Житель Германии, проверив редко используемый им текущий счет, обнаружил в распечатке дебетование (Abbuchung) на 89,90 евро. В графе «Назначение платежа» (Verwendungszweck) было указано Patenschaft Walnussbaum – «шефство над ореховым деревом», о котором он ничего не слышал и на которое не соглашался. Деньги были сняты некоей DMS GmbH путем прямого дебетования со счета (SEPA-Lastschrift). Оказалось, что они снимались уже несколько месяцев, а общий ущерб составил более 600 евро.

Беспрепятственный доступ

Прямое дебетование со счета может осуществить любое физическое или юридическое лицо, располагающее такими данными, как IBAN и фамилия владельца счета. Подобные данные, к примеру, нередко добывают хакеры и продают их в Darknet всем желающим. В принципе, владелец счета должен дать свое согласие на списание денег. Однако банк обычно не проверяет, соглашался ли клиент, к примеру, брать на себя шефство над ореховым деревом, особенно когда речь идет о сравнительно небольших суммах, и просто осуществляет перевод денег. Таким образом, разного рода мошенники используют недостаточный контроль над процедурой прямого дебетования со счета в преступных целях и могут добраться до счета жертвы легко и просто.

Случаи мошенничества регистрируются в самых разных областях – собственно, везде, где возможна оплата посредством SEPA-Lastschrift: например, при заключении абонементного договора или приобретении Deutschlandticket. В результате жертвой мошенников может оказаться практически любой владелец счета.

След в никуда

Как установили журналисты, работающие для телепередачи Marktcheck, в упомянутом выше случае «шефства» над ореховым деревом деньги уходили на счет в гамбургской Sparkasse. Последняя заявила, что некоторое время назад разорвала деловые отношения с владельцем счета из-за превышения установленных кредитным институтом внутренних квот на возврат платежей (Lastschrift-Retouren).

На распечатках со счета журналисты обнаружили номер горячей линии компании DMS GmbH. Однако там никто не отвечал. При загрузке номера телефона в поисковую строку Google «высветились» названия еще двух компаний – Verlagshaus Bergheim и MVD Medienvertrieb, зарегистрированных по одному и тому же адресу в Дюссельдорфе. Там журналисты обнаружили пустые офисные помещения, сдающиеся в аренду, которые, тем не менее, можно было указать в качестве адреса компании, а также соседей, которым оба эти названия ничего не говорили. Арендодатель заявил, что несколько месяцев назад компании переехали. Однако их новые адреса не были указаны в Торговом реестре (Handelsregister), да и Ведомство по вопросам предпринимательской деятельности (Gewerbeamt) в Дюссельдорфе не располагало информацией о переезде. В ходе дальнейшего расследования журналисты Marktcheck выяснили, что управляющие делами обеих компаний носят одну и ту же фамилию и связаны с одним и тем же населенным пунктом в Турции.

Расследователи попытались разыскать Verlagshaus Bergheim и MVD Medienvertrieb по новым адресам, но они не были указаны в перечне компаний, расположенных в здании. Выяснилось, что в данный момент в арендуемых этими компаниями помещениях никого нет, но иногда туда кто-то приходит и владельцу здания неизвестно, почему компании не перерегистрировались по новым адресам.

Прокуратура Дюссельдорфа так и не завела дело на владельца обеих компаний, а Оливер Хут (Oliver Huth) из Объединения сотрудников немецкой уголовной полиции (Bund deutscher Kriminalbeamter – BdK) подчеркнул отсутствие связи между банками данных земельных управлений полиции. Таким образом, предприятиям с непрозрачными намерениями достаточно легко действовать на территории Германии, а количество случаев мошенничества с прямым дебетованием с текущих счетов превосходит возможности уголовной полиции по их расследованию.

Полная анонимность

Во многих случаях мошенничества дебетование со счетов жертв осуществлялось компанией по оказанию платежных услуг Fintech, зарегистрированной на Мальте. Она и ей подобные предоставляют сомнительным предприятиям возможность сохранять полную анонимность, поскольку их названия не указываются на выписках с текущих счетов в качестве заказчиков дебетования. Таким образом, мошенники могут оставаться в тени, не «засвечиваясь» ни перед владельцами счетов, ни перед стражами порядка.

Билет за чужой счет

Весьма распространено мошенничество подобного рода с Deutschlandticket, на которое жалуются многие транспортные объединения. О масштабах проблемы свидетельствует тот факт, что только транспортные предприятия Дрездена зарегистрировали 15 тысяч случаев заказа этого билета за чужой счет.

Преступники действуют очень просто: они заказывают билеты и в качестве способа оплаты указывают SEPA-Lastschrift. При этом они сообщают транспортным предприятиям краденые банковские реквизиты, раздобытые в результате фишинга или хакерских атак и приобретенные в Darknet. Эти билеты они предлагают по более низким ценам, например, в Telegram-Foren или на собственных сайтах, имитирующих сайты Deutsche Bahn.

Необходимо регулярно контролировать все текущие счета

Прореха в безопасности

Успешность действий мошенников объясняется тем, что ни торговцы, ни банки не обязаны проверять, является ли заказчик товара или услуги владельцем счета, указываемого им для снятия денег, объясняет Нильс Наухаузер (Niels Nauhauser), финансовый эксперт из Общества по защите прав потребителей Штутгарта. Таким образом, плата за заказ списывается со счета путем прямого дебетования без предварительной проверки идентичности владельца счета (Identitätsprüfung). Банки также предварительно не проверяют, давал ли владелец счета свое согласие на прямое дебетование, перекладывая всю ответственность на клиентов. Защитники прав потребителей требуют от законодателей и банков активнее реагировать на усиливающуюся угрозу со стороны киберпреступников и ввести более эффективные меры безопасности при осуществлении прямого дебетования со счета – например, двухфакторную идентификацию (Zwei-Faktor-Authentisierung), чтобы перевод денег со счета осуществлялся только с согласия его владельца. Однако пока эта прореха в безопасности при прямом дебетовании со счета все еще не закрыта.

Единственная защита

Тем не менее, жертвы несанкционированного дебетования со счета все-таки могут защититься и даже вернуть свои деньги. Если суммы, взысканные в рамках SEPA-Lastschrift, могут быть возвращены на счет в течение восьми недель, то при мошеннических финансовых операциях этот срок увеличивается до 13 месяцев. Поэтому необходимо регулярно контролировать все текущие счета, чтобы вовремя обнаружить необычные и подозрительные финансовые операции. Иначе существует риск не заметить их вообще или заметить слишком поздно.

При обнаружении несанкционированного прямого дебетования следует связаться со своим банком и потребовать от него вернуть деньги на счет (zurückbuchen).

Республика Мальта Именно в этой стране зарегистрирована компания Fintech