На портале Bankir.ru опубликованы комментарии нашего ведущего аналитика Алексея Зенина о новых формах мошенничества в сфере дистанционного банковского обслуживания. Какие опасности подстерегают пользователей и финансовые организации и как обезопасить себя от действий злоумышленников читаем в статье «А мы пойдем на сервер! Вектор действий киберпреступников изменился».

Bankir.ru: С какими новыми формами мошенничества в системах ДБО банки столкнулись в течение последнего года? Каков приблизительный ущерб?

А. Зенин: Наряду с уже почти «традиционными» случаями неправомерного использования скомпрометированных средств идентификации (паролей, секретных ключей, PIN-кодов и номеров банковских карт) банки стали сталкиваться с новыми формами мошенничества, обусловленными широким распространением высокотехнологичных устройств. Примером служит «обман» банкоматов, оборудованных средствами автоматического приема купюр, поддельными банкнотами крупного номинала, которые были изготовлены при помощи доступных средств цветной печати.

С распространением смартфонов и внедрением банками смартфонных ДБО-приложений появились случаи кражи персональных данных и денежных средств с их использованием. Это обусловлено как наличием брешей в защите мобильных операционных систем и программ, так и тем, что большинство пользователей не осознает, что смартфон может быть поражен вирусом так же легко, как и персональный компьютер. Антивирусы для смартфонов по этой причине еще недостаточно распространены.

Bankir.ru: По вашим оценкам, выросла ли хоть немного клиентская грамотность относительно «гигиенического минимума» информационной безопасности? Какие давно известные и обнародованные формы мошенничества все еще приносят преступникам «богатый урожай»?

А. Зенин: Традиционному кардингу (использованию краденых данных чужих пластиковых карт) уже много лет, и вряд ли в ближайшие годы он выйдет из моды. Банки и платежные системы направляют серьезные усилия на борьбу с ним. Однако этот преступный «бизнес» будет существовать, пока существуют интернет-сервисы, допускающие оплату с «упрощенной» авторизацией — без SMS-подтверждения, а иногда даже и без ввода трехзначного кода безопасности с обратной стороны карты. Невероятно, но факт: такой «беспечностью» грешит даже один из известнейших сервисов бронирования отелей! (Booking.com — примечание автора).

Другим неустаревающим методом злоумышленников остается «социальная инженерия». Часто одно провокационное сообщение «из контакт-центра банка» позволяет узнать пароль доступа к счету быстрее и эффективнее, чем это сделал бы компьютерный вирус.

Однако нельзя не отметить, что физические лица-потребители стали более осторожными и уже не верят слепо странным SMS-сообщениям о «проблемах» с их картой, пришедшим с незнакомого номера. Этому способствует разъяснительная работа, которую банки проводят не только на своих сайтах, но и на тематических форумах и даже в соцсетях.

Bankir.ru: Наблюдаете ли вы «смену приоритетов» у преступников относительно интереса к счетам физических лиц? Или по-прежнему наибольший ущерб от мошенничества в ДБО испытывают клиенты-юридические лица? Кого легче ограбить и почему?

А. Зенин: До середины «нулевых» крупный куш было проще всего сорвать, украв криптоключи к банк-клиенту юридического лица. У подавляющего числа «физиков» было нечего взять: кредитки и интернет-банк не были распространены, а с зарплатных карт подавляющее большинство выводило деньги в день зарплаты.

Сейчас все иначе: «пластик» и средства удаленного доступа к счету получили широкое распространение и заслуженную любовь всех слоев населения. Сегодня физические лица более привлекательны для мошенников в силу своей более слабой, по сравнению с «юриками», осведомленности о необходимых мерах финансовой безопасности.

Bankir.ru: Какие средства информационной защиты банки планируют развивать? Во что будут вкладываться в этом году? Какие появились новинки?

А. Зенин: Все большее распространения получают методы двухфакторной авторизации.

Если раньше для предотвращения несанкционированного доступа достаточно было использовать сложный пароль, то сегодня такие действия уже не могут гарантировать безопасность. Подобная авторизация только по одному фактору стала ненадежной из-за распространения шпионских средств, которые с легкостью «крадут» даже сложные пароли. Двухфакторная авторизация — это усложненный способ аутентификации пользователя ДБО, в котором первым фактором по-прежнему является логин и пароль, а в качестве второго выбирается один из дополнительных методов.

Для подтверждения транзакций, совершающихся без физического присутствия пластиковой карты, таких как оплата покупок в интернет-магазинах, отлично зарекомендовал себя метод SMS-паролей. В отличие от своих альтернатив (карточек одноразовых кодов или второго секретного пароля), метод уменьшает вероятность несанкционированного доступа: мобильный телефон всегда под рукой, его сложнее потерять, чем карточку кодов, а если это все же случилось — SIM-карту можно легко и быстро заблокировать. В прошлом году многие банки (среди них, например, Райффайзен) обновили свои системы дистанционного обслуживания физических лиц для поддержки двухфакторной авторизации по SMS-паролю.

Другими перспективными методами дополнительного подтверждения личности являются специализированные программы для смартфонов или специальные электронные устройства, генерирующие одноразовые коды.

Bankir.ru: Личные впечатления: какой случай мошенничества в ДБО-2013 потряс вас больше других? Ваши комментарии на этот счет.

А. Зенин: Вспоминается резонансное противостояние воронежца Дмитрия Алексеева и банка «Тинькофф Кредитные Системы». Дмитрий воспользовался легкомысленным подходом банка к дистанционному привлечению клиентов. Получив пластиковую карту банка «Тинькофф» по почте, он не стал подписывать прилагаемый к ней договор. Вместо этого он направил в банк его скорректированную копию, в которой мелким шрифтом были переопределены основные условия: введена нулевая процентная ставка за пользование средствами, отменены комиссии, введен штраф за расторжение или изменение договора. Уполномоченный сотрудник банка подписал измененный договор, приняв его за типовую форму, что позволило Дмитрию не только воспользоваться кредитными средствами бесплатно, доказав свое право на это в суде, но и выставить банку претензию на 24 миллиона рублей.

Является ли поступок Дмитрия мошенничеством? Ответ на этот вопрос мог дать только суд, который не состоялся по причине примирения сторон. Однако и клиенты, и банки, несомненно, сделали из данного прецедента выводы. Каждая сторона — свои. В одном можно быть уверенными: этот случай точно не прошел бесследно.


Любые правки этой статьи будут перезаписаны при следующем сеансе репликации. Если у вас есть серьезное замечание по тексту статьи, запишите его в раздел «discussion».

Репликация: База Знаний «Заказных Информ Систем» → «Новые формы мошенничества в дистанционном банковском обслуживании»