4 июля, 2016, BIS Journal №2(21)/2016

Электронное мошенничество – 2015. Взгляд со стороны банка


Камзеев Денис

начальник отдела ИБ Управления экономической безопасности (АО "Райффайзенбанк")

Статистика и практические вопросы противодействия мошенничеству в каналах ДБО


УГРОЗЫ, БЕЗ КОТОРЫХ НАМ НЕ ЖИТЬ
 
Работая с аналитикой и статистикой, я постарался выделить те угрозы и кейсы, которые были особенно актуальны для финансового сектора в 2015 году, и безусловно останутся таковыми еще как минимум несколько лет. Это, в первую очередь, мобильные троянские программы, банковские троянские программы и целенаправленные логические атаки на банкоматы и POS-терминалы. Несмотря на то, что эта тема пока не присутствует в первых строках новостей, у нее есть все шансы туда подняться, так как сегодня именно эта сфера является наиболее питательной средой для мошенников.
 
Четвертая актуальная угроза — DDoS-атаки. Понятно, угроза не новая. Тем не менее, с 2015 года мы наблюдаем качественные изменения этого явления. Если раньше, год-два назад, проведение атаки мощностью 100 гигабит было чем-то очень серьёзным, дорогостоящим и потому редкостью, то сегодня появились технологии, позволяющие очень быстро, и, что самое неприятное, совсем не дорого организовать такую атаку.
 
ЭЛЕКТРОННОЕ МОШЕННИЧЕСТВО. ЧТО В ТРЕНДЕ?
 
Какую же картину представил нам 2015 год сквозь призму электронного мошенничества?

Во-первых, наблюдается заметное снижение активности мошенников в отношении систем интернет-банкинга и мобильного банка для физических лиц. Если брать по количеству кейсов, то всего 28 процентов из них нацелены на физлиц. Причем эти 28 процентов, если смотреть на объем транзакций, составляют меньше одной сотой процента всех мошеннических операций в 2015 году. Вся масса — 99,99 процентов объема мошеннических операций приходится на платежи юридических лиц и ИП. Это второй тренд.
 
Третий — «таргетирование» — избирательность при подготовке и проведении атаки. Мошенники стали более внимательными и прагматичными. Теперь они тщательно выбирают потенциальную жертву, долго готовятся к нападению. И далеко не все пользователи интернет-банка им интересны.
 
ТРЕВОЖНЫЕ СИМПТОМЫ
 
Еще одно интересное явление — уверенный рост количества зараженных мобильных устройств. При этом не наблюдается никакого явного увеличения атак на мобильный банкинг. Можно предположить, что рост числа «зловредов», которые сейчас пишутся под Android, обеспечивает функциональную площадку для будущего мошенничества.
 
Ну, и конечно, социальная инженерия по-прежнему остается одним из главных инструментов для контакта злоумышленника с жертвой. Цель — последующая компрометация конечного устройства, либо непосредственное выполнение мошеннических транзакций. На илл. 1 приведен скриншот. Это рассылка, которую получили клиенты нашего и еще двух банков. Схема очень простая: человека по телефону заставляют назвать карточные данные, включая CVC/CVV2. После этого сразу проводят транзакцию, клиент называет 3DS код, деньги уходят. Незамысловато, но работает.


 
Илл. 1. Мошенническая рассылка
 
МОШЕННИК МИМИКРИРУЕТ ПОД КЛИЕНТА
 
Если посмотреть, как распределяются мошеннические платежи по объему, можно увидеть, что наибольшая часть мошеннических транзакций находится в диапазоне от 200 до 500 тысяч рублей.
 
Что делают мошенники? Они наблюдают за клиентом и, в конце концов, подбирают тактику, которая наиболее похожа на «нормальное» поведение клиента. Типичный пример — «зарплатная ведомость» в последний рабочий день месяца. При этом в зарплатной ведомости не все являются сотрудниками компании. Понятно, что в этот день все торопятся, у компании, направляющей ведомость, есть обязательства перед своими сотрудниками, у банка есть обязательство перед компанией как можно быстрее провести платеж… В общем, это отличный момент для проведения мошеннического платежа.



 

ДБО. ОСНОВНЫЕ ВЕКТОРЫ АТАК
 
Несмотря на то, что сейчас действительно много делается для продвижения мобильного банкинга, c точки зрения вектора атак наиболее востребованным каналом по-прежнему остается интернет-банкинг…
 
Что происходит в мобильном банкинге? Такие методы как фишинг, распространение вредоносного ПО через рекламу в мобильных приложениях, возможность установки приложений для Android из любого источника, а не из официального каталога Google Play, — все это используется злоумышленниками для инфицирования и компрометации клиентского мобильного устройства.
 
О социальной инженерии я уже сказал. Добавлю, что довольно редко, но встречаются так называемые не технические методы, которые не связаны с электронным мошенничеством напрямую. Поддельная доверенность с последующим получением SIM карты, привязанной к мобильному номеру телефона жертвы, поддельный паспорт и т. д. и т. п.
 
О ПРАКТИКЕ ПРОТИВОДЕЙСТВИЯ
 
О практике. Какие меры действительно помогают обеспечивать безопасность ДБО?
 
Во-первых, мониторинг транзакций, антифрод. Использование максимально доступного количества параметров платежа — как финансовых, так и технических (user agent, fingerprinting) с регулярным пересмотром и корректировкой действующей модели обнаружения.
 
На форуме говорилось о кроссканальности. Я полностью поддерживаю эту идею. Более того, любой антифрод, который работает даже в одном канале, необходимо необходимо обогащать внешними данными, которых нет в «наблюдаемом» канале. Если вы работаете только с данными, которые доступны в интернет-банкинге или мобильном банке, их явно недостаточно для построения эффективной модели противодействия мошенничеству.
 
Во-вторых, двухфакторная и out-ofband авторизация платежей. Это эффективный механизм, он помогает, но, к сожалению, тоже не всегда. В-третьих, White box penetration test и анализ защищенности кода. Эти методы должны являться неотъемлемой частью процесса разработки, так как тест подразумевает имитацию действий злоумышленников.
 
В-четвертых, анализ рисков функциональности ДБО на стадии разработки требований, бизнес идеи. В-пятых, наличие гибкого механизма лимитов на проведение операций, в зависимости от категории клиента и типа операции.
 
НЕОБХОДИМЫ ОРГАНИЗАЦИОННЫЕ МЕРЫ
 
Клиент должен быть информирован о правилах и рисках проведения платежей с использованием каналов ДБО, однако он не должен быть перегружен специфическими знаниями из области ИБ. То есть мы не можем заставить клиента работать исключительно из доверенной среды, поэтому среда клиента де-факто считается не доверенной, и с этим мы сегодня живем.
 
Что помогает? Во-первых, постоянное повышение осведомленности сотрудников банка, непосредственно взаимодействующих с клиентами. А проще обучение и тренинги для персонала.
 
Во-вторых, проведение практических тренингов по безопасной разработке для специалистов, которые пишут систему ДБО.
 
В-третьих, повышение осведомленности клиентов, создание и продвижение материалов, фокусирующих клиентов на правилах безопасного использования систем мобильного и интернет-банкинга. Одна из основных целей — на реальных примерах и в понятной форме донести до клиента — по каким индикаторам можно определить присутствие угрозы и как в случае опасности следует поступать. Для этого мы разработали общедоступный, весьма интересный онлайн-курс (http://www.raiffeisen.ru/retail/remote_service/connect/security/).
 

 

Смотрите также

Подпишись на новости!
Подписаться