© 1995-2021 Компания «Инфосистемы Джет»
Как банкам и их клиентам защититься от социальной инженерии
Информационная безопасность

Евгений Горбачев, начальник управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы

11.04.2016

Посетителей: 60

Просмотров: 54

Время просмотра: 0.5 мин.

Мы побеседовали с Евгением Горбачевым, начальником управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы, о растущей популярности социальной инженерии, защите мобильных устройств клиентов и о том, как правильно FinCERT’иться.

 

 

Сегодня многие эксперты рынка говорят об увеличении, как минимум, количества атак со стороны мошенников на банковские сервисы и клиентов. Насколько, по вашему мнению, верны эти оценки? Каковы лицо и поведение мошенника в кризисное время?

Атаки на банки и клиентов актуальны всегда, другое дело, что предпочитают мошенники в конкретный момент. Сейчас на волне популярности – мошенничество с банковскими картами и счетами через мобильный банк. Причем для этого в большей степени используются не технические средства, а старые-добрые методы социальной инженерии. Злоумышленники изучают приложения и системы, которые внедряют банки, подстраиваются под модель работы клиента. И в конце концов выманивают необходимые для регистрации в мобильных приложениях коды.

Как, например, в случае с Avito?

Да, это один из наиболее распространенных примеров. Человек размещает на Avito объявление, ему звонят – готовы купить, скажите номер карты, переведем деньги. И еще пришедший вам код, пожалуйста. Ну а дальше… Разгул мошенничества в отношении клиентов связан с тем, что банковские сервисы все больше завязаны на номер банковской карты и смартфон. Причем зачастую один и тот же гаджет клиенты используют и как устройство для запуска мобильного приложения, и как телефон для получения SMS-уведомлений.

 

Банки идут по пути упрощения взаимодействия с клиентами для повышения простоты и удобства обслуживания, собственно, эти принципы красной нитью проходят при позиционировании банковских брендов. При этом людей становится проще обмануть. Нужно находить разумный баланс между безопасностью и удобством. Как минимум, стоит использовать разные устройства для регистрации в системе ДБО и подтверждения платежей.

Исторический экскурс

«В 2008–2010 годах на коне были DDoS-атаки, направленные на приведение системы ДБО в неработоспособное состояние. Из-за них клиенты не могли зайти в интернет-банк и обнаружить мошенническую операцию. Затем трояны изменились, и DDoS-атаки в таком качестве стали не нужны: трояны сами делали все возможное, чтобы клиент вовремя не обнаружил чужую транзакцию. DDoS начал служить другим целям, сейчас технология в том числе используется для шантажа компаний».

Как можно полностью обезопасить среду выполнения операций на стороне клиента?

Если у вас на счету лежит небольшая сумма денег, которой вы, откровенно говоря, можете рискнуть, тогда использование одного устройства не критично. Но если приносите в банк вклад, особенно пополняемый и частично снимаемый, держите на нем внушительную сумму, и ваше мобильное приложение позволяет получить к нему доступ, тогда риск не оправдан. Клиент должен понимать, что он не просто пришел в банк, принес деньги, поставил мобильное приложение и на этом может успокоиться. Обеспечение защищенности – общая задача и для банка, и для клиента.

 

Имеет смысл приобрести для «походов» в мобильный банк отдельный нетбук, установить на него нормальное антивирусное ПО, можно даже «песочницу» использовать. И заходить в банковское приложение только с него, нигде не серфиться, ничего не подключать. Это ваш сейф: нужны деньги – открыл, закончил работу – убрал. Но волшебной таблетки от всех ИБ-угроз не существует.

Мы поговорили об одной стороне медали – об атаках на клиентов, если посмотреть на другую сторону – на угрозы для банковских сервисов – что наблюдается здесь?

Зачастую, когда банк обеспечивает повышенный уровеньзащиты от мошенничества по отношению к клиентам, злоумышленники начинают «в отместку» изыскивать способы взлома банковской сети, проводят целенаправленные атаки. В том числе взламывают АРМ КБР (автоматизированное рабочее место клиента Банка России) и списывают крупные суммы – не мелочатся, так сказать. Это возможно, например, если общая банковская сеть и машины, отвечающие за отправку платежей в ЦБ РФ, связаны. Или если платежные системы «стоят» в сети, ничем не защищенные.

В 2017 году для российских банков появятся регулятивные требования к системам дистанционного банковского обслуживания, включая интернет-банк и мобильный банк. Как вы оцениваете это нововведение, будет ли оно иметь реальный эффект?

ЦБ идет по пути ИБ-регламентирования нашего бизнеса, встает на сторону безопасности в дилемме «удобно и быстро/безопасно и долго». Например, безопасники проверяют новую услугу, планирующуюся к запуску, и рекомендуют внести ряд изменений. С точки зрения бизнеса это не всегда оптимально: «Если сделаем так, к нам никто не пойдет. Давайте оставим как есть, запустимся, а если что-то случится, закрутим гайки». После введения регулятивных требований банкам придется слушать своих безопасников.

 

Возможно, и у клиентов появится больше понимания того, что нужно защищаться и как это стоит делать. Пока это не приживется в головах людей, наши действия будут эффективными лишь наполовину. Как говорится, технически защититься можно, но от человеческой недальновидности защиты нет.

Кому ЦБ помогает в большей степени: он, как вы сказали, лоббирует интересы ИБ-подразделений крупных банков, у которых не всегда получается противостоять бизнесу в стремлении повысить защищенность каналов и банковских сервисов, или стремится поднять уровень безопасности небольших банков, у которых базовый уровень ИБ не может быть повышен до нужной планки без наличия требований со стороны регулятора?

Без регулятивного воздействия со стороны ЦБ банкам в принципе сложно достичь высокого уровня защищенности, поскольку это часто подразумевает неудобства для клиентов. Защищенность мешает. Если у безопасников нет регуляторной базы в качестве неоспоримого аргумента, им приходится доказывать свою точку зрения – формировать гипотетические модели нарушителя и угроз. А если мы говорим об этом гипотетически, бизнес так это и воспринимает.

 

Что касается небольших банков: на них требования ЦБ лягут гораздо более тяжелым грузом с точки зрения необходимых затрат. А рисков по сравнению с крупными банками у них сравнительно немного. Так что, скорее, первый вариант.

Какие конкретные требования к защите систем ДБО необходимо ввести и почему именно они необходимы?

Как я уже сказал, нужно повышать защищенность мобильных банковских приложений. Как это можно проконтролировать на стороне клиента – другой вопрос. В ряде случаев необходима более жесткая аутентификация пользователей ДБО.

 

Также нужно на обязательной основе расширять рамки информационного обмена между финансовыми организациями. Так, мы делимся с FinCERT данными об ИБ-инцидентах, происходящих в банке: о DDoS-атаках, рассылаемых вирусах и т.д. Передаем детальную информацию. Нужно обязать банки сообщать обо всех инцидентах, чтобы расширять общую базу знаний. ЦБ в принципе этой дорогой и идет, но пока агитирует участвовать на добровольной основе.

На прошедшем пару месяцев назад Уральском форуме как раз поднимался вопрос о схемах взаимодействия банков между собой. Как эта технология должна выглядеть, на ваш взгляд?

Этот вопрос обсуждается уже несколько лет – попытки перевода в легализованное поле деятельности существующей межбанковской группы по антифроду. Раньше если ты хотел защититься, то автоматически нарушал требования законодательства, пересылая персональные данные подозреваемого в мошенничестве. ЦБ пошел по пути создания центра реагирования, сейчас FinCERT стремится замкнуть на себя взаимодействие с финансовыми организациями по любым вопросам, связанным с ИБ-угрозами, в том числе с мошенничеством. Мы были в числе первых, кто начал работать с FinCERT, и я вижу реальный выхлоп от нашего взаимодействия.

