг. Банки не просят данные, которые у них и так есть: номер карты, счета, срок действия карты и так далее.

Пин-код вообще никто никогда не запрашивает – это конфиденциальная информация, – подчеркнул Касимов. – Банки не звонят, чтобы провести операцию или отменить ее или чтобы сказать, что со счетами клиента происходит что-то подозрительное.

Единственное исключение: когда клиент совершил транзакцию, ему может позвонить специалист банка, который знает все об этой операции.

Универсальный способ защиты от телефонных мошенников, убеждающих клиента установить программу удаленного доступа, сообщить одноразовый пароль или просто что-то выведать, – при любом звонке из банка положить трубку и перезвонить самостоятельно по банковскому телефону, указанному на карте.

Рынку не хватает комплексных блокчейн-решений

Еще одна распространенная схема – заражение устройства клиента или побуждение его к установке приложения, похожего на мобильный банк.

Здесь все куда более технологично: вирус может как подменять страницы входа и оплаты, так и модифицировать платежи, отправляя их через серверы мошенников в банки.

Приложения настроены так, что деньги нельзя перевести никуда, кроме счета злоумышленника. Чтобы избежать этого, нужно своевременно обновлять операционную систему на всех устройствах.

Еще один сценарий – мошенничество через фишинговые сайты или приложения. Нелегитимные ресурсы похожи на оригинальные. При вводе данных карты в интернете следует внимательно проверять ссылку в адресной строке браузера, стараться использовать проверенные интернет-магазины и сервисы и не устанавливать подозрительных приложений.

Источник: https://rg.ru/2019/10/08/moshenniki-nauchilis-vyvodit-dengi-cherez-legalnye-prilozheniia.html

Пленум о мошенничестве присвоении и растрате гарант

Можно ли привлечь банк к ответственности, если созданное им приложение используется мошенниками?

Кругликова О. Методика выявления и расследования мошенничеств, совершенных в сфере потребительского кредитования: учебно-методическое пособие. О судебной практике по делам о мошенничестве, присвоении и растрате: постановление Пленума Верховного Суда РФ от 27 декабря г. Орликов О. Обманутый банк или неудачная попытка привлечь по ст.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь в форму онлайн-консультанта справа или звоните по телефонам, представленным на сайте. Это быстро и бесплатно!

  • Мониторинг от 9 декабря 2017 года
  • Постановления и определения судебных органов
  • Особенности рассмотрения уголовных дел в отношении предпринимателей: разъяснения ВС РФ
  • Ваш IP-адрес заблокирован.
  • Пленум о присвоении и растрате консультант
  • Пленум вс о мошенничестве гарант
  • Гарант пленум о краже
  • Статья за присвоение чужого имущества
  • Пленум о карже мошенничестве
  • Пленум о мошенничестве присвоении и растрате гарант

ПОСМОТРИТЕ ВИДЕО ПО ТЕМЕ: Пленум Верховного Суда РФ о заключении и толковании договора

Мониторинг от 9 декабря 2017 года

От мошенничества следует отличать причинение имущественного ущерба путем обмана или злоупотребления доверием при отсутствии признаков хищения статья УК РФ.

Пленум ВС РФ дал новые разъяснения по делам о мошенничестве, присвоении и растрате В последнем случае отсутствуют в своей совокупности или отдельно такие обязательные признаки мошенничества, как противоправное, совершенное с корыстной целью безвозмездное окончательное изъятие и или обращение чужого имущества в пользу виновного или пользу других лиц.

При решении вопроса о том, имеется ли в действиях лица состав преступления, ответственность за которое предусмотрена статьей УК РФ, суду необходимо установить, причинен ли собственнику или иному владельцу имущества реальный материальный ущерб либо ущерб в виде упущенной выгоды, то есть неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено путем обмана или злоупотребления доверием.

Обман или злоупотребление доверием в целях получения незаконной выгоды имущественного характера может выражаться, например, в представлении лицом поддельных документов, освобождающих от уплаты установленных законодательством платежей кроме указанных в статьях , и УК РФ или от платы за коммунальные услуги, в несанкционированном подключении к энергосетям, создающим возможность неучтенного потребления электроэнергии или эксплуатации в личных целях вверенного этому лицу транспорта.

В случаях, когда обман используется лицом для облегчения доступа к чужому имуществу, в ходе изъятия которого его действия обнаруживаются собственником или иным владельцем этого имущества либо другими лицами, однако лицо, сознавая это, продолжает совершать незаконное изъятие имущества или его удержание против воли владельца имущества, содеянное следует квалифицировать как грабеж например, когда лицо просит у владельца мобильный телефон для временного использования, а затем скрывается с похищенным телефоном.

Противоправное безвозмездное обращение имущества, вверенного лицу, в свою пользу или пользу других лиц, причинившее ущерб собственнику или иному законному владельцу этого имущества, должно квалифицироваться судами как присвоение или растрата, при условии, что похищенное имущество находилось в правомерном владении либо ведении этого лица, которое в силу должностного или иного служебного положения, договора либо специального поручения осуществляло полномочия по распоряжению, управлению, доставке, пользованию или хранению в отношении чужого имущества.

Удивительно, но факт! Разрешая вопрос о наличии в деянии состава хищения в форме присвоения или растраты, суд должен установить обстоятельства, подтверждающие, что умыслом лица охватывался противоправный, безвозмездный характер действий, совершаемых с целью обратить вверенное ему имущество в свою пользу или пользу других лиц.

Решая вопрос об отграничении составов присвоения или растраты от кражи, суды должны установить наличие у лица вышеуказанных полномочий. Совершение тайного хищения чужого имущества лицом, не обладающим такими полномочиями, но имеющим доступ к похищенному имуществу в силу выполняемой работы или иных обстоятельств, должно быть квалифицировано по статье УК РФ.

При рассмотрении дел о преступлениях, предусмотренных статьей УК РФ, судам следует иметь в виду, что присвоение состоит в безвозмездном, совершенном с корыстной целью, противоправном обращении лицом вверенного ему имущества в свою пользу против воли собственника.

Бесплатная консультация юриста Присвоение считается оконченным преступлением с того момента, когда законное владение вверенным лицу имуществом стало противоправным и это лицо начало совершать действия, направленные на обращение указанного имущества в свою пользу например, с момента, когда лицо путем подлога скрывает наличие у него вверенного имущества, или с момента неисполнения обязанности лица поместить на банковский счет собственника вверенные этому лицу денежные средства.

Как растрата должны квалифицироваться противоправные действия лица, которое в корыстных целях истратило вверенное ему имущество против воли собственника путем потребления этого имущества, его расходования или передачи другим лицам.

Растрату следует считать оконченным преступлением с момента противоправного издержания вверенного имущества его потребления, израсходования или отчуждения. Указанные действия охватываются частью 1 статьи УК РФ, если в содеянном не содержится иных квалифицирующих признаков, предусмотренных этой статьей.

Действия организаторов, подстрекателей и пособников мошенничества, присвоения или растраты, заведомо для них совершенных лицом с использованием своего служебного положения, квалифицируются по соответствующей части статьи 33 УК РФ и по части 3 статьи , части 3 статьи Определяя стоимость имущества, похищенного в результате мошенничества, присвоения или растраты, следует исходить из его фактической стоимости на момент совершения преступления.

Хищение лицом чужого имущества или приобретение права на него путем обмана или злоупотребления доверием, совершенные с использованием изготовленного другим лицом поддельного официального документа, полностью охватывается составом мошенничества и не требует дополнительной квалификации по статье УК РФ.

При отсутствии сведений о стоимости похищенного имущества она может быть установлена на основании заключения специалиста или эксперта. При установлении размера похищенного в результате мошенничества, присвоения или растраты судам надлежит иметь в виду, что хищение имущества с одновременной заменой его менее ценным квалифицируется как хищение в размере стоимости изъятого имущества.

Хищение лицом чужого имущества или приобретение права на него путем обмана или злоупотребления доверием, совершенные с использованием изготовленного другим лицом поддельного официального документа: Если виновным указанные документы были предварительно похищены, то его действия должны быть дополнительно квалифицированы: По смыслу указанной нормы уголовного закона в ее взаимосвязи с прим.

Те обстоятельства, что данное помещение не соответствует санитарным, техническим и иным нормам, непригодно для проживания, на квалификацию содеянного не влияют.

В случаях создания коммерческой организации без намерения фактически осуществлять предпринимательскую или банковскую деятельность, имеющего целью хищение чужого имущества или приобретение права на него, содеянное полностью охватывается составом мошенничества.

Указанные деяния следует дополнительно квалифицировать по статье УК РФ как лжепредпринимательство только в случаях реальной совокупности названных преступлений, когда лицо получает также иную, не связанную с хищением, имущественную выгоду например, когда лжепредприятие создано лицом не только для совершения хищений чужого имущества, но и в целях освобождения от налогов или прикрытия запрещенной деятельности, если в результате указанных действий, не связанных с хищением чужого имущества, был причинен крупный ущерб гражданам, организациям или государству, предусмотренный статьей УК РФ.

Если лицо осуществляет незаконную предпринимательскую деятельность путем изготовления и реализации фальсифицированных товаров, например спиртсодержащих напитков, лекарств, под видом подлинных, обманывая потребителей данной продукции относительно качества и иных характеристик товара, влияющих на его стоимость, содеянное образует состав мошенничества и дополнительной квалификации по статье УК РФ не требует.

Источник: https://a1videoproduction.com/semeynoe-pravo/plenum-o-moshennichestve-prisvoenii-i-rastrate-garant.php

Борьба за права. Что делать банкам с модифицированным Android

Можно ли привлечь банк к ответственности, если созданное им приложение используется мошенниками?

Все больше финансовых организаций выпускают приложения для мобильной платформы Android и реализуют возможность облачной бесконтактной оплаты. При этом многие пользователи обладают смартфонами с полным доступом к системе. Перед банками встает вопрос, давать ли клиентам с такой«дырой» в безопасности доступ к своим сервисам.

Наличие прав суперпользователя (root) дает возможность копирования и изменения системных данных. Изначально владелец смартфона ими, как правило, не обладает — устройство продается с заводской прошивкой, в которой права пользователя ограничены. Однако есть ряд факторов, повышающих долю использования root. Во-первых, растет техническая грамотность пользователей, и им интересно получить расширенные возможности. Во-вторых, появляются сторонние модифицированные версии систем, такие как CyanogenMod. В условиях, когда производители часто прекращают выпуск обновлений для своих смартфонов, установка такой системы может стать единственным способом получения новых современных функций Android. В-третьих, производители некоторых смартфонов изначально дают возможность получения root-прав в системе. С учетом роста популярности недорогих китайских смартфонов в России, таких становится все больше.   Банки и другие финансовые сервисы по-разному реагируют на проблему наличия прав суперпользователя. Некоторые, такие как Банк Москвы в приложении «Мой проездной», вовсе запрещают доступ в этом случае. Другие, такие как Сбербанк, ограничивают набор доступных функций только транзакциями по созданным в интернет-банке шаблонам. «Работа с такой прошивкой существенно повышает вероятность мошенничества через вирусы. Антивирус, который входит в “Сбербанк Онлайн”, как и любое другое приложение, установленное на Android с root-прошивкой, не имеет полного контроля над смартфоном. Именно поэтому для телефонов Android с такой прошивкой мы ограничиваем проведение операций — мы сталкиваемся с ограничением системы, которое не позволяет антивирусу корректно проводить поиск и удаление вирусов», — пояснили FutureBanking в Сбербанке.   Отдельно можно выделить сервисы, позволяющие производить бесконтактную оплату с помощью смартфона по облачной технологии HCE. Приложение Visa QIWI Wallet, недавно получившее такую функцию, не дает возможности выпуска облачной карты в среде root. Приложение «Кошелек», разработанное CardsMobile, функционирует, но предупреждает пользователя, что в среде root он делает все на свой страх и риск.   «Проблема с облачными картами в том, что при наличии достаточной квалификации и сильно модифицированной ОС есть возможность сделать временный дубликат EMV-карты, — говорит Кирилл Горыня, генеральный директор компании CardsMobile. — Root — это первый шаг на пути маскировки действий злоумышленников по модификации операционной системы. Мы добавляем реакцию приложения на root  по двум причинам. Во-первых, это требование международных платежных систем. Во-вторых, потому что руководствуемся здравым смыслом, и действительно делаем все возможное для обеспечения безопасности пользователя. Да, облачная технология МasterСard прекрасно работает в незащищенной «рутованой» среде Android, и поэтому мы не запрещаем работу приложения при наличии root-доступа. Но! На момент выпуска банковской карты в свой телефон пользователь должен точно осознавать, что root на его устройстве — его осознанное и актуальное желание. Он понимает как это работает, и какие возможности у приложений от этого появляются. Есть достаточно кулибиных, которые год назад “ради интереса рутанули телефон”, не поняли толком, что сделали, наигрались с каким-нибудь Xposed, бросили и забыли. А root никуда не делся. И вот таким пользователям полезно еще раз напомнить, что root, хоть и не «открытая дверь» ко всем данным в мобильном устройстве, но возможностей для злонамеренных манипуляций он открывает на порядок больше».  

Перенос ответственности на пользователя в случае наличия у него модифицированной прошивки все более активно используется. 28 августа Альфа-Банк внес изменения в свой «Договор о комплексном банковском обслуживании физических лиц», добавив в него два пункта, касающихся наличия расширенных прав доступа к системе.

Банк обязывает клиента не подвергать программное обеспечение и/или мобильное устройство, с использованием которых осуществляется доступ к услугам дистанционного обслуживания, модификациям, нарушающим пользовательское соглашение, заключенное между клиентом и производителем программного обеспечения и/или мобильного устройства.

Кроме того, в договоре сказано, что «клиент несет ответственность за все операции, проводимые клиентом и/или третьими лицами с ведома или без ведома клиента при использовании услуг «Альфа-Мобайл», «Альфа-Мобайл-Лайт», «Альфа-Чек», «Альфа-Диалог», Интернет Банка «Альфа-Клик», Телефонного центра «Альфа-Консультант», в том числе в случае если программное обеспечение и/или Мобильное устройство Клиента, с использованием которых осуществляется доступ к данным услугам, были подвержены модификациям, нарушающим пользовательское соглашение, заключенное между клиентом и производителем программного обеспечения и/или мобильного устройства, а также в случае если на мобильном устройстве был активирован режим для разработчиков».

  Юристы Альфа-Банка пояснили FutureBanking нововведения следующим образом: «Внесенные изменения направлены на снижение риска совершения мошеннических операций, и как следствие, необоснованного списания денежных средств со счетов клиента, при получении клиентом услуг дистанционного банковского обслуживания посредством программного обеспечения и/или мобильного устройства. Указанные в п.15.8 Договора случаи, при которых Клиент несет ответственность, включают в себя случаи использования модифицированного программного обеспечения и/или мобильного устройства».   Зачем в договоре отдельно сказано про модифицированное ПО, если используются выражение «в том числе», то есть, по сути, клиент несет ответственность за все операции, в Альфе-Банке так и не рассказали.   «На самом деле тема крайне важная, — комментирует исполнительный директор Ассоциации “Национальный платежный совет” Мария Михайлова. — Ситуация в том, что телефон юридически не является ни платежным инструментом, ни элементом платежной инфраструктуры. Банки проникли в телефоны как бы стихийно. Нужно какое-то общее нормативное поле как может использоваться телефон (который сам по себе тоже подчиняется двум разным сегментам — операторам связи и производителям) при оказании платежных услуг».   Впрочем, не все банки считают, что наличие расширенных прав и модификаций системы должно накладывать какие-то дополнительные ограничения на возможности пользователя. Тинькофф Банк, например, ранее «дискриминировал» пользователей с root, но сейчас приложение вообще никак не реагирует на наличие таких прав с точки зрения клиента. «Мы приняли решение отказаться от подобного пункта в оферте в рамках клиентоориентированности  и по мере развития наших систем антифрод-мониторинга, — пояснили в банке. — Кроме того, порядок использования способов дистанционного обслуживания регулируется договором между банком и клиентом и политикой конфиденциальности. Система антифрод-мониторинга в режиме реального времени выявляет подозрительную и нехарактерную активность пользователя (причем не только в рамках мобильного приложения) вне зависимости от того, есть ли на устройстве root-доступ и установлен ли на устройстве «режим разработчика. Порядок  root-доступа регулируется лицензионным  соглашением  между пользователем и производителем устройства, а не договором между банком и пользователем».   Как видно, запрещать ли пользователям с расширенным доступом к системе и модифицированными прошивками использование финансовых приложений, перекладывать на них ответственность, просто предупреждать или дорабатывать свои системы безопасности — вопрос дискуссионный, и требует внимания со стороны финансового сообщества. Игорь Костылев FutureBanking

1 сентября 2015 г. 20549

Источник: http://futurebanking.ru/post/2966

Сфера закона
Добавить комментарий