BIS Journal №1(36)/2020

27 марта, 2020

Не ученьем единым

В последнее время самая модная тема в сфере безопасности ДБО – это социальная инженерия (СИ). Кто и где только не говорят о ней! «Новые технологии мошенников», «Крах технической защиты» и т.д. и т.п. Что это: очередной «хайп» или, действительно, что-то новое?

 

ИСТОРИЯ И ЗАКОНОМЕРНОСТИ

Само понятие «социальная инженерия» ввел в употребление Кевин Митник – знаковая фигура в сфере ИБ, бывший хакер серьезного уровня. Однако злоумышленники использовали такие методы задолго до появления самого термина.

История мошенничеств с использованием СИ уходит своими корнями во времена появления дистанционных каналов банковского обслуживания – более 30 лет назад, когда идентификация клиента при проведении операции стала опосредованной. Все это время уровень мошенничеств менялся волнообразно, всплески соответствовали периодам появления каких-либо новых банковских технологий, услуг или продуктов. Цепочка в этой области выстраивалась в классической последовательности: новое технологическое решение – всплеск мошеннической активности-разработка контрмер-стабилизация активности-распространение контрмер-спад активности. И так до появления новых решений. В среднем на рынке каждые два-три года, а теперь и чаще, появляется что-то новое, и цепочка запускается вновь. Обычный цикл составляет примерно 8-9 месяцев, после чего наступает незначительный период внешнего спокойствия, когда обе стороны борьбы собираются с силами и пытаются придумать что-то особенное. Сейчас мы находимся в фазе относительной стабилизации – контрмеры выработаны и происходит их распространение.

 

В НАСТОЯЩЕЕ ВРЕМЯ

В настоящее время уровень атак на клиентов банков в целом стабилизировался, более того,наблюдается постепенный спад. Основной способ борьбы текущего момента – повышение осведомленности как непосредственно клиентов, так и сотрудников банков о рисках реализации мошенничеств с использованием телефонных звонков. Повышение осведомленности происходило и продолжается на всех уровнях и в самых разных аудиториях – СМИ, интернет, социальные сети, специальные памятки, «напоминалки» в личных кабинетах, выступления на конференциях, открытых уроках, включение соответствующих разделов в программы обучения и т.д.

Судя по информации из тех же СМИ, эта деятельность оказалась относительно успешной.

Если с начала последнего витка, т.е. примерно с середины лета 2019 года, «успешным» был каждый третий звонок мошенников (при этом суммы списаний были самые разные – от одной тысячи до миллиона рублей), то сейчас, благодаря большой разъяснительной работе сотрудников банка, уровень реализованных мошенничеств снизился в десяток раз. На пике этих мошенничеств, по словам первого заместителя директора ДИБ БР Сычева А.М. (из выступления на осенней сессии Уральского Форума 2019), по стране уровень мошенничеств, связанных с социальной инженерией, составил до 97% от всех мошенничеств и достиг суммы более миллиарда рублей. Из последующих выступлений сумма мошенничеств увеличивалась незначительно.

 

ПОПРОБУЕМ РАЗОБРАТЬСЯ

Методы социальной инженерии направлены, как правило, на достижение двух целей: получить недостающие для мошенничества учетные данные клиента или установить вредоносное программное обеспечение на электронные средства проведения платежей. В нашем случае преследуется первая цель, мошенники используют полученные из самых разных источников обрывочные сведения о клиентах (например, из баз данных телекоммуникационных компаний, данных on-line сервисов по оплате товаров и услуг и т.д., где могут фигурировать номера телефонов и имена-отчества клиентов, слипы электронных чеков с последними цифрами из номера карты и др.), затем эти данные специальным образом собираются, систематизируются и из них готовятся базы данных для обзвонов. Не секрет, что в некоторых банках такими источниками клиентских данных являются недобросовестные сотрудники, злоупотребляющие служебным положением. Далее подготовленные данные поступают на специальные площадки, имитирующие работы Call-центров, зачастую такими площадками являются исправительные заведения. Для таких «сотрудников» специально обученные психологи пишут скрипты звонков, цель которых удержать клиента на линии, получить от него недостающие данные о номере карты и коды подтверждения операции.

Сама мошенническая операция достаточно стандартная: одновременно со звонящим второй «сотрудник» открывает страницу регистрации Интернет-банка, используя полученные от первого сотрудника цифры номера карты и коды подтверждения,входит в Интернет-банк от имени клиента, отключает СМС-информирование о списаниях, переводит все денежные средства со счетов клиента на счета его банковских карт, а затем с карт делает переводы на мошеннические карты, включая виртуальные карты других банков, электронные кошельки, покупки в интернет-магазинах и т.д.

Основная «изюминка» таких манипуляций состоит в том, что все переводы подтверждаются одноразовыми паролями, сообщенными клиентами мошенникам добровольно.

 

КАК С ЭТИМ БОРОТЬСЯ?

В рассматриваемом случае главный объект воздействия – это сам клиент – человек. И основной упор борьбы с СИ, конечно, социальный. Человеку надо настойчиво объяснять, разъяснять, показывать на примерах, как надо и как не надо общаться с незнакомыми людьми. Регулярно напоминать, что сотрудники банка НИКОГДА не спрашивают данные карт у клиентов и не просят сообщить КОДЫ ПОДТВЕРЖДЕНИЯ. В этой работе никогда не надо забывать о правиле Парета. Клиенты в основной своей массе (80%) вполне нормальные (сточки зрения информационной безопасности) люди и в полной мере осознают риски мошенничества. Часть клиентов (10% справа) параноики безопасности, и они не только соблюдают рекомендации банков, но придумывают собственные способы защиты за пределами разумной достаточности. И только незначительное число (10% слева) подвержены этой самой СИ.

Самое обидное в расходовании средств на «повышение осведомленности» то, что мы ориентируемся на «80%» аудитории, имея в виду при этом «10% слева», до которых все наши усилия так и не долетают. Иначе говоря, вся разъяснительная работа должна строиться с учетом конкретной аудитории воздействия. Это означает, что надо серьезно анализировать, во-первых, все категории своих клиентов, по самым разным аспектам – возраст, пол, образование, социальную среду, типовые транзакции, хобби и т.д., т.е. по любым доступным признакам. Это позволит точнее понять «среду обитания» клиентов, а затем по каждой выделенной категории (совокупности категорий) провести анализ частоты и характера мошенничеств. Такой анализ покажет, как надо работать с каждой категорией для повышения именно её осведомлённости.

 

ВО-ВТОРЫХ!

И вот тогда приходит «во-вторых». Тут необходимо разрабатывать не просто какие-то программы повышения осведомленности, но и типичные каналы доведения этой информации до каждой выделенной категории клиентов. Простой пример. Ещё пару-тройку лет назад основной категорией потерпевших были люди старшего возраста, преимущественно пенсионеры. Работа именно с этой категорией по специфическим каналам информирования (программы «активное долголетие», программы повышения финансовой грамотности в банках, клубах по интересам и т.д.) сместило фокус на более активные группы клиентов – молодежь с высшим образованием и активным проникновением в интернет-сервисы. Соответственно, работу надо выстраивать заново, не прекращая предыдущей.

 

НЕОБХОДИМО, НО НЕДОСТАТОЧНО

Повышение осведомленности – это многообразный, многослойный процесс, и эта статья - одна из его составляющих. Другие составляющие – памятки на сайте, рекомендации по безопасности на сайте и в личном кабинете, консультации клиентов, выступления в СМИ и т.д. Большую работу в этом направлении делает и БР.

 

ВАЖНЫЕ МЕРЫ

Понятно, что только разъяснительно-воспитательной работы недостаточно.

Дополнительно я бы выделил еще меры,как минимум, в двух направлениях:

  • разрушение социально экономической базы «исполнителей» из числа обитателей и охранников подразделений исполнения наказаний
  • разработка специальных технических решений.

