17 июня, 2014, BIS Journal №2(13)/2014

Противодействовать мошенничеству с выгодой


Шумский Лев

начальник управления информационной безопасности департамента защиты активов (Связной Банк (ЗАО))

Как службе информационной безопасности крупного розничного банка убедительно обосновать финансово-экономические преимущества системы противодействия мошенничествам в ДБО

Безопасность клиентских сервисов – одно из главных направлений деятельности подразделения информационной безопасности банка, основным профилем которого является розничное обслуживание. Тем более крупного банка, который нацелен на динамичное развитие и, следовательно, нуждается в высоком уровне доверия клиентов.

 

ЧЕМ БОЛЬШЕ КЛИЕНТОВ, ТЕМ БОЛЬШЕ РАБОТЫ

К крупным розничным кредитно-финансовым организациям относится Связной Банк (ЗАО) – достаточно молодой проект, созданный в 2010 году в результате партнёрства АК «Промторгбанк» (ЗАО) с Группой компаний «Связной». Связной Банк (ЗАО) приоритетно развивает безналичные платежи, способствуя увеличению их доли в отечественной финансовой системе и экономике. Для распространения банковских продуктов и обслуживания клиентов используется инфраструктура торговых точек федеральной розничной сети «Связной» – более 3 500 центров мобильной связи по всей России.

Благодаря удобной для клиентов инфраструктуре и интересным продуктам за достаточно короткий промежуток времени Связному Банку удалось войти в ТОП-10 российских банков по размеру портфеля кредитных карт и в ТОП-50 –  по показателям розничного бизнеса. Сегодня в Связном Банке (ЗАО) обслуживается около 2 млн клиентов, из которых 1,2 млн – активно оплачивают товары и услуги при помощи банковских карт.

Для дистанционного обслуживания клиентов используется собственный web- и мобильный сервис QBank, разработка которого заняла более 2 лет. В нём применяется ряд мер безопасности, надёжных и удобных для клиента. Для аутентификации и подтверждения платежей используются одноразовые пароли, доставляемые посредством SMS-сообщений на зарегистрированный клиентом номер мобильного телефона. Срок действия такого пароля и количество попыток его ввода ограничены.

В настройках карточного счёта клиент может установить гибкие лимиты на сумму транзакции в зависимости от получателя платежа и интервала времени – на сутки, неделю, месяц. Не так давно заработал механизм, который позволяет клиентам самостоятельно устанавливать разрешения совершать различные виды операций при помощи банковской карты либо её реквизитов –  снятие наличных средств в банкомате, безналичные переводы денег или покупки в интернет-магазинах.

Одними из первых в интернет-банкинге мы предоставили клиентам возможность открыть дополнительно к счёту банковской карты ещё один защищённый счёт SAFE. Хотя обслуживание его бесплатное, но на средний остаток средств на нём ежемесячно начисляются проценты из расчёта 10% годовых, с капитализацией. Перевод средств с карточного счёта на привязанный к нему счёт SAFE для клиента бесплатен и осуществляется практически мгновенно.

Счёт SAFE предназначен для безопасного хранения денежных средств. Непосредственно с него нельзя осуществлять платежи и переводы никуда, кроме как на карточный счёт клиента, к которому он привязан. Размещая основные средства на счете SAFE, клиент переводит на карточный счёт лишь ту сумму, которую собирается потратить в ближайшее время.

Свыше 280 000 клиентов пользуются таким видом дистанционного банковского обслуживания как интернет-банкинг, и ежемесячно их становится на 5-7% больше. Видя выгодные условия, удобный и безопасный сервис, чётко работающее обслуживание, клиенты стали активно накапливать денежные средства на этом счете.

Быстрое расширение клиентской базы естественным образом привлекло внимание к Связному Банку и со стороны криминального сообщества. Весной прошедшего 2013 года мы столкнулись с увеличением количества жалоб клиентов на неправомерное списание денежных средств в системе ДБО. В результате проведённого банком расследования были выявлены несколько видов хищений. Поскольку в нашей системе интернет-банка распоряжаться средствами на счёте SAFE нельзя, кроме перевода их на привязанный карточный счёт, мошенники вначале так и поступали. И уже с карточного счёта они выводили денежные средства межбанковским переводом, в том числе на счета операторов мобильной связи.

НОВЫЕ ВИДЫ АТАК

Для того, чтобы осуществлять транзакции с карточного счёта, нужно подтверждение входа в интернет-банк и каждого платежа или перевода одноразовым паролем, который высылается банком SMS-сообщением и дей-ствует ограниченное время – 5 минут. Поэтому с конца 2013 года кибермошенники начали применять новый вид атаки – на SIM-карту, номер мобильного телефона абонента, зарегистрированный в интернет-банке.

Для такой атаки требуется длительная и довольно трудоёмкая подготовка, поэтому она требует хорошего «прицела». Вначале злоумышленники выбирают подходящую жертву, собирают информацию о состоянии её счёта, чтобы «игра стоила свеч». Для примера, когда начались атаки на SIM-карты, ущерб в каждом из 3 случаев, произошедших за месяц, превышал 1 млн рублей. Такое мошенничество должно было быть осуществлено в короткий промежуток времени: подмена или клонирование SIM-карты номера мобильного телефона жертвы, а потом вывод денег с его счёта занимают всего несколько часов.

