"Особо сообразительные" пользователи интернет-банка (ИБ) и мобильного-банка (МБ) в последнее время стали осваивать принципы округления чисел и конвертации средств на счетах для получения дополнительного дохода. Этот доход, по оценкам экспертов, может достигать 15 тыс. рублей в месяц, рассказали "Известиям" в компании Positive Technologies, специализирующейся на вопросах безопасности дистанционного банковского обслуживания.
Граждане редко выгадывают на валютных курсах, однако в 2016 году появилась новая схема, которую начали активно использовать для получения дохода. Схема проста: пользователь интернет-банка переводит, условно говоря, 0,29 рубля (29 копеек) в доллары. Если курс этой валюты составляет 65 рублей, то сумма в 0,29 рублей соответствует $0,004461. Эта сумма при конвертации будет округлена до двух знаков после запятой по правилам банков - то есть до $0,01, что соответствует 1 центу. Затем нарушитель переводит 1 цент США обратно в рубли. В результате перевода он получит 0,65 рубля (65 копеек). Таким образом, за одну операцию клиент получает 0,36 рубля (36 копеек), т.е. больше, чем вложил.
В компании Positive Technologies рассказали, что подобные схемы называются "атаками на округление", и клиенты в кризис стали активно прибегать к ним, используя уязвимости систем дистанционного обслуживания банков для подобных манипуляций. По оценкам Positive Technologies, 25% дистанционных систем обслуживания российских банков (интернет- и мобильный банки) подвержены "атакам на округление".
По словам старшего эксперта отдела безопасности банковских систем Positive Technologies Тимура Юнусова, "атаки на округление" используются клиентами банков для мелких краж - на суммы до 15 тыс. рублей в месяц, которые складываются из копеек. Каждая операция, как правило, оценивается именно копейками, чтобы кредитная организация не обратила внимание на манипуляции. Собеседник пояснил, что принцип округления известен со времен появления онлайн-игр. Банки подобные инциденты и объемы ущерба не раскрывают.
Как считает Т.Юнусов, банки могут реализовывать алгоритмы округления для того, чтобы противостоять авторизованным ворам: ограничивать нижнюю сумму перевода, либо вводить проверку "в обе стороны" (при снятии 0,01 цента заново высчитывать сумму снятия с рублевого счета: 0,60 копейки).
Впрочем, по словам представителей двух банков из топ-100 по активам, опрошенных "Известиями", этот вариант получения дополнительного дохода гораздо более трудоемкий, чем так называемая "отложенная конвертация", когда клиент создает платежку по конвертации в интернет-банке и ждет выгодного для себя курса, чтобы провести операцию.
В Positive Technologies отметили, что "атаками на округление" занимаются и кибермошенники, которые также используют эту практику после взлома интернет- или мобильного банка клиентов российских банков. Хакеры атакуют интернет- и мобильные банки небольших кредитных организаций за пределами топ-100 по активам, дистанционные системы которых куда менее защищены, чем у крупных игроков.