 

По факту FinCERT – это единое окно, которое собирает, консолидирует, обрабатывает информацию от участников, дает обратную связь, регулярно уведомляет о появляющихся угрозах. Сейчас уведомления касаются в основном фишинговой и спам-рассылки. Мы тут же ставим фильтры на блокировку по этим адресам, перепроверяем, были ли с них входящие письма. И иногда находим пролетевшие мимо нас.

При этом ряд банков заявляют, что не готовы делиться информацией об инцидентах, несмотря на то что даже частичное разглашение этих данных не раз спасало финансовые организации от атак на них или их клиентов. С вашей точки зрения, почему некоторые банки прямо отказываются делиться такими сведениями даже в кругу своих коллег?

Я думаю, в большинстве случаев отказываются как раз те, кому есть что скрывать. «А вдруг к нам придут с проверкой, если мы сообщим о своих инцидентах?». Возможно, просто не налажен контакт с представителями FinCERT, на это тоже нужно время. Мы работаем в крупном банке и знаем нужных людей, а в небольшом могут и не знать.

 

К тому же пока остается чисто техническая проблема, связанная с взаимодействием с FinCERT: сейчас оно идет по открытой почте. Этот вопрос уже поднимался, сейчас прорабатывается механизм шифрованной почты. Возможно, будет какой-то web-интерфейс на сайте ЦБ, куда можно будет вносить информацию, но пока все, что предлагают банкам – шлите нам на обычный e-mail. Так что не исключаю, что в некоторых банках безопасники более безопасные, чем почта ЦБ: «Зачем мы будем отправлять по незащищенным каналам конфиденциальную информацию».

Евгений, большое спасибо за беседу!

Уведомления об обновлении тем – в вашей почте

Кроссканальное мошенничество: преломление принципов борьбы относительно новых угроз

Для начала определим, что такое кроссканальное мошенничество. Это ряд противоправных действий, локализованных в различных ИТ-системах и банковских процессах, цель которых – реализация хищения.

Мошенничество в программах лояльности

Почему мошенников привлекают программы лояльности? Как похищают бонусные баллы? Этапы создания защищенного онлайн-сервиса?

CyberCrimeCon 2017. Угрозы формата hi-tech

В октябре компания Group-IB провела ежегодную конференцию CyberCrimeCon 2017, посвященную тенденциям развития киберпреступлений и технологиям проактивной защиты. На конференции были представлены результаты отчета Hi-Tech Crime Trends 2017

Пилотирование FMS-системы ДБО – факты и цифры

Наиболее объективную оценку работы системы противодействия мошенничеству, конечно, за исключением этапа ее промышленной эксплуатации, может дать только пилотный проект, во время которого потенциальное решение предварительно настраивается и апробируется на реальных операциях сервиса ДБО.

5000 слов о защите контейнеров

Функциональные ИБ-требования для защиты контейнеров. Как выбрать оптимальное решение? Перечень Enterprise и Open Source инструментов для защиты.

Применение технологии "клиент-сервер" в банке АКБ "РПБ"

Стремление отечественных банков к быстрому и постоянному росту вызывает у работников управлений автоматизации банков перманентный стресс. Противоречивый и быстро меняющийся пакет инструкций Центрального банка вносит свой вклад в сложность задачи ...

«Дата-сайентистов, у которых есть доступ к озеру, мы знаем в лицо»

В какой момент «Россельхозбанк» задумался об озере данных? Как убедить службу ИБ, что озеро — это безопасно? Где найти дата-инженеров за разумные деньги?

Мониторинг бизнес-приложений: экономим 50 млн рублей в час

Сколько стоит час простоя бизнес-приложений? Что умеют и чего не умеют АРМ-решения? Как пилот может сократить стоимость внедрения?

Вы говорите «Информационная безопасность…»

Большинство существующих мер позволяют обеспечить должный уровень защиты в 90, 95, а иногда даже в 99% случаев наступления риска.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня