ИБ финансовой сферы: что именно хочет донести ЦБ до участников рынка. Практические выводы из статистики и аналитики несанкционированных транзакций

BIS Journal №3(42)/2021

12 августа, 2021

ИБ финансовой сферы: что именно хочет донести ЦБ до участников рынка. Практические выводы из статистики и аналитики несанкционированных транзакций

«Обзор операций, совершённых без согласия клиентов финансовых организаций за 2020 год» опубликован Департаментом информационной безопасности Банком России в апреле 2021 года. В отчёте, предназначенном и профессионалам, и широкой аудитории, рассматриваются главные отраслевые тренды, анализируются самые важные и актуальные вопросы.

 

МАКСИМАЛЬНАЯ ПУБЛИЧНОСТЬ

Документ ориентирован как на профессионалов, так и на широкую массовую аудиторию, которой интересны и важны вопросы информационной безопасности финансового сектора. В этом его отличие от ранее опубликованного обзора «Основные типы компьютерных атак в кредитно-финансовой сфере в 2019–2020 годах», предназначенного главным образом для профессионалов информационной безопасности финансового рынка.

Основной посыл обзора несанкционированных транзакций таков: социальная инженерия остаётся главной угрозой деньгам клиентов финансовых организаций, хотя доля её снижается. Даётся сигнал рынку, в первую очередь банкам, уделять ещё больше внимания информированию клиентов о рисках мошенничества. Говорится, каким инструментам и схемам атак, механизмам и каналам вывода денег нужно уделить приоритетное внимание.

Обзор широко презентуется. Раньше это делалось на Уральском форуме «Информационная безопасность финансовой сферы», на этот раз – из-за пандемии – на пресс-конференции в Москве. Конечно, далеко не все клиенты финансовых организаций подробно изучат обзор, но основные положения узнают из прессы, которая многое о нём сообщает. Через популярную подачу журналистами граждане, пользующиеся дистанционными финансовыми сервисами, узнают основные угрозы, вооружаются пониманием и знаниями, как не быть обманутым злоумышленниками.

Документ полезен всем группам клиентов финансовых организаций: сотрудникам бухгалтерий – представителям юридических лиц, индивидуальным предпринимателям и физическим лицам. Есть некоторая разница инструментария социальной инженерии, нацеленного на каждую из этих групп. Специалисты могут понять общую картину и главные тенденции отрасли, руководители финансовых организаций – делать обоснованные выводы и принимать правильные решения.

Одна из свежих тенденций – переориентация атак мошенников с банковских карт на депозиты, текущие счета клиентов. Ноу-хау – схемы, при которых людей убеждают оформить кредит и перевести деньги на мошеннический счёт. Социальные инженеры заменяют тактику «от многих по чуть-чуть» принципом «от одного, но много».

Среди самых изощрённых, массовых и прибыльных инструментов «социальных инженеров» – телефонный звонок якобы из «службы безопасности банка». С конца 2020 года участились звонки злоумышленников от имени «правоохранительных органов».

 

АКТУАЛЬНЫЕ АТАКИ

К гражданам злоумышленники чаще всего обращаются посредством звонков по телефону. На юридических лиц они обычно ориентируют рассылки писем по электронной почте, в том числе содержащие вредоносное программное обеспечение, компьютерные вирусы.

Для юридических и физических лиц придумываются разные легенды. Гражданам сообщают о несуществующих проблемах с деньгами на их личных счетах, заведением дела в полиции... К юридическим лицам злоумышленники обращаются якобы от имени контрагентов и должностных лиц – налоговой службы, арбитражных судов.

Требуют под вымышленными предлогами срочно перечислить деньги по указанным реквизитам: оплатить счёт и т. п. Применяются как массовые, так и адресные рассылки с хорошо продуманной легендой, индивидуально ориентированным содержанием письма, оформленного бланками, логотипами, печатями.

Из клиентов финансовых организаций более уязвимы для социальной инженерии граждане, которые гораздо чаще попадаются на уловки мошенников. Граждане, как правило, самостоятельно распоряжаются своими деньгами, но менее грамотны в вопросах информационной безопасности, чем сотрудники юридических лиц.

Вынудить сотрудников юридических лиц совершить перевод денежных средств злоумышленникам труднее. Как правило, в организации решение о финансовых транзакциях принимается не единолично. Если мошенническое предложение получил секретарь, для подтверждения транзакции нужно «добро» ещё от генерального директора и бухгалтера.

Кроме того, процедуры вывода денег со счетов юридических лиц сложнее, они состоят из большего количества операций. Например, неосторожный сотрудник открыл опасное электронное письмо и допустил заражение вирусом и своего компьютера, и корпоративной сети. Но в такой ситуации всё же остаётся время выявить и купировать эту атаку, предотвратить хищение.

У граждан, напротив, деньги очень быстро перечисляются на счета сообщников злоумышленников и обналичиваются. Поэтому физическим лицам, особенно пожилым гражданам, рекомендуется не спешить при сомнительных предложениях от якобы сотрудников банка или полиции. Лучше перед принятием решения выждать время, посоветоваться с родственниками, друзьями, самому перезвонить в банк или полицию,

 

ПРИОСТАНОВИТЬ И ВЕРНУТЬ

Часть ответственности за сохранность денег клиентов и противодействие злоумышленникам лежит, конечно, на финансовых организациях, в первую очередь на банках. Однако ст. 9 Федерального закона от 27 июня 2011 г. № 161-ФЗ «О национальной платёжной системе» позволяет банку не возмещать клиенту похищенные таким образом средства: если тот нарушил условия договора обслуживания. Например, когда клиент сообщил третьим лицам информацию, которая способствовала хищению денег.

Главный смысл методов социальной инженерии как раз в том и заключается, чтобы добиться от клиента сообщения таких данных, например номера банковской карты. Или в том, чтобы спровоцировать человека самого перевести деньги сообщникам злоумышленников.

Статистика показывает, что в 2020 году банки вернули клиентам только 11% денежных средств по оспоренным транзакциям. Возврат удавалось осуществить там, где хищения были вовремя приостановлены благодаря антифрод-процедурам или информационному обмену ФинЦЕРТ. Деньги, которые злоумышленники успевали вывести со счёта клиента и обналичить, вернуть практически почти невозможно.

Случаи возврата денег клиентам по оспоренным транзакциям связаны, в частности, с нежеланием банков нести риски своей деловой репутации. Клиент, обманутый злоумышленниками, сообщивший данные своей банковской карты, может винить в случившемся банк, который не предотвратил и не приостановил хищение.

Одним из средств усиления банками защиты клиентов от социальной инженерии являются антифрод-системы, автоматизация выявления и приостановка подозрительных финансовых операций. Банки могут создавать и развивать собственные системы или пользоваться услугами специализированных организаций. Антифрод-системы – одно из конкурентных преимуществ финансовых организаций в поддержании доверия клиентов.

 

ДОСТИЖЕНИЯ И НОВЫЕ РУБЕЖИ

Можно отметить улучшение защищённости информационных инфраструктур и клиентских сервисов финансовых организаций. Таковы результаты совершенствования систем управления информационной безопасностью, расширения перечня используемых средств защиты информации.

Растёт профессиональный уровень сотрудников подразделений информационной безопасности и информационных технологий. Важную роль играет успешное обезвреживание многих злоумышленников правоохранительными органами разных стран.

Эффективность массовых рассылок злоумышленников значительно снизилась благодаря функционированию системы информационного обмена ФинЦЕРТ Банка России. Информация о любой новой рассылке включается в оперативный бюллетень и быстро становится известной всем финансовым организациям.

Если атакующим удаётся проникнуть в информационную инфраструктуру финансовой организации, то закрепиться до принятия защитных мер они не успевают. Их затраты на рассылку и подготовку атак оказываются напрасными.

Сократилась до минимума доля таргетированных, тщательно подготовленных атак «социальных инженеров» на банки. То же самое можно отметить в отношении целевых атак на клиентов, хотя юридические лица атакуются таким образом чаще, чем физические.

Осведомлённость клиентов финансовых организаций и умение применять правила кибербезопасности увеличиваются. Доля социальной инженерии в общем объёме несанкционированных операций снизилась с 68,6% в 2019 году до 61,8% по итогам 2020 года.

Стало нелегко найти клиента банка, который бы ничего не слышал про мошенников, использующих обзвоны по телефону и интернет. Однако психология человека такова, что учиться на чужих ошибках могут далеко не все. Даже зная о рисках мошенничеств, люди часто не думают, что сами могут оказаться мишенью. Многим свойственно строить иллюзии, мол, обмануть могут кого угодно, но только не меня.

Зачастую злоумышленники застигают жертву врасплох и требуют действовать незамедлительно – под влиянием эмоций, не думая. Поэтому крайне важно, чтобы работа по информированию граждан об актуальных угрозах мошенничеств велась системно и постоянно.

Повышение защищённости от социальной инженерии – во многом результат информирования граждан со стороны правоохранительных органов, финансовых организаций и Банка России. Эта совместная работа должна продолжаться не ослабевая.

Смотрите также