Отпор взломам

Прошедшая недавно в рамках X Международной конференции «Банковские карты: практика и трансформация», сессия по теме «Информационная безопасность и трансформация управления рисками», не связана с какими-то сенсациями, но это не стоит рассматривать так, что угрозы снизились. Наоборот, они стали частью повседневной жизни, и профессионалов, судя по всему, просто не удивляют.

Об основных принципах работы индустрии поддельных карт присутствующим рассказал руководитель дирекции мониторинга электронного бизнеса Альфа-банка Алексей Голенищев. Вся информация - а её "тиражи" огромны - о настоящих картах сливается из розничных сетей США (там и сегодня решения с чипами не пользуются популярностью), из банкоматов, на которых установлены скиммеры и POS / mPOS-терминалов. Что интересно, оборудование для скимминга можно приобрести чуть ли не на eBay, его цена невелика, а производители могут предложить решения для любой модели банкоматного устройства. Стоимость базовых приспособлений доступна, «экспериментировать» можно кому угодно, даже подростку.

Самым дорогим магазином приложений владеет Apple: и чтобы разместить в нем приложение с нехорошей начинкой, нужно заплатить по меньшей мере $7 тыс.

Те, кто не заинтересован в установке железок, могут воспользоваться программными решениями. Их спектр довольно обширен — это и установка зловредных программ на смартфоны, и проникновение в сеть банка с последующим заражением банкоматов (XFS-менеджерский уровень). И здесь важно иметь понимание того, что разговор идет не про каких-нибудь антигероев-одиночек, а про самую настоящую индустрию — где фиксированные расценки, конкурентная борьба и гарантия качества. Цены выглядят вполне гуманными: если говорить не о преодолении какой-то суперзащиты банковской системы, то стоимость может составлять не тысячи, а сотни и десятки долларов. Многие даже не в курсе того, что они - участники атак: их компьютеры после того, как на них был установлен пиратский софт, и особенно игры, превращаются в послушных ботов в руках профессионалов.

Абсолютное большинство случаев - это атаки на банки, тогда работа с физлицами становится более простой и выгодной с использованием средств социальной инженерии. Но где-то обязательно есть фальшивые сайты, которые обещают инвестиции под высокие проценты. Деньги и в самом деле можно успешно снять с карты, и какое-то время через личный кабинет наблюдать за поразительным доходом, вот только вывод средств со счета уже невозможен.

Уровень изобретательности людей растет по мере их удаления от мегаполисов. Много свободного времени, жизнь более размеренна, потребность в деньгах огромна. В руки мошенников попадают универсальные ключи от банкоматов, и с помощью подложных инкассаторов деньги можно извлечь прямо на глазах у полицейских. А мошенникам не занимать и смекалки: был случай, когда к банкомату удалось пробраться по перекрытию с нижнего этажа и, чтобы при вскрытии основания газовым резаком банкомат не выдал жалобу на перегрев, на инфракрасные датчики по спецканалу подавали жидкий азот.

По словам главы департамента по управлению рисками компании Visa Олега Скородумова, в целом можно отметить снижение уровня мошенничеств по картам, но не стоит поддаваться желанию расслабиться: ввиду распространения IoT (интернет вещей) транзакции по карте может в их классическом варианте могут потихоньку сойти на нет. Допустим. списание денег за покупки произойдет, когда клиент просто пройдет мимо автомата, покидая магазин, а за бензин — при отъезде от заправки. Тогда увеличивается время реакции на мошенническое снятие денег, а за пару минут мошенники способны поменять десятки временных владельцев. Единственное средство от массовости несанкционированных снятий средств — токенизировать платежи. Одного динамического CV2 и других альтернативных средств защиты платежей, к сожалению, уже не хватает.

По словам Алексея Бабенко, ведущего менеджера по развитию бизнеса компании «Информзащита», сегодня, увы, во многих банках подход к вопросам безопасности носит формальный характер, а требования регулятора выполняются буквально, не учитывая особенности собственного бизнеса. разумеется, банки отчитываются за эти внедрения, но защитные бумаги еще ни разу не стали препятствием для мошенников.

Сегодня требуется выстраивание цельной системы защиты, с уделением особенного внимания на те сегменты, в которых раньше ничего заметного отмечено не было. Велик шанс, что именно оттуда и будет осуществляться проверка на прочность. Принцип «работает — не тронь» - нельзя назвать корректным, поскольку любая система безопасности сильна постоянным обновлением и проверкой на прочность.

По словам заместителя начальника ГУБиЗИ Банка России Артема Сычева, в перспективе под всеми поручениями в платежную систему Банка России будет стоять подпись АБС самого банка. Чтобы внедрить это правило, нужно время, и у банков оно будет. Но этот процесс -необратимый, и лучше сегодня приступить к подготовке - это касается и разработчиков АБС, и самих банков.

Для банков мелкого и среднего уровня ЦБ подготовит рекомендации в направлении стандартизации аутсорсинга инфобезопасности. Они могут быть востребованы и микрофинансовыми организациями, и ломбардами. Так будет возможно обеспечение необходимого уровня безопасности, и отпадет необходимость увеличивать штат. Тем более что поиск специалиста в малых населенных пунктах весьма затруднен.

Кстати сказать, меры обеспечения безопасности обойдутся по стоимости всегда на порядок ниже ущерба, нанесенного при первом взломе. И, скорее всего, за недостаток внимания к операционным рискам и инфобезопасности, как части его, банку придется заплатить еще и определенными мерами воздействия со стороны Центробанка.