Современные технологии кредитно-финансового сектора содержат в себе как плюсы, так и минусы — от платежей с помощью ссылок, QR-кодов и цифровой валюты до биометрии и новейших веб-технологий. Более подробно об этом в своем выступлении на пресс-конференции «Кибербезопасность 2020-2021: тенденции и прогнозы» рассказал руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков.
Проблемы антифрод-решений
Чем больше банки пытаются обезопасить своих клиентов, тем с большим количеством трудностей клиенты будут сталкиваться из-за ошибок защиты. Любая автоматизированная система строится на основе анализа эффективности. Алгоритм определения мошеннических транзакций может быть строгим — тогда растет количество выявляемых подозрительных операций, но чаще останавливаются платежи, либо, наоборот, более щадящим — тогда уменьшается количество ошибочно остановленных платежей, но и больше мошеннических платежей проходят незамеченными. Решением проблемы станет баланс между безопасностью и своевременным исполнением платежей, потребностями бизнеса.
«Ошибки автоматизации и связанные с ними риски — основная проблема современных антифрод-решений. Попытки выявить платежи, нехарактерные для клиента, иногда приводят к ложным срабатываниям и блокированию легитимных платежей. Уменьшить количество ложных срабатываний и предотвратить ошибочную блокировку платежей поможет широкое внедрение автоматизации с использованием больших данных. При этом полностью избежать ложных срабатываний антифрод-решений вряд ли удастся», — пояснил Максим Костиков.
Цифровой рубль и риски блокчейн-технологий
Одним из путей повышения эффективности анализа платежей является блокчейн и распределенные реестры, обеспечивающие прозрачность платежа на каждом этапе. Необходимые шаги в этом направлении уже делаются: недавно анонсированный Центробанком цифровой рубль, например, основан именно на блокчейн-технологиях. Как и все новое, это направление порождает риски, с которыми индустрия еще не сталкивалась.
«В подобных системах самым слабым местом всегда является доступ клиента к системе платежей, к самому электронному кошельку. Можно делать супернадежные блокчейн-системы, но все равно останется возможность путем взлома веб-интерфейса или атаки на устройство клиента получить доступ к деньгам клиента», — сказал эксперт Positive Technologies.
Вместе с тем, бизнес позитивно оценивает возможность использования смарт-контрактов, когда условия договора оформляются не в виде юридического текста, а в виде алгоритма, где на каждом этапе можно вычислить, выполнил контрагент свои обязательства или не выполнил. Но это алгоритм, который пишут люди, а людям свойственно ошибаться. По словам Максима Костикова, в код смарт-контракта могут быть внесены ошибки и даже умышленные закладки, что открывает совершенно новую страницу в истории финансовых махинаций.
«Проблема в том, что сама идея уязвимости в тексте договора, которая может использоваться злоумышленником, нова для индустрии. Нужно нарабатывать опыт, учиться находить такие уязвимости и противодействовать мошенничеству, связанному с их использованием», — пояснил эксперт.
Он также отметил, что серьезную проблему представляет проблема распределенных реестров в случае совершения мошеннических действий. Одну отдельную финансовую операцию невозможно «откатить» назад, потому что в этом случае непонятно, что делать с легитимными операциями, происходившими в это же время. Ключевым аспектом использования цифровых денег является обеспечение подлинности операций, для чего операция криптографически подписывается. При этом важна реализация отечественных криптографических алгоритмов в программном обеспечении, обеспечивающем существование цифровых денег и смарт-контрактов.
«Объединение усилий бизнеса и регуляторов — залог успешной реализации смарт-контрактов и распределенных реестров. Это задача, которую предстоит решить в будущем» — сказал Максим Костиков.
Киберриски быстрых платежей и телефон как платежное средство
Система быстрых платежей, запущенная 28 февраля 2019 года, позволяет клиентам банков переводить деньги по номеру мобильного телефона и платить за товары в торговых точках по QR-коду вне зависимости от того, в каком банке открыты их счета. Кроме несомненного удобства, система быстрых платежей принесла пользователям и новые риски, ведь клиент идентифицируется не по паспорту, как в отделениях банков, и не по связке «кредитная карта — код подтверждения», как в традиционных системах, использующих протокол 3-D Secure, а по номеру телефона, к которому привязана банковская информация плательщика.
«Использование телефона в качестве удостоверения личности (и даже в качестве идентификатора получателя, как это делает система быстрых платежей) несет дополнительные риски. Например, процедуры восстановления утерянных сим-карт позволяют мошенникам получить в свое распоряжение сим-карту клиента банка, а уязвимости банковских приложений — привязать номер телефона жертвы к своему собственному счету. К традиционным способам мошенничества добавляются новые, связанные с использованием телефона», — поделился эксперт Positive Technologies.
Также стоит отметить, что биометрия как способ идентификации клиента набирает популярность, но и она несет в себе серьезные риски. Говоря об очень высокой надежности биометрической идентификации, обычно приводят в качестве примера идентификацию по отпечаткам пальцев или радужной оболочке глаза: такие методы действительно имеют очень низкий коэффициент ошибок. Но для дистанционной идентификации клиентов предлагаются совсем другие биометрические методы — идентификация по изображению лица и записи голоса. Такие методы имеют сравнительно низкую надежность, делающую возможным применение дипфейков — автоматической генерации изображения и голоса, которые успешно проходят биометрическую верификацию.
При этом практика показывает, что надежность идентификации практически не влияет на возможности мошенников: в большинстве случаев злоумышленники обходят механизмы аутентификации клиента или с помощью социальной инженерии, или с помощью уязвимостей в платежных приложениях.
«К сожалению, многие инициативы банковского сектора по противодействию мошенникам, такие как создание единого реестра сим-карт, введение ограничений на разовую операцию в системе быстрых платежей, — клиенты часто воспринимают негативно. Переломить подобное отношение, привить пользователям навыки элементарной цифровой гигиены — серьезная задача для банковского сообщества на ближайшие годы», — заключил Максим Костиков.
