Безопасность под прицелом

Прошедший год стал весьма жарким для IT-специалистов в банковском секторе. Кредитные организации регулярно подвергались хакерским атакам, а клиенты банков становились жертвами разного рода мошенничеств.


Безопасность под прицелом

УГРОЖАЮЩИЙ РОСТ КИБЕРАТАК НА БАНКОВСКИЙ СЕКТОР

Судя по новостям, баланс успешных и отраженных атак на банковский сектор остался примерно на уровне прошлых лет. Но реальная картина – вероятно, несколько хуже. Ведь размеры разовых потерь и общие потери финансового сектора от хакерских атак заметно выросли. Наиболее резонансным случаем в мире стала успешная многоходовая хакерская атака на Центробанк Бангладеша через главную международную систему банковских переводов SWIFT. Значительное число российских банков также пострадало от хакеров.

На фоне участившихся в конце 2015-го-начале 2016 годов атак, Банк России разработал меры для борьбы с киберугрозами. В частности, был создан Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT), разработаны рекомендации по информационной безопасности и защите от хакерских атак, которые начали действовать с 1 мая 2016 года.

По мнению аналитиков РИА Рейтинг, нельзя исключать, что некоторые банки в лице руководства или акционеров могут за хакерскими атаками маскировать воровство или неэффективность в самом банке.

По всему миру этот год пройдет под флагом роста затрат на киберзащиту, и Россия не станет исключением, однако потери от кибератак будут расти. На первый взгляд, в большей опасности находятся небольшие банки из-за меньших технических возможностей и более слабого кадрового ресурса. Но атаки на крупные банки теоретически сулят большую прибыль, поэтому от киберпреступников они могут страдать даже больше.

Эксперты РИА Рейтинг полагают, что в 2017 году высока вероятность успешных атак на крупные банки, влекущих за собой многомиллиардные потери. Они грозят быть настолько разрушительными, что впервые в российской истории могут привести к отзыву банковской лицензии.

СО СЧЕТОВ ГРАЖДАН ПОХИЩЕНО БОЛЬШЕ 1 МЛРД РУБЛЕЙ

В прошлом году Банк России выявил 717 несанкционированных операций со счетами юридических лиц. Примерно половину из них удалось остановить. В 2015 году было выявлено свыше одной тысячи таких операций.

В то же время число несанкционированных переводов с использованием платежных карт с 2015-й по 2016 год возросло с 260 до 296 тысяч.

При этом объемы хищений сократились как по операциям со счетами юридических лиц, так и по операциям с использованием платежных карт. В 2016 году злоумышленники пытались похитить у компаний 1,89 млрд руб., что примерно в два раза меньше чем в 2015 году. Со счетов граждан похищено 1,08 млрд руб. – на 70 млн руб. меньше, чем годом ранее.

Главными причинами хищений со счетов компаний являются нарушение конфиденциальности информации, необходимой для распоряжения денежными средствами, а также воздействие вредоносных программ. Половина таких несанкционированных операций осуществлялась в диапазоне сумм от 100 тыс до 1 млн рублей, примерно треть – от 1 млн до 10 млн рублей. Это указывает на то, что жертвами злоумышленников чаще всего становятся юридические лица, у которых нет возможности должным образом обеспечивать собственную информационную безопасность.

Подавляющее большинство хищений со счетов граждан происходит вследствие использования злоумышленниками платежных карт без согласия клиента, в том числе путем обмана или злоупотребления доверием. В то же время уменьшение количества несанкционированных операций со счетами юридических лиц может свидетельствовать об эффективности работы систем их выявления и противодействия (систем антифрод) в банках. Объем несанкционированных операций с использованием платежных карт сократился благодаря принимаемым банками защитным мерам, в том числе ограничению максимальной суммы операции при переводе средств с использованием дистанционных платежных сервисов. Позитивное влияние также оказывает расширение информационного взаимодействия между кредитными организациями, в котором значительную роль играет FinCERT.

СЛАБЫЕ МЕСТА БАНКОВСКИХ КАРТ

Самыми распространенными способами кражи денежных средств с банковских карт остаются фишинг и вредоносные программы для устройств на базе операционной системы (ОС) Android.

Ссылки на поддельные сайты могут распространяться в фальшивых рассылках от имени банка или через контекстную рекламу в поисковых сетях. Также банковские карты могут быть скомпрометированы в интернет-магазинах. Ежемесячно фиксируется в среднем около 100 тысяч фишинговых ссылок, и около половины из них направлено на клиентов финансово-кредитных учреждений.

