Мобильное приложение журнала
Google Play Apple Store
курс цб на 17.11: USD 63.8881 EUR 70.4111
криптовалют: BTC 8485.1$ ETH 182.16$
lupa
717 просмотров

На социальную инженерию приходится почти 100% потерь от мошенничества?

На социальную инженерию приходится почти 100% потерь от мошенничества?

Банк России разместил на своем сайте «Обзор несанкционированных переводов денежных средств за 2018 год», подготовленный ФинЦЕРТом – одним из подразделений Главного управления безопасности и защиты информации ЦБ. Согласно данным, предоставленным банками в рамках отчетности, можно прийти к неожиданному результату – 97% их потерь в прошлом году были связаны с использованием преступниками методов социальной инженерии.

На это обращает внимание Павел Есаков, эксперт по системам аутентификации ООО «Потенциал»:

«Изучая раздел данного обзора о несанкционированных переводах со счетов физических лиц, можно сделать однозначный вывод о том, что поведение мошенников в России ничем не отличается от поведения их коллег в других частях света. Задача «охотников за чужими деньгами» достаточно прозаична – получить максимальное количество денег при минимальных усилиях. Поэтому практически повсеместное использование платежных карт стандарта EMV существенно снизило возможности мошеннических операций в банкоматах и торговых точках из-за невозможности использовать результаты скимминга. В полном соответствии с мировой практикой центр интереса мошенников переместился в область электронной коммерции (e-commerce) – к онлайн-продавцам, которые не всегда используют механизмы 3D Secure, а некоторые даже не запрашивают значение CVV/CVC.

Отрадным фактором для мошенников стало также широкое использование розничными клиентами систем дистанционного банковского обслуживания (ДБО). Создавая удобство для клиента, система ДБО интересна мошенникам и даже более предпочтительна с их точки зрения, чем использование чужих карточных данных в системах электронной коммерции – ведь ДБО открывает доступ не только к счетам карт, но и к текущим счетам, депозитам и всем остальным активам клиента.

ФинЦЕРТ в своем обзоре отметил эту тенденцию – рост числа несанкционированных переводов денежных средств (на 44%) именно в сегменте электронной коммерции (Card Not Present, CNP-транзакции) и в системах ДБО. И хотя фиксируемый уровень потерь (0,0018%) пока существенно меньше установленного регулятором значения (0,005%), успокаиваться российским банкам несколько преждевременно. Ведь практически все российские банки используют в системах ДБО для розничных клиентов SMS пароли как средство подтверждения транзакций. Банки научились более-менее бороться с подменой SIM-карт, а также с троянами, которые умеют похищать с мобильных телефонов клиентов эти SMS-подтверждения. Тем не менее, имеется целый ряд других механизмов компрометации данной технологии, в том числе и таких, от которых защититься практически невозможно.

Очевидно, что если будет взломан канал передачи SMS-паролей – например, скомпрометирован интернет-шлюз (оператора связи или SMS-агрегатора), рассылающий SMS, и мошенники смогут получить к информации о кодах подтверждения, то все имеющиеся механизмы обеспечения безопасной идентификации будут нивелированы. Еще один известный и даже уже применявшийся в реальной российской жизни механизм – ложная базовая станция. В силу механизма работы GSM-протокола подключение к базовой станции определяется уровнем сигнала, и если даже маломощная базовая станция находится ближе к телефону клиента, чем легальная базовая станция, то телефон клиента гарантированно подключится к ложной базовой станции. Подключенный к базовой станции мошенника клиент абсолютно беззащитен – адресованные клиенту SMS проходят через мошенника, и он может делать с этими сообщениями все что угодно… Единственный недостаток такой атаки – она не может носить массовый характер, но зато идеально подходит для атаки на клиентов с большими остатками на счетах.

Что еще вызывает интерес в отчете? Раздел, в котором описаны механизмы «сравнительно честных способов отъема денег». В отчете приведены следующие причины, по которым клиенты лишились своих средств:

  • использование средств подтверждения в результате противоправных действий;
  • потеря или нарушение конфиденциальности;
  • нарушение клиентом порядка использования средств подтверждения платежа;
  • побуждение клиента к самостоятельному проведению платежа путем обмана или злоупотребления доверием;
  • воздействие вредоносного кода.

Из приведенного в разделе графика следует интересный вывод: 97% потерь являются результатом использования социальной инженерии, 2% потерь – результат воздействия вредоносного кода и один процент – другие причины.

