Статья о несанкционированных переводах в журнале ПЛАС
В апрельском номере журнала «ПЛАС» опубликована статья Павла Есакова, эксперта по системам аутентификации ООО «Потенциал», о несанкционированных переводах со счетов.
Полная версия статьи доступна ниже:
Банк России разместил на своем сайте «Обзор несанкционированных переводов денежных средств за 2018 год», подготовленный ФинЦЕРТом – одним из подразделений Главного управления безопасности и защиты информации ЦБ. Согласно данным, предоставленным банками в рамках отчетности, можно прийти к неожиданному результату – 97% их потерь в прошлом году были связаны с использованием преступниками методов социальной инженерии.
На что же обращает внимание Павел Есаков:
Изучая раздел данного обзора о несанкционированных переводах со счетов физических лиц, можно сделать однозначный вывод о том, что поведение мошенников в России ничем не отличается от поведения их коллег в других частях света. Задача «охотников за чужими деньгами» достаточно прозаична – получить максимальное количество денег при минимальных усилиях. Поэтому практически повсеместное использование платежных карт стандарта EMV существенно снизило возможности мошеннических операций в банкоматах и торговых точках из-за невозможности использовать результаты скимминга. В полном соответствии с мировой практикой центр интереса мошенников переместился в область электронной коммерции (e-commerce) – к онлайн-продавцам, которые не всегда используют механизмы 3D Secure, а некоторые даже не запрашивают значение CVV/CVC.
Отрадным фактором для мошенников стало также широкое использование розничными клиентами систем дистанционного банковского обслуживания (ДБО). Создавая удобство для клиента, система ДБО интересна мошенникам и даже более предпочтительна с их точки зрения, чем использование чужих карточных данных в системах электронной коммерции – ведь ДБО открывает доступ не только к счетам карт, но и к текущим счетам, депозитам и всем остальным активам клиента.
ФинЦЕРТ в своем обзоре отметил эту тенденцию – рост числа несанкционированных переводов денежных средств (на 44%) именно в сегменте электронной коммерции (Card Not Present, CNP-транзакции) и в системах ДБО. И хотя фиксируемый уровень потерь (0,0018%) пока существенно меньше установленного регулятором значения (0,005%), успокаиваться российским банкам несколько преждевременно. Ведь практически все российские банки используют в системах ДБО для розничных клиентов SMS пароли как средство подтверждения транзакций. Банки научились более-менее бороться с подменой SIM-карт, а также с троянами, которые умеют похищать с мобильных телефонов клиентов эти SMS-подтверждения. Тем не менее, имеется целый ряд других механизмов компрометации данной технологии, в том числе и таких, от которых защититься практически невозможно.
Очевидно, что если будет взломан канал передачи SMS-паролей – например, скомпрометирован интернет-шлюз (оператора связи или SMS-агрегатора), рассылающий SMS, и мошенники смогут получить к информации о кодах подтверждения, то все имеющиеся механизмы обеспечения безопасной идентификации будут нивелированы. Еще один известный и даже уже применявшийся в реальной российской жизни механизм – ложная базовая станция. В силу механизма работы GSM-протокола подключение к базовой станции определяется уровнем сигнала, и если даже маломощная базовая станция находится ближе к телефону клиента, чем легальная базовая станция, то телефон клиента гарантированно подключится к ложной базовой станции. Подключенный к базовой станции мошенника клиент абсолютно беззащитен – адресованные клиенту SMS проходят через мошенника, и он может делать с этими сообщениями все что угодно… Единственный недостаток такой атаки – она не может носить массовый характер, но зато идеально подходит для атаки на клиентов с большими остатками на счетах.
Что еще вызывает интерес в отчете? Раздел, в котором описаны механизмы «сравнительно честных способов отъема денег». В отчете приведены следующие причины, по которым клиенты лишились своих средств:
- использование средств подтверждения в результате противоправных действий
- потеря или нарушение конфиденциальности
- нарушение клиентом порядка использования средств подтверждения платежа
- побуждение клиента к самостоятельному проведению платежа путем обмана или злоупотребления доверием
- воздействие вредоносного кода
Из приведенного в разделе графика следует интересный вывод: 97% потерь являются результатом использования социальной инженерии, 2% потерь – результат воздействия вредоносного кода и один процент – другие причины.
Как известно, в упомянутом отчете приводятся статистические данные по информации, которую предоставляют банки в рамках своей отчетности. Чем опасна ситуация, когда практически все потери отнесены банками на счет методов социальной инженерии? Из приведенных цифр следует логический вывод: службы информационной безопасности сделали все возможное и невозможное, и все потери связаны с финансовой неграмотностью населения, а это вне компетенции служб информационной безопасности.
И такой замечательный результат, достигнутый службой информационной безопасности «на бумаге», служит веским демотиватором для каких-либо изменений в системах безопасности систем ДБО. Чем это грозит?
В общем и целом, как только мошенники почувствуют снижение доходов от используемых в настоящий момент технологий взлома систем ДБО (ну не может быть в реальной жизни таких низких потерь от вирусов – всего 2%), то в ход пойдут описанные выше механизмы, а никакого другого механизма подтверждения транзакций в распоряжении практически всех российских банков, работающих с розничными клиентами посредством систем ДБО, просто нет. Старый как мир вопрос – «У вас есть план «Б» на случай компрометации имеющегося механизма подтверждения транзакций в системе ДБО?». Я опасаюсь, что у большинства российских банков нет под рукой готового альтернативного механизма, который к тому же необходимо задействовать в кратчайшее время.
Да и самим службам безопасности манипуляция цифрами может выйти боком – ведь если усилия мошенников в результате действий кибербезопасности сведены на нет, то зачем нужен такой обширный штат? У руководства многих банков может возникнуть желание на фоне текущего положения дел сократить службу кибербезопасности и расширить штат PR-менеджеров, поставив им задачу повышения финансовой грамотности клиентов.