Кроме того, высокие объемы хищений можно объяснить появлением новых, более совершенных вредоносных программ для ПК и мобильных телефонов на ОС Android. По данным исследования компании по предотвращению и расследованию киберпреступлений Group-IB, объем хищений с использованием Android-троянов по итогам 2015-2016 финансового года составил 348 млн рублей.

Помимо этого, появляются новые преступные схемы хищений, связанные с использованием мобильных устройств и сервисов для них: смс-банкинга, переводов с карты на карту и других. При этом технологии злоумышленников продолжают развиваться. По словам генерального директора Group-IB Ильи Сачкова, происходит тотальная автоматизация хищений – главные криминальные процедуры осуществляются без непосредственного участия злоумышленника.

ЛИЧНЫЙ ОПЫТ

Правила безопасности для банковской карты

Случаи мошенничеств с банковскими картам регулярно выявляются и в Татарстане. Специалисты Отделения – Национального банка по РТ призывают граждан к бдительности и дают рекомендации как грамотно обращаться с банковскими картами.
Пенсионер из Лениногорска решил продать с помощью сайта бесплатных объявлений ставший ему ненужным кухонный уголок. Через два дня после размещения объявления пенсионеру позвонил молодой человек и выразил намерение купить товар. Покупатель предложил перевести аванс в размере 5 тыс. рублей на карту, для чего попросил сообщить ему все ее данные: номер, код CVC2, срок действия и имя владельца. Пенсионер сфотографировал свою банковскую карту и послал фотографию предполагаемому покупателю, но деньги на счет так и не поступили. Зато позднее на его мобильный телефон пришло sms-сообщение, в котором говорилось о списании денежных средств. Злоумышленник, представившийся покупателем, завладев данными банковской карты, похитил деньги доверчивого пенсионера.

Совет: Чтобы избежать обмана, не сообщайте незнакомцам данные своей карты ни под каким предлогом. Тем более, не отправляйте никому фотографии карты.

Иногда причиной потери денег становится невнимательность. Жительница Казани устроилась на новую работу, где ей оформили зарплатную карту. Вскоре женщина обнаружила, что с карты пропали деньги. Она обратилась в банк, выпустивший карту.

В результате проверки, проведенной банком, было установлено, что к карте была подключена услуга «Мобильный банк». Причем номер телефона, указанный в заявлении на получение банковской карты, отличается от номера телефона сотрудницы на одну цифру. Вероятно, по причине нечеткого написания номера в заявлении, либо в результате ошибки операциониста банка карту привязали к чужому номеру телефона. Соответственно, средства с карты списал другой пользователь, владелец указанного в заявлении номера.

Изучив обстоятельства, банк принял решение вернуть сумму в полном объеме.

Совет: Чтобы не попасть в подобную ситуацию, всегда внимательно изучайте подписываемые документы, в том числе проверяйте все персональные данные.

ЧТО ДЕЛАТЬ, ЕСЛИ С ВАШЕЙ КАРТЫ МОШЕННИКИ СПИСАЛИ ДЕНЬГИ?

1) Прежде всего, нужно незамедлительно позвонить в банк, выпустивший карту, сообщить о мошеннической операции и заблокировать карту. Звонить нужно на номер телефона, который указан на обороте карты, на официальном сайте банка и в договоре о выпуске и обслуживании карты.

2) Обратиться в отделение банка, запросить выписку по счету и написать заявление о несогласии с операцией, экземпляр заявления с отметкой банка о приеме оставить у себя.

3) Обратиться в правоохранительные органы с заявлением о хищении.

В соответствии с законом, заявление рассматривается банком не более 30 дней со дня его получения, при международных операциях – не более 60 дней.

После получения заявления клиента банк проводит служебное расследование, по результатам которого принимает решение о возмещении ущерба. На возврат средств можно рассчитывать, если держатель карты не нарушал условия ее использования, в том числе соблюдал меры по безопасности и обратился в банк не позднее дня, следующего за днем получения от банка уведомления о совершении операции. Имейте в виду, если кража денег с карты стала следствием вашей собственной неосмотрительности и если вы сами сообщили преступникам свои персональные данные, банк может не возвращать деньги.


19/03/2017
Опубликовано: журнал «Про кредиты и вклады» // №1 // Январь-Март, 2017