Другой, более простой и массовый вид мошенничества, с которым мы столкнулись непосредственно, эксплуатирует распространённую, к сожалению, страсть к лёгкому обогащению. Злоумышленники размещают на различных ресурсах, в том числе «рекламируемых» спам-рассылками по адресам электронной почты, объявления о возможностях получить быстрый доход.

Для этого якобы достаточно оформить и зарегистрировать карту Связного Банка, положить на карточный счёт некую сумму и уже через неделю получить доход, намного превышающий средний на рынке. Подвох в том, что в регистрационных данных в качестве контактного номера мобильного телефона предлагается указать не свой, а контролируемый злоумышленниками.

Граждане, которые без должной проверки принимают предложение злоумышленников, оформляют карточный продукт, в качестве контактного номера указывают телефон мошенников. Которые на этот телефонный номер получают подтверждающие SMS-сообщения, что жертва открыла карточный счёт и положила на него денежные средства. Они входят от её имени в интернет-банк и похищают чужие деньги – переводят на свои подконтрольные счета, а потом снимают наличные.

Третий способ мошенничества, выявленный сотрудниками Связного Банка, – рассылки SMS-сообщений с использованием социального инжиниринга, с учётом слабостей человеческой психологии. Сообщения рассылаются злоумышленниками весьма изобретательно, и содержат заведомо ложную информацию.

Например, такую: «Ваша банковская карта заблокирована ФСБ Центрального Банка России… Позвоните, пожалуйста, по номеру такому-то, и вам окажут помощь». Или: «Ваша карта по ошибке была выдана…», к примеру, Иванову Сидору Ивановичу, «... нужно связаться с ним по такому-то номеру телефона и обменяться картами». Если держатель банковской карты верит присланному SMS-сообщению и перезванивает на указанный мошенниками номер, мошенники продолжают обман и тем или иным способом выманивают у жертвы деньги.

И, наконец, четвёртый, самый массовый вид  кибермошенничества можно назвать комбинированным. Персональный компьютер,  с которого клиент осуществляет интернет-банкинг, заражается специализированным банковским вирусом-трояном, модифицированным именно под нашего клиента. Как правило, это Qhost или иной принадлежащий к семейству SpyEye. При попытке обратиться к нашему интернет-банку вирус перенаправляет жертву на поддельный интернет-ресурс, специально созданный мошенниками. Пытаясь авторизоваться, клиент получает сообщение об ошибке.

Сразу же после этого один из мошенников звонит ему на контактный номер телефона, представляется главным программистом нашего банка. Говорит, что якобы в настоящий момент «ведутся профилактические работы», и обещает «помочь».

Затем мошенники в интерфейсе настоящего интернет-банка вводят логин – персональный номер атакованного клиента и пароль. Потом убеждают жертву сообщить одноразовый цифровой пароль подтверждения, присланный банком на его номер SMS-сообщением, или ввести в нужное поле контролируемого ими поддельного сайта интернет-банка.

Войдя в настоящем интернет-банке в профиль клиента-жертвы, мошенники создают платёжные поручения на переведение средств со счёта SAFE на карточный, а уже с него – межбанковским переводом на свой счёт для последующего снятия наличными. Подтверждающими одноразовыми паролями мошенники завладевают уже описанным способом, добиваясь своего. Все действия хищения занимают у мошенников в среднем полчаса, от начала атаки до снятия наличных денег в банкомате.

КОНТРОЛЬ, МОНИТОРИНГ И ОСВЕДОМЛЁННОСТЬ

Для того, чтобы пресечь мошеннические схемы, как уже выявленные, так и возможные в будущем, банком была сформирована постоянно дейст-вующая рабочая группа. В неё вошли специалисты различных подразделений информационной безопасности, IT-департамента, поддержки – call-центра, специалисты по рискам, банковские технологи. Совместно анализируется каждый инцидент с признаками мошенничества, если подозрения оказываются обоснованными, то разрабатываются меры противодействия.

С самого начала, столкнувшись с «первой волной» попыток мошенничеств, мы разработали, что называется, quick wins. То есть перечень базовых, первоначальных мероприятий, которые можно было провести в достаточно короткие сроки с высокой долей эффективности. Были разработаны и внедрены меры противодействия мошенничествам по трём направлениям.

Первое направление – усиленный контроль платежей с повышенными рисками, осуществляемый частично автоматизированно, частично «вручную». По понятным причинам описать используемые критерии в открытой прессе мы не можем.

Автоматизированная банковская система была перенастроена таким образом, чтобы приостанавливать выполнение платёжных поручений, отвечающих определённым характеристикам. Такие платёжные поручения стали отправляться для дополнительной проверки в группу мониторинга транзакций, круглосуточно работающую в call-центре.

Специалисты группы мониторинга обязаны связаться с клиентом, провести его расширенную идентификацию, в случае положительного результата получить у него дополнительное подтверждение и только после этого провести транзакцию. В настоящее время в сутки обрабатывается в среднем до 600 платёжных поручений с признаками повышенного риска.

