За 2019 год кибератаки на банки участились в среднем от раза в неделю до раза в сутки. Держать удар банкиры вынуждены сразу с двух сторон: с одной — защищать счета от хакеров, с другой — персональные данные клиентов от своих сотрудников. В таких обстоятельствах самым действенным механизмом обороны становится обучение клиентов азам финансовой грамотности и сопротивляемости бесконечным вариантам социальной инженерии.
Банковские службы безопасности уже научились бороться с такими угрозами, как СМС и звонки, DDoS-атаки, подложные веб-страницы, но постоянно возникают новые
Фото: Евгений Павленко, Коммерсантъ / купить фото
Банковские службы безопасности уже научились бороться с такими угрозами, как СМС и звонки, DDoS-атаки, подложные веб-страницы, но постоянно возникают новые
Фото: Евгений Павленко, Коммерсантъ / купить фото
Потери мировой экономики от кибератак в 2018 году составили $1,5 трлн, в 2019 году одна только Россия понесла ущерб в размере 2,5 трлн руб., заявил на форуме в Давосе председатель правления Сбербанка Станислав Кузнецов. Директор компании BI.ZONE, созданной крупнейшим банком страны, Дмитрий Самарцев отметил, что интенсивность угроз нарастает: «Атаки с использованием неизвестных ранее вредоносных программ происходят ежедневно, хотя еще год назад такие случаи в среднем происходили не чаще раза в неделю». Учитывая неблагоприятную ситуацию, представители Сбербанка предложили наладить обмен данными о киберпреступлениях и разработать единые стандарты безопасности.
Обеспечение безопасности финансовых средств всегда доставляло банкам немало хлопот, но в новом десятилетии эта тема, очевидно, потребует новых инвестиций. Однажды выстроенные системы безопасности приходится менять, на ходу внося изменения в стратегии защиты, отчасти поэтому банки неохотно делятся подробностями. И все же, в самых общих чертах, составить представление о том, как устроены эти системы, можно.
Защитные механизмы имеются на разных уровнях, особые правила установлены для физических и юридических лиц. «Сервисы для юридических лиц и индивидуальных предпринимателей предусматривают высокую степень защиты,— рассказывает управляющий ВТБ в Пермском крае Владимир Стрельников.— Например, система „ВТБ Бизнес Онлайн“ обладает многоступенчатой защитой, построенной на механизме многофакторной аутентификации клиента и электронной подписи с использованием сертифицированных средств. Для формирования электронной подписи под документами используется встроенное средство криптографической защиты информации».
Сделать более безопасными платежи физических лиц, как отмечают в ВТБ, удается благодаря тому, что основной счет изолируется при помощи дополнительных механизмов — использования цифровой карты (такая есть у многих банков) для оплаты покупок в сети или же выбора бесконтактных платежей (без использования пластика и, соответственно, риска раскрытия CVV-кода).
Выявлять мошеннические операции позволяют специальные системы мониторинга потоков транзакций. Например, в банке «Урал ФД» уже восемь лет действует система фрод-мониторинга собственной разработки. «Для разных категорий клиентов банк использует разные системы фрод-мониторинга: одну для платежей, поступивших в банк через системы дистанционного банковского обслуживания, другую — для онлайн-транзакций по банковским картам в процессинге банка»,— рассказали в пресс-службе «Урал ФД».
Угрозы скрытые и явные
Впрочем, обнаружить подозрительный платеж и предотвратить его — это два разных действия, которые банки не всегда могут реализовать последовательно из-за несовершенства законодательства. «Сейчас у банков нет абсолютно никаких правовых оснований не зачислять денежные средства на счета физических лиц, юридических лиц и индивидуальных предпринимателей, даже если есть абсолютно точная и проверенная информация, что данные счета принадлежат мошенникам»,— говорят в банке «Урал ФД».
По действующему законодательству (летом 2018 года были внесены изменения в федеральный закон от 27.06.2011 №161-ФЗ «О национальной платежной системе»), при выявлении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, оператор обязан приостановить исполнение распоряжения о совершении операции на срок не более двух рабочих дней. Но на практике эти ограничения не очень помогают банкам, сообщили в службе безопасности «Урал ФД», и в подтверждение привели два примера. Первый случай: в банке сработала система фрод-мониторинга на конкретном платеже клиента. Банк пытается связаться с клиентом по имеющимся у него контактным данным, чтобы уточнить, действительно ли клиент делал этот платеж. Клиент по какой-то причине не отвечает на звонки или находится там, где нет мобильной связи. Прошло два рабочих дня — что делать банку плательщика? Второй пример: «мошеннический» платеж все же ушел в другой банк, находящийся в другом городе. Клиент пишет заявление в правоохранительные органы, что по отношению к нему были совершены противоправные действия по ст. 159 УК РФ, идет в суд с иском о возврате «ошибочно» перечисленных денежных средств, так как владелец счета — мошенник, естественно, откажется добровольно возвращать украденные деньги, параллельно пишет заявление в банк с просьбой вернуть денежные средства. Банк оповещает АСОИ ФинЦЕРТ Банка России о «мошенничестве» не позднее следующего рабочего дня согласно указанию Банка России 4926-У. АСОИ ФинЦЕРТ Банка России через какое-то непродолжительное время оповещает банк получателя, а денег на счете мошенника в банке получателя уже нет, они были мгновенно переведены мошенниками куда-то дальше или обналичены.
«К великому сожалению, алгоритм возврата несанкционированно переведенных денежных средств существует только на бумаге,— констатируют в банке «Урал ФД».— На практике завести уголовное дело и получить клиенту постановление суда за два или даже пять рабочих дней невозможно. Банкам нужен правовой механизм и четкая учетная политика, прописанная в нормативных документах Банка России, позволяющая не зачислять денежные средства на счет (карты, телефоны, электронные кошельки и прочее) предполагаемых мошенников, а сразу отправлять такие денежные средства обратно в банк плательщика».
На необходимость разработки правовых алгоритмов противодействия хищению денежных средств указывает и Андрей Рычков, CEO сервиса онлайн-платежей ckassa. «Если у меня как у потребителя уже украли деньги, это значит, что они уже поступили в соседнее кредитное учреждение, то есть прошла успешная операция на списание, и на той, удаленной стороне есть другой банк, который обслуживает злоумышленника,— рассуждает он.— Но когда потребитель, у которого украли деньги, звонит в свой банк (даже если с момента хищения прошло не более двух минут) и получает ответ: извините, деньги уже ушли,— обратиться в банк, который обслуживает злоумышленника, не может ни он сам, ни его банк. И это позволяет токсичной электронной коммерции хорошо развиваться».
Каждый сам знает
Персональные данные оказываются доступны мошенникам чаще всего благодаря действующим и бывшим сотрудникам банков — базы данных продаются и покупаются. Прошлой осенью «Коммерсантъ» сообщал о двух утечках данных в крупнейшем банке страны, были найдены и сотрудники, причастные к хищению данных.
«С такими угрозами, как СМС и звонки, DDoS-атаки, которые три года назад были настоящим бичом отрасли, а также с подложными веб-страницами банковские службы безопасности научились бороться»,— говорит Андрей Рычков. Поэтому, по его мнению, вектор атаки будет направлен не на привычную технику, а в сторону социальной инженерии и передовых способов оплаты. «Уже видел попытки атак с помощью подложных QR-кодов, но это было в контексте Alipay»,— рассказывает господин Рычков.
В этой ситуации основным механизмом защиты становится обучение клиентов азам финансовой грамотности и сопротивляемости бесконечным вариантам социальной инженерии. Сбербанк публикует ответы на наиболее часто встречающиеся вопросы, банк ВТБ вместе с правилами финансовой безопасности рассказывает о повторяющихся сюжетах и схемах, а банк «Урал ФД» предлагает своим клиентам пройти обучающий тест.
«Самый эффективный способ борьбы с мошенничеством — профилактика и информирование клиентов о неправомерных методах»,— считают в банке ВТБ. «ВТБ рассказывает о способах обезопасить себя в офисах банка, на предприятиях клиентов. На официальном сайте банка создан раздел „Безопасность“, в котором перечислены правила, информирующие клиентов ВТБ о том, как не попадаться на уловки злоумышленников. Есть и перечень наиболее часто встречающихся схем»,— говорит управляющий ВТБ в Пермском крае Владимир Стрельников.
«Чтобы снизить количество пострадавших от собственной беспечности, мы регулярно рассылаем СМС и электронные письма клиентам с самой последней актуальной информацией о видах мошенничеств, о том, как предотвратить такие ситуации, крупно пишем на заставках банкоматов и терминалов предупреждения»,— поясняют в банке «Урал ФД».
Один из действенных советов от банкиров до сих пор звучит так: запомните актуальный номер банка, мошенники точно не могут позвонить вам с него. Однако еще в прошлом году стало понятно, что мошенники используют технологию подмены телефонных номеров банков при помощи протоколов IP-телефонии. И теперь самый верный совет похож на тот, который каждому в детстве давали родители: «Никогда не разговаривайте с незнакомцами, а также не перезванивайте, не пишите и не переходите по незнакомым ссылкам». Любая информация, переданная вами мошенникам, будет считаться нарушением правил использования платежного средства.
«В любом банке есть вся необходимая информация о клиенте и данные по банковским картам для их блокировки в случае такой необходимости. Служащим банка незачем звонить клиенту и запрашивать эту информацию у вас. Всегда перезванивайте в свой банк для подтверждения любых сомнений, уточнения всех вопросов и обстоятельств. Причем всегда вручную набирайте единый номер кредитной организации, который есть на оборотной стороне карты»,— добавляют в Банке России.
Следует уточнить, что Банк России не работает с физическими лицами, а потому все звонки гражданам от имени этой структуры также, вероятнее всего, носят мошеннический характер.