Как известно, в упомянутом отчете приводятся статистические данные по информации, которую предоставляют банки в рамках своей отчетности. Чем опасна ситуация, когда практически все потери отнесены банками на счет методов социальной инженерии? Из приведенных цифр следует логический вывод: службы информационной безопасности сделали все возможное и невозможное, и все потери связаны с финансовой неграмотностью населения, а это вне компетенции служб информационной безопасности.

И такой замечательный результат, достигнутый службой информационной безопасности «на бумаге», служит веским демотиватором для каких-либо изменений в системах безопасности систем ДБО. Чем это грозит?

В общем и целом, как только мошенники почувствуют снижение доходов от используемых в настоящий момент технологий взлома систем ДБО (ну не может быть в реальной жизни таких низких потерь от вирусов – всего 2%), то в ход пойдут описанные выше механизмы, а никакого другого механизма подтверждения транзакций в распоряжении практически всех российских банков, работающих с розничными клиентами посредством систем ДБО, просто нет. Старый как мир вопрос – «У вас есть план «Б» на случай компрометации имеющегося механизма подтверждения транзакций в системе ДБО?». Я опасаюсь, что у большинства российских банков нет под рукой готового альтернативного механизма, который к тому же необходимо задействовать в кратчайшее время.

Да и самим службам безопасности манипуляция цифрами может выйти боком – ведь если усилия мошенников в результате действий кибербезопасности сведены на нет, то зачем нужен такой обширный штат? У руководства многих банков может возникнуть желание на фоне текущего положения дел сократить службу кибербезопасности и расширить штат PR-менеджеров, поставив им задачу повышения финансовой грамотности клиентов».

Поделиться своим взглядом на ситуацию мы предложили Алексею Голенищеву, директору по мониторингу операций и диспутам Альфа-Банка.

«В данном случае я соглашусь с цифрами статистики и сегментированием по видам и каналам хищений, приводимыми в отчете ФинЦЕРТа. Действительно, в последнее время случаи атак и хищений в результате социальной инженерии выросли катастрофически. Причем сюда относятся не только «разводы» по телефону от имени подложных «сотрудников служб безопасности банков» и мнимых call-центров с использованием операций по картам (в основном Р2Р-переводов) и каналов ДБО, но и мошенничества в интернете под видом всевозможных лотерей, розыгрышей, стимулирующих опросов, виртуальных заработков, подложных сайтов и т. д., по сути являющихся различными форм-факторами той же социальной инженерии. Вирусные заражения практически ушли из массового сегмента операций физлиц и сохранили свое присутствие в основном в ДБО юрлиц. И здесь не столько плод усилий служб ИБ банков, которые, конечно же, сделали и делают очень многое, сколько результат обнаружения преступниками более легких и менее затратных моделей хищений посредством технологий социальной инженерии. В том числе и благодаря повсеместному развитию и внедрению всевозможных технологий удаленных операций, причем не только банками (интернет-банк и мобильные приложения), но и многочисленными госструктурами (коммунальные платежи, налоги и т.д.)

Согласен, что от SMS-паролей надо уходить! Но здесь проблема не в рисках компрометации шлюзов/каналов передачи SMS, а в том, что одноразовый пароль визуализируется, т. е. он виден пользователю, и поэтому может оказаться легкой добычей для «социального инженера». Случаи с подложными базовыми станциями технически возможны, но применимы только в случаях целевых атак, когда мошенник физически преследует конкретную, заранее выбранную жертву, о которой уже имеет необходимую информацию и с конкретным сценарием атаки. Этот вариант, конечно, возможен, но только в единичных случаях. В практике нашего банка таких случаев не фиксировалось.

В заключение – еще несколько слов по поводу статистики. Соотношение фрода как 97/2/1 – это не манипуляция «хитрых безопасников», которая может им «выйти боком», потому что они якобы окажутся ненужными руководству, но текущие реалии. Безработными сотрудники служб безопасности точно  не останутся – ведь борьба с социальной инженерией в том числе и их задача. Важно, помимо стандартных функционалов в рамках информационной безопасности банка, направить вектор усилий служб ИБ и в сторону информационной безопасности клиентов. И здесь много путей! Это и выстраивание защищенных, именно «клиентских периметров» доступа к удаленным сервисам и приложениям за счет отказа от «визуальных» кодов/паролей, использования технологий доверительного онбординга, скоринговых самообучающихся систем, поведенческой биометрии и т. д., и введение и использование сложных систем кросс-канального мониторинга, позволяющих в режиме реального времени отслеживать и анализировать операции, совершаемые клиентом в различных транзакционных каналах в единой программной среде».

Вопросы безопасности будут рассмотрены в ходе 10-го Международного ПЛАС-Форума «Дистанционные сервисы, мобильные решения, карты и платежи 2019».

По материалам PLUSworld.ru

 

 


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных