Профессия мошенника весьма требовательна к конкуренции: чтобы оставаться на плаву и быть экономически эффективными бедняги должны следить за трендами и быстро реагировать на изменения. Начнут завтра где-нибудь выдавать кредиты на развитие сельского хозяйства – быстро собирай крупный рогатый скот по соседям и получай кредит под внезапно выросшее поголовье. Послезавтра мошенники срочно побегут изучать иностранные языки и брать кредиты у доверчивых банков под это дело. А как известно, кредиты возвращают только трусы.
Бороться с кредитными мошенниками можно при помощи тщательного анализа и перепроверки пользовательской информации. Но иногда с помощью специально сгенерированных «валидных данных» как раз и осуществляется мошенничество. Сегодня расскажу интересные кейсы, которые мы отловили в Узбекистане.
Небольшая историческая справка.
Электронное правительство Республики Узбекистан держится на трёх китах: портал интерактивных государственных услуг, единая система идентификации и межведомственная интеграционная платформа (МИП). Говоря простыми аналогиями МИП - это Enterprise Service Bus масштабов страны, к которой подключены десятки баз и сотни сервисов госорганов. Через МИП системы госорганов-получателей по стандартным протоколам в режиме онлайн запрашивают требуемую информацию. Конечные пользователи избавлены от заботы бегать за справками, все нужные сведения могут быть получены автоматически. Ежедневно МИП обрабатывает миллионы запросов.
Хорошо работающий инструмент становится интересным бизнесу – бизнес хочет получать актуальные данные и иногда готов за них платить. В сентябре 2022 года было принято постановление Кабинета Министров, которое позволило коммерческим организациям получать сведения из центральных баз. Естественно, с учётом требований законодательства о персональных данных, требований информационной безопасности и ещё нескольких подзаконных актов. Основными потребителями услуг стали банки и коммерческие организации, которые впервые получили возможность создать скоринг на основе онлайн-данных. В конкурентной борьбе банки готовили всё более и более вкусные предложения, и сейчас в Узбекистане просто взрывной рост выдачи онлайн кредитов и микрозаймов через мобильные приложения (для примера – сайт со сравнительными таблицами кредитов от разных банков).
Схема 1: Работаешь?
Первые скоринг-модели были просты. Существенный балл пользователь мог получить только из-за того, что он трудоустроен. Если заявитель трудится, то он априори честный человек и его можно осчастливить микрозаймом.
Мошенники быстро поняли логику работы скоринга и запустили услугу «Микрозайм как сервис». Идёт будущая жертва по каким-то своим жертвенным делам, в переходе встречает некую подозрительную личность, которая заговорщически шепчет «псст, пацанчик, хочешь денег заработать?». После недолгих уговоров, они проходят в неприметную комнатушку, человека быстро оформляют на работу в подставную фирму, так же быстро проходят все нужные идентификации и проверки, и profit: счастливый обладатель получает микрозайм. 50% микрозайма тут же передаётся подозрительной личности за услуги, а остальные деньги невольный соучастник тратит на собственные нужды. И радуется жизни, пока не выясняется, что микрозаймы возвращать-таки нужно, а подставная фирма уже закрылась.
Максимальная сумма онлайн-микрозайма у нас ограничена 50 миллионами сумов (чуть меньше 4 000 долларов). Как правило, при первом микрозайме, одобряют суммы существенно меньше, но и этого хватает для безбедной жизни мошенников.
Схема 2: Платишь пенсию?
Когда банки столкнулись с очевидными проблемами, аналитики стали судорожно думать – как ещё можно оценить платёжеспособность потенциального заёмщика.
Один из косвенных способов оценки финансового состояния заявителя – его пенсионные отчисления. По местному законодательству, обязательные пенсионные отчисления составляют 0,1% от совокупного дохода. По тому же самому законодательству, максимальный размер добровольных пенсионных отчислений не ограничен. Будущий мошенник устраивается на работу (реальную или не совсем реальную) с условной заработной платой в 50 долларов. Параллельно с этим, мошенник добровольно вносит сумму своего заработка в пенсионный фонд. Через 3-4 месяца, мошенник идёт в любимый банк и выкрутив на максимум актёрское мастерство говорит сотруднику – «Посмотри внимательно, человек! Видишь, какая у меня большая пенсия, а представляешь какая у меня зарплата?». Сотрудник банка берёт калькулятор, и согласно своему представлению о законодательстве, вычисляет заработную плату заявителя. После чего с удовольствием выдаёт кредит или микрозайм уважаемому человеку с ежемесячным доходом в 50 000 долларов. А потом по каким-то причинам, выданный кредит не возвращается.
Данная схема может быть расширена услугой "микрозайм как сервис" для сторонней жертвы и включением в схему знакомого сотрудника банка.
Схема 3: Получаешь зарплату?
После «закрытия лавочки» с пенсией, мошенники горевали недолго, появились новые схемы. Одна из них интересна тем, что используются полностью легальные методы:
пользователь устраивается на «левую» должность в не менее «левую» фирму.
фирма подаёт в налоговый комитет зарплатную ведомость, в ведомости у мошенника указана огромная зарплата.
с этими цифрами, которые подтверждаются запросом в центральную базу данных, мошенник снова идёт в любимый банк и берёт кредит «под высокую зарплату».
через несколько дней фирма со словами «извините, мы чуть-чуть ошиблись», отзывает предыдущую и подаёт обновлённую зарплатную ведомость, в которой у мошенника зарплата сильно ближе к реальности. А кредит уже выдан.
Описанные кейсы во многом уже не работают, банки включают в скоринг дополнительные проверки и перепроверки. Центральный Банк борется с мошенничеством, ужесточаются требования к выдачам кредита, идентификации пользователей. Но мы с нетерпением ждём, что же мошенники придумают на этот раз.
PS. В статье специально не рассматривались типовые схемы вида «вам звонит служба безопасности, назовите код» или «отмываем бомжа, даём бутылку водки, чтобы он предоставил свои паспортные данные и получил кредит». Описанные схемы основываются на данных, которым банк доверяет и должен доверять.
PPS. Все написанные суммы приведены в долларовый эквивалент, исключительно для понимания масштабов.