Люди-пауки

На смену умельцам, воровавшим деньги с платежных карт при помощи скиммера и накладок на клавиатуру, пришли кибермошенники, использующие в преступных целях системы дистанционного банковского обслуживания.

До недавнего времени мошенничество с платежными картами являлось главной проблемой банков и их клиентов в части обеспечения сохранности средств. Однако за последний год ситуация кардинально изменилась — на первое место по размеру нанесенных убытков вышло кибермошенничество с использованием систем дистанционного банковского обслуживания. Статистика I квартала 2013 года подтверждает угрожающие масштабы этой тенденции, характерной чертой которой является активное задействование банковских служащих в преступных схемах.

Подводя в начале 2013 года итоги прошлогодней борьбы с мошенническими операциями с деньгами клиентов, пальму первенства в этом вопросе банкиры традиционно отдавали разнообразным махинациям с платежными картами. По статистике НБУ, в 2012 году количество махинаций с картами выросло на 47% — до 11,17 тыс., а объем незаконных операций увеличился на 20% — до 10,92 млн грн. Но уже тогда банкиры и специалисты по IТ-безопасности заговорили о высоких темпах роста кибермошенничества с использованием систем дистанционного банковского обслуживания (ДБО), в частности системы ‘клиент-банк’. И хотя несколько месяцев назад в числе угроз этому способу мошенничества отводилось только третье место, с учетом того, что объемы похищенных денег за одну трансакцию достигают сотен тысяч, а то и миллионов гривен, подобный вид мошеннических операций обещает стать самой сильной ‘головной болью’ для банкиров и их клиентов уже в этом году. ‘Если еще два года назад это были единичные случаи, то в 2012 году количество и объем воровских трансакций выросли в разы. Крупнейшая из них составила 32 млн грн и была разбита на части по 30 и 2 млн грн. Причем более крупную трансакцию удалось установить только благодаря инструментам финансового мониторинга Национальной ассоциации банков Украины (НАБУ)’,— подытожил опасения коллег председатель правления Укрсоцбанка, глава совета НАБУ