ЦБ хочет узаконить срок возврата денег, украденных мошенниками, — 30 дней

ЦБ хочет узаконить срок возврата денег, украденных мошенниками, — 30 дней

ЦБ хочет узаконить срок возврата денег, украденных мошенниками, — 30 дней

Банк России предложил обязать кредитно-финансовые организации возмещать гражданам потери от мошенничества в течение 30 дней после получения заявления. С этой целью регулятор подготовил поправки к закону «О национальной платежной системе», с которыми ознакомился РБК.

Планы по введению обязательного срока для возврата денег, украденных мошенниками, подтвердил представитель Центробанка. Он также отметил, что разрабатываемый механизм противодействия хищениям потребует внесения изменений в действующее законодательство (№ 161-ФЗ, ст. 8 и 9). 

В настоящее время в законе «О национальной платежной системе» закреплен только срок рассмотрения заявки физлица на возврат платежа — не более 30 дней (60 в случае трансграничного перевода). Согласно предложению ЦБ, банк отправителя должен будет за месяц вернуть жертве мошенничества всю сумму при следующих условиях:

  • перевод совершен без отправки уведомления клиенту и без его согласия;
  • клиент заявил о потере карты или ее несанкционированном использовании.

В текущей версии поправок отсутствует важное, по мнению экспертов, предложение — автоблокировка счета получателя, уже засветившегося в связи мошенническими транзакциями (ЦБ ведет базу данных по таким инцидентам). Сейчас время возврата средств, как выяснил РБК, сильно зависит от величины украденного; возврат большой суммы может занять несколько недель. Похитители же, как правило, не медлят — сразу обналичивают средства, поступившие на подставной счет.

Обсуждение мер борьбы с хищением денег со счетов продолжается, и в доработанном виде предложенный законопроект должен исправить наблюдаемую ситуацию: последние два года объем краж с использованием электронных средств платежа растет, а доля возврата по жалобам жертв снижается. По данным ЦБ, в 2019 году банкам удалось вернуть 14,6% похищенных средств, в 2020-м — 11,3%, в 2021-м — лишь 6,8%.

OpenClaw взломали через WhatsApp: ИИ-ассистент мог отдать доступ к хосту

В OpenClaw нашли сразу три серьёзные уязвимости, которые позволяли красть учетные данные, повышать привилегии и выполнять произвольный код в системе, где запущен ИИ-ассистент. Две ошибки получили оценку 8,8 из 10 по шкале CVSS.

Они были связаны с фильтрацией команд: защитный механизм блокировал не все опасные входные данные, поэтому злоумышленник мог протащить системную команду туда, где ей быть совсем не положено.

Третья уязвимость с рейтингом 8,4 позволяла обходить ограничения песочницы через монтирование родительских каталогов. OpenClaw запрещал прямой доступ к папкам вроде ~/.ssh, ~/.aws и ~/.gnupg, но при этом мог разрешить подключить весь каталог /home. После этого SSH-ключи, облачные токены и GPG-секреты оказывались буквально на столе.

 

Еще веселее с /var: через него атакующий мог добраться до сокета Docker и выбраться из песочницы прямо на хост.

Исследователь Чинмохан Наяк утверждает, что атаку можно было запустить внешним сообщением через WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) без предварительного доступа к системе. В худшем сценарии злоумышленник получал данные, закреплялся в системе и выполнял код на машине владельца.

 

Разработчики закрыли все три дыры в OpenClaw 2026.6.6. Пользователям советуют срочно обновиться, включить песочницу для всех второстепенных сессий, убрать exec из разрешенных инструментов и максимально сузить списки доверенных каналов.

RSS: Новости на портале Anti-Malware.ru