 

УДАР ПО «ЭКОНОМИКЕ»

Экономическую основу таких правонарушений всегда составляет соотношение стоимость реализации атаки/полученный «доход». Это классика жанра. В данном случае «экономической основой» является низкая стоимость получения исходных данных для проведения атаки, практическое отсутствие специального инструмента, «дешевые» способы сокрытия истинных номеров звонящих телефонов и, как следствие, практически отсутствуют требования к специальной подготовке исполнителей. Специальные технические решения должны быть направлены, во-первых, на резкое повышение сложности и стоимости получения исходных данных для телефонных звонков, во-вторых, создание системы невозможности подмены номера на номер банка, и, наконец, в-третьих, на доработку антифрод-систем, контролирующих платежи физических лиц.

Повышение стоимости и сложности добычи «исходных данных» может быть достигнуто усилением контроля доступа к базам данных, содержащим чувствительные клиентские данные. Это огромный пласт работы, содержащий и выверку ролей, и поддержание актуальных доступов, и актуализацию различных отчетных и учетных форм, и использование систем контроля доступа к базам данных. Такой комплекс мероприятий позволит максимально минимизировать вероятность несанкционированного доступа и копирования чувствительной информации, и, соответственно, ее утечки.

Банком России совместно с телеком-компаниями проводится большая работа в области правомерности использования номеров телефонов банков, и есть надежда, что эта работа даст свои результаты.

 

РАЗРАБОТКА АЛГОРИТМОВ И ВЗАИМОДЕЙСТВИЕ БАНКОВ

И, наконец, разработка и внедрение специальных алгоритмов анализа поведения клиентов при работе в системах ДБО с целью выявления нехарактерных для клиента действий. Анализируя сотни телефонных звонков злоумышленников, можно сделать вывод, что существует не более пяти-шести сценариев их действий. Основные различия касаются «зацепки клиента» и алгоритмов вывода средств со счета. Коль скоро выявляется алгоритм действий мошенника, то появляется возможность разработки алгоритмов контроля поведения плательщика с целью выявления нетипичных операций и способ их проведения. Использование такого рода алгоритмов в антифрод-системах позволит временно блокировать операции, дождаться пока клиент «остынет», и тогда вернуться к проведению операции еще раз.

Если средства все-таки утекли, то надо не забывать про улучшение взаимодействия банков между собой, в том числе через каналы ФинЦерт, для организации возврата средств, списанных со счетов клиентов без их согласия.

 

ИТОГО

Для финансовых организаций нужно пытаться реализовывать все перечисленное выше. И в работе с клиентами с учетом аудитории не уставать доводить рекомендации до клиента: беречь от доступа третьих лиц свои средства электронных платежей – платежные карты, мобильные телефоны, планшеты и компьютеры. Не разглашать данные карт и в каких банках открыты счета.

И постоянно напоминать клиентам, что сотрудники банка НИКОГДА не спрашивают данные карт у клиентов и не просят сообщить КОДЫ ПОДТВЕРЖДЕНИЯ. Если такое случается, необходимо запомнить последовательность вопросов мошенников и сообщить об этом в банк по телефону на банковской карте. И если все-таки случилась неприятность, надо срочно связываться с банком и срочно блокировать карту. Иногда удается вернуть деньги.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.03.2024
Сколько денег тратят на маркетинг лидеры российского рынка инфобеза
18.03.2024
Microsoft закроет доступ к облачным сервисам для российских компаний
18.03.2024
От операторов связи потребовали ограничить продажу «симок»
18.03.2024
Жертва социнженеров пыталась поджечь отделение «Сбера»
18.03.2024
Системы МВФ были взломаны впервые за 13 лет
15.03.2024
ИИ поможет бизнесу выявлять брак и маркировать продукцию
15.03.2024
Минцифры поручено и дальше цифровизировать всё вокруг
15.03.2024
Стоит с настороженностью относиться к сообщениям о перевыпуске SIM-карты
15.03.2024
IDC: Больше всех на «облака» в этом году потратит Польша
14.03.2024
Вендоры хотят ограничить госкомпании в закупках зарубежного харда

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных