BIS Journal №1(36)/2020

27 марта, 2020

Не ученьем единым

В последнее время самая модная тема в сфере безопасности ДБО – это социальная инженерия (СИ). Кто и где только не говорят о ней! «Новые технологии мошенников», «Крах технической защиты» и т.д. и т.п. Что это: очередной «хайп» или, действительно, что-то новое?

 

ИСТОРИЯ И ЗАКОНОМЕРНОСТИ

Само понятие «социальная инженерия» ввел в употребление Кевин Митник – знаковая фигура в сфере ИБ, бывший хакер серьезного уровня. Однако злоумышленники использовали такие методы задолго до появления самого термина.

История мошенничеств с использованием СИ уходит своими корнями во времена появления дистанционных каналов банковского обслуживания – более 30 лет назад, когда идентификация клиента при проведении операции стала опосредованной. Все это время уровень мошенничеств менялся волнообразно, всплески соответствовали периодам появления каких-либо новых банковских технологий, услуг или продуктов. Цепочка в этой области выстраивалась в классической последовательности: новое технологическое решение – всплеск мошеннической активности-разработка контрмер-стабилизация активности-распространение контрмер-спад активности. И так до появления новых решений. В среднем на рынке каждые два-три года, а теперь и чаще, появляется что-то новое, и цепочка запускается вновь. Обычный цикл составляет примерно 8-9 месяцев, после чего наступает незначительный период внешнего спокойствия, когда обе стороны борьбы собираются с силами и пытаются придумать что-то особенное. Сейчас мы находимся в фазе относительной стабилизации – контрмеры выработаны и происходит их распространение.

 

В НАСТОЯЩЕЕ ВРЕМЯ

В настоящее время уровень атак на клиентов банков в целом стабилизировался, более того,наблюдается постепенный спад. Основной способ борьбы текущего момента – повышение осведомленности как непосредственно клиентов, так и сотрудников банков о рисках реализации мошенничеств с использованием телефонных звонков. Повышение осведомленности происходило и продолжается на всех уровнях и в самых разных аудиториях – СМИ, интернет, социальные сети, специальные памятки, «напоминалки» в личных кабинетах, выступления на конференциях, открытых уроках, включение соответствующих разделов в программы обучения и т.д.

Судя по информации из тех же СМИ, эта деятельность оказалась относительно успешной.

Если с начала последнего витка, т.е. примерно с середины лета 2019 года, «успешным» был каждый третий звонок мошенников (при этом суммы списаний были самые разные – от одной тысячи до миллиона рублей), то сейчас, благодаря большой разъяснительной работе сотрудников банка, уровень реализованных мошенничеств снизился в десяток раз. На пике этих мошенничеств, по словам первого заместителя директора ДИБ БР Сычева А.М. (из выступления на осенней сессии Уральского Форума 2019), по стране уровень мошенничеств, связанных с социальной инженерией, составил до 97% от всех мошенничеств и достиг суммы более миллиарда рублей. Из последующих выступлений сумма мошенничеств увеличивалась незначительно.

 

ПОПРОБУЕМ РАЗОБРАТЬСЯ

Методы социальной инженерии направлены, как правило, на достижение двух целей: получить недостающие для мошенничества учетные данные клиента или установить вредоносное программное обеспечение на электронные средства проведения платежей. В нашем случае преследуется первая цель, мошенники используют полученные из самых разных источников обрывочные сведения о клиентах (например, из баз данных телекоммуникационных компаний, данных on-line сервисов по оплате товаров и услуг и т.д., где могут фигурировать номера телефонов и имена-отчества клиентов, слипы электронных чеков с последними цифрами из номера карты и др.), затем эти данные специальным образом собираются, систематизируются и из них готовятся базы данных для обзвонов. Не секрет, что в некоторых банках такими источниками клиентских данных являются недобросовестные сотрудники, злоупотребляющие служебным положением. Далее подготовленные данные поступают на специальные площадки, имитирующие работы Call-центров, зачастую такими площадками являются исправительные заведения. Для таких «сотрудников» специально обученные психологи пишут скрипты звонков, цель которых удержать клиента на линии, получить от него недостающие данные о номере карты и коды подтверждения операции.

Сама мошенническая операция достаточно стандартная: одновременно со звонящим второй «сотрудник» открывает страницу регистрации Интернет-банка, используя полученные от первого сотрудника цифры номера карты и коды подтверждения,входит в Интернет-банк от имени клиента, отключает СМС-информирование о списаниях, переводит все денежные средства со счетов клиента на счета его банковских карт, а затем с карт делает переводы на мошеннические карты, включая виртуальные карты других банков, электронные кошельки, покупки в интернет-магазинах и т.д.

Основная «изюминка» таких манипуляций состоит в том, что все переводы подтверждаются одноразовыми паролями, сообщенными клиентами мошенникам добровольно.

 

КАК С ЭТИМ БОРОТЬСЯ?

В рассматриваемом случае главный объект воздействия – это сам клиент – человек. И основной упор борьбы с СИ, конечно, социальный. Человеку надо настойчиво объяснять, разъяснять, показывать на примерах, как надо и как не надо общаться с незнакомыми людьми. Регулярно напоминать, что сотрудники банка НИКОГДА не спрашивают данные карт у клиентов и не просят сообщить КОДЫ ПОДТВЕРЖДЕНИЯ. В этой работе никогда не надо забывать о правиле Парета. Клиенты в основной своей массе (80%) вполне нормальные (сточки зрения информационной безопасности) люди и в полной мере осознают риски мошенничества. Часть клиентов (10% справа) параноики безопасности, и они не только соблюдают рекомендации банков, но придумывают собственные способы защиты за пределами разумной достаточности. И только незначительное число (10% слева) подвержены этой самой СИ.

Самое обидное в расходовании средств на «повышение осведомленности» то, что мы ориентируемся на «80%» аудитории, имея в виду при этом «10% слева», до которых все наши усилия так и не долетают. Иначе говоря, вся разъяснительная работа должна строиться с учетом конкретной аудитории воздействия. Это означает, что надо серьезно анализировать, во-первых, все категории своих клиентов, по самым разным аспектам – возраст, пол, образование, социальную среду, типовые транзакции, хобби и т.д., т.е. по любым доступным признакам. Это позволит точнее понять «среду обитания» клиентов, а затем по каждой выделенной категории (совокупности категорий) провести анализ частоты и характера мошенничеств. Такой анализ покажет, как надо работать с каждой категорией для повышения именно её осведомлённости.

 

ВО-ВТОРЫХ!

И вот тогда приходит «во-вторых». Тут необходимо разрабатывать не просто какие-то программы повышения осведомленности, но и типичные каналы доведения этой информации до каждой выделенной категории клиентов. Простой пример. Ещё пару-тройку лет назад основной категорией потерпевших были люди старшего возраста, преимущественно пенсионеры. Работа именно с этой категорией по специфическим каналам информирования (программы «активное долголетие», программы повышения финансовой грамотности в банках, клубах по интересам и т.д.) сместило фокус на более активные группы клиентов – молодежь с высшим образованием и активным проникновением в интернет-сервисы. Соответственно, работу надо выстраивать заново, не прекращая предыдущей.

 

НЕОБХОДИМО, НО НЕДОСТАТОЧНО

Повышение осведомленности – это многообразный, многослойный процесс, и эта статья - одна из его составляющих. Другие составляющие – памятки на сайте, рекомендации по безопасности на сайте и в личном кабинете, консультации клиентов, выступления в СМИ и т.д. Большую работу в этом направлении делает и БР.

 

ВАЖНЫЕ МЕРЫ

Понятно, что только разъяснительно-воспитательной работы недостаточно.

Дополнительно я бы выделил еще меры,как минимум, в двух направлениях:

  • разрушение социально экономической базы «исполнителей» из числа обитателей и охранников подразделений исполнения наказаний
  • разработка специальных технических решений.

 

УДАР ПО «ЭКОНОМИКЕ»

Экономическую основу таких правонарушений всегда составляет соотношение стоимость реализации атаки/полученный «доход». Это классика жанра. В данном случае «экономической основой» является низкая стоимость получения исходных данных для проведения атаки, практическое отсутствие специального инструмента, «дешевые» способы сокрытия истинных номеров звонящих телефонов и, как следствие, практически отсутствуют требования к специальной подготовке исполнителей. Специальные технические решения должны быть направлены, во-первых, на резкое повышение сложности и стоимости получения исходных данных для телефонных звонков, во-вторых, создание системы невозможности подмены номера на номер банка, и, наконец, в-третьих, на доработку антифрод-систем, контролирующих платежи физических лиц.

Повышение стоимости и сложности добычи «исходных данных» может быть достигнуто усилением контроля доступа к базам данных, содержащим чувствительные клиентские данные. Это огромный пласт работы, содержащий и выверку ролей, и поддержание актуальных доступов, и актуализацию различных отчетных и учетных форм, и использование систем контроля доступа к базам данных. Такой комплекс мероприятий позволит максимально минимизировать вероятность несанкционированного доступа и копирования чувствительной информации, и, соответственно, ее утечки.

Банком России совместно с телеком-компаниями проводится большая работа в области правомерности использования номеров телефонов банков, и есть надежда, что эта работа даст свои результаты.

 

РАЗРАБОТКА АЛГОРИТМОВ И ВЗАИМОДЕЙСТВИЕ БАНКОВ

И, наконец, разработка и внедрение специальных алгоритмов анализа поведения клиентов при работе в системах ДБО с целью выявления нехарактерных для клиента действий. Анализируя сотни телефонных звонков злоумышленников, можно сделать вывод, что существует не более пяти-шести сценариев их действий. Основные различия касаются «зацепки клиента» и алгоритмов вывода средств со счета. Коль скоро выявляется алгоритм действий мошенника, то появляется возможность разработки алгоритмов контроля поведения плательщика с целью выявления нетипичных операций и способ их проведения. Использование такого рода алгоритмов в антифрод-системах позволит временно блокировать операции, дождаться пока клиент «остынет», и тогда вернуться к проведению операции еще раз.

Если средства все-таки утекли, то надо не забывать про улучшение взаимодействия банков между собой, в том числе через каналы ФинЦерт, для организации возврата средств, списанных со счетов клиентов без их согласия.

 

ИТОГО

Для финансовых организаций нужно пытаться реализовывать все перечисленное выше. И в работе с клиентами с учетом аудитории не уставать доводить рекомендации до клиента: беречь от доступа третьих лиц свои средства электронных платежей – платежные карты, мобильные телефоны, планшеты и компьютеры. Не разглашать данные карт и в каких банках открыты счета.

И постоянно напоминать клиентам, что сотрудники банка НИКОГДА не спрашивают данные карт у клиентов и не просят сообщить КОДЫ ПОДТВЕРЖДЕНИЯ. Если такое случается, необходимо запомнить последовательность вопросов мошенников и сообщить об этом в банк по телефону на банковской карте. И если все-таки случилась неприятность, надо срочно связываться с банком и срочно блокировать карту. Иногда удается вернуть деньги.

Смотрите также