Центробанк формализовал набор критериев, по которым банки будут отбирать такие транзакции, и описал механику ограничений: при срабатывании алгоритма банк выводит на операцию «стоп» — действует 48-часовой режим, в течение которого наличные через банкомат можно снимать не более 50 тысяч рублей в сутки; для получения сумм сверх этого лимита потребуется личное обращение в офис банка. Новые правила вводятся в рамках мер по борьбе с кибермошенничеством и социальной инженерией и призваны снизить потери клиентов от телефонных и мессенджер-атак, SIM-смен и других схем похищения средств.

Что именно будет считаться подозрительным?

Регулятор перечислил ряд признаков, ориентируясь на отклонения от привычного для конкретного клиента рисунка поведения. Среди сигналов — попытка снять деньги в нетипичное для держателя карты время суток или в непривычном для него месте, запрос на нетипичную сумму либо снятие новым способом (например, отказ от привычной карты в пользу QR-снятия наличных). Также в перечне — резкая активизация телефонных контактов перед операцией (много входящих сообщений с новых номеров, большое количество новых входящих звонков или сообщений в мессенджерах), смена номера телефона, используемого для авторизации в интернет-банке, изменение характеристик устройства (изменение отпечатка пальца в смартфоне) или обнаружение вредоносного ПО на нем. Отдельно указано снятие наличных в сутки после оформления кредита или увеличения лимита по карте, а также значительные финансовые движения: перевод более 200 тысяч рублей через СБП со счета в другом банке или досрочное закрытие вклада на такую сумму.

«Банки используют системы поведенческой аналитики (behavioral analytics), которые строят профиль нормального поведения клиента: где он обычно снимает деньги, в какое время, какими инструментами пользуется, какие суммы и с какой частотой перемещает. На основе этих моделей можно вычислять аномалии и присваивать им баллы риска. Совокупность аномалий, как ожидается, и приведет к автоматической приостановке операции.

Параллельно применяются технические средства — device fingerprinting (сбор характеристик устройства: операционная система, версия браузера/приложения, параметры сети), мониторинг SIM-смен и анализ источников сообщений (метаданных, а не содержимого). Закон о борьбе с кибер-мошенничеством, действующий с июня, дал банкам и регулятору юридическое основание для подобных мер и расширил полномочия по обмену информацией об инцидентах», — рассказал «Новым Известиям» финансовый аналитик Антон Казаков.

ЦБ РФ формализовал набор критериев, по которым банки будут отбирать такие транзакции, и описал механику ограничений. Фото: 1MI

Согласно исследованию Банка России, 2024 году каждый третий из десяти респондентов сталкивался с разными видами финансового кибермошенничества. 9% пострадавших лишились денег.

По мнению экспертов, для преступников новая логика станет стимулом к эволюции схем: надо будет учиться маскировать собственные действия под обычное поведение жертвы (эмулировать снятие денег в привычное время, заранее подготовить телефонные контакты), либо переводить атаки в каналы, где автоматические детекторы слабее. В свою очередь банки должны будут быстро адаптироваться: оперативно обновлять правила, обмениваться информацией об инцидентах в рамках сектора, обучать сотрудников отделений для быстрого и корректного реагирования на обращения клиентов с ограничениями.

«Вторая рука»: что это и для кого?

Одним из инструментов в пакете антифрод-мер стал так называемый механизм второй руки. Его суть — дать клиенту возможность подключить доверенного человека, который будет выступать в роли дополнительного защитного фильтра при проведении подозрительных операций.

Фактически речь идет о страховке человеческим фактором. Если алгоритмы банка сочли транзакцию рискованной, подтверждать ее сможет не только сам клиент, но и его доверенное лицо — родственник, близкий друг или опекун. Это решение рассчитано прежде всего на уязвимые группы: пожилых людей, подростков, тех, кто может быть менее внимателен к манипуляциям со стороны злоумышленников.

Схема работает следующим образом. Клиент заключает договор с банком, где прописывает перечень операций, требующих «второго взгляда»: от снятия крупных сумм до переводов через СБП. Доверенное лицо не получает возможности инициировать транзакции самостоятельно, его роль — подтвердить или отклонить операцию по запросу банка. На принятие решения отводится до 12 часов с момента уведомления.

Отказаться от сервиса можно, но не мгновенно. Эта задержка встроена специально, чтобы исключить сценарий, когда мошенники заставляют жертву отключить защиту под давлением.

Главная цель мошенников — экономически активные граждане в возрасте от 25 до 64 лет — ЦБ. Фото: 1MI

Кого выбирают мошенники и почему

Кибермошенники вышли за рамки стереотипа «охоты на доверчивых пенсионеров». Их главная цель — экономически активные граждане в возрасте от 25 до 64 лет, то есть те, кто ежедневно пользуется банковскими сервисами и онлайн-платежами, выяснили аналитики Банка России. Именно эта категория формирует основной пул жертв. В 2024 году наметился тревожный тренд: заметно выросло число пострадавших старше 65 лет, что говорит о постепенном смещении фронта в сторону пожилых пользователей, которых сложнее защитить технологиями.

Интересная деталь — чаще всего мошенники обманывали работающих женщин со стабильным средним доходом и образованием, живущих в городах. То есть речь идет не о наивных людях, а о вполне социально устойчивой аудитории. Гендерный перекос, правда, стал сглаживаться: если в 2023-м доля женщин-жертв превышала мужскую на 11 процентных пунктов, то в 2024-м разрыв сократился до 5,2 п. п. Одновременно слегка выросло давление на жителей сельской местности, что показывает: злоумышленники постепенно расширяют географию атак.

По каналам обмана по-прежнему лидируют звонки и СМС, хотя их доля снижается — минус 8,4 п. п. за год. Новым тревожным сигналом стало попадание в топ-5 схем атак на аккаунты на Госуслугах — это превращает государственные цифровые сервисы в один из главных фронтов борьбы за финансовую безопасность граждан. Остальные приемы — от фишинговых сайтов до поддельных QR-кодов — пока занимают суммарно около 13,7%, но эксперты отмечают: именно они могут стать следующей волной атак, если классические схемы будут эффективнее блокироваться банками.