Второе направление, которое мы продолжили расширять и углублять, – мониторинг фишинг-ресурсов. Выстроить это направление работы нам помогли уже имевшиеся наработки, которые были накоплены с декабря 2012 года. Ещё тогда совместно с коллегами из компании Group-IB мы начали мониторинг бот-сетей, который оказался достаточно результативным.

Третье направление – повышение осведомлённости клиентов о правилах информационной безопасности. Эта работа ведётся во взаимодействии с подразделениями Связного Банка, непосредственно занимающимися розничными продажами. В большинстве случаев мошенники достигают успеха именно потому, что клиенты не знают основ безопасности электронных платежей, правил работы с ДБО. Или же не осознают, как важно неукоснительно соблюдать установленные правила. Мы сообщаем клиентам о разных уловках злоумышленников – и о технических, и о социальной инженерии. Подробно информируем, что надо делать и чего не надо, чтобы не стать жертвой мошенничества.

РАСЧЁТ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ

Необходима методика оценки эффективности ведущегося банком противодействия мошенничеству. Для этого можно по месяцам сопоставлять количество и суммы опротестованных клиентами транзакций, то есть успешных попыток хищений, со статистикой неудачных покушений, предотвращённых в результате предпринятых мер. Также следует использовать график, показывающий динамику заражения рабочих компьютеров клиентов по результатам мониторинга бот-сетей.

Внутренняя статистика за прошедший 2013 год показывает: первый пик активности мошенников пришёлся на весну, а после принятых нами в июне – июле мер у них наступил спад. В ноябре – декабре злоумышленники вновь активизировались, задействовав новые приёмы атак – подмены и клонирования SIM-карт номеров мобильных телефонов клиентов, зарегистрированных в интернет-банке как контактные для получения SMS-сообщений, в том числе одноразовых паролей. В конце года – в декабре, по-видимому, в преддверии длинных новогодних выходных – нами был зафиксирован пик заражения клиентских компьютеров.

В ближайшие пару лет, в 2014–2015 годах, возможно смещение главного вектора атак злоумышленников с привычных средств ДБО на мобильные устройства, которые становятся всё более популярными. Мы акцентируем внимание на защите и интернет-банкинга, которым пользуются при помощи мобильных устройств, и собственно мобильного банкинга. Предстоит выбрать платформенное решение контроля и предотвращения мошенничеств, которое позволит, в том числе, оптимизировать сопровождение антифродом.

Чтобы компенсировать повышение операторами сотовой связи тарифов на SMS-информирование клиентов, рассматриваются альтернативные технологии подтверждения платежей и аутентификации клиентов в системе ДБО. Среди них – использование QR-кода и электронной подписи на SIM-карте. В феврале 2014 года запущен сервис автоматизированного контроля замены SIM-карты. Уже за первые 3 дня его работы было зафиксировано 190 фактов замены SIM-карты, правда, легальных, что подтверждали идентифицированные клиенты.

Важной задачей управления информационной безопасностью банка является финансово-экономическое обоснование предпринимаемых мер, эффективности затрат. В том числе и руководству банка. Наглядным примером могут служить Диаграммы 1 и 2, изображающие помесячную динамику 2013 года – соотношение предотвращённых попыток мошенничества (желтым цветом) в ДБО с удавшимися хищениями (фиолетовым цветом), как по количеству транзакций, так и по денежным суммам.

ДИАГРАММА 1. Соотношение в 2013 году количества предотвращённых попыток мошенничества (желтым цветом) с транзакциями, опротестованными клиентами (фиолетовым цветом)

Хорошим показателем финансово-экономической эффективности работы подразделения информационной безопасности банка являются суммы предотвращённых хищений. Они многократно превосходят затраты на обеспечение информационной безопасности и экономят те средства, которые пришлось бы компенсировать клиентам. Это убедительное и наглядное обоснование расходов на обеспечение информационной безопасности.

ДИАГРАММА 2. Соотношение в 2013 году сумм, хищение которых было предотвращено (желтым цветом) с ущербом, нанесённым мошенниками (фиолетовым цветом)

К затратам, но не финансовых, а организационно-трудовых ресурсов, следует отнести рабочее время, которое уходит у операторов call-центра на «ручной» контроль операций, требующих дополнительного подтверждения, фонд оплаты их труда, стоимость аренды производственных помещений и каналов связи, электроэнергии и амортизации оборудования. Таким образом можно предварительно рассчитать срок окупаемости затрат на антифрод-мониторинг, согласовать с финансовым департаментом банка и «защитить проект».

К перечисленным мерам противодействия мошенничеству, которые должны носить комплексный, взаимосвязанный характер, можно добавить ещё одно пожелание. Нужно стараться максимально вовлекать в эту работу коллег из смежных подразделений банка. Потому что один в поле не воин, и решить проблему мошенничеств в системах ДБО можно только благодаря совместной работе.

 

Смотрите также

Страхи и реалии

27 ноября, 2013
Подпишись на новости!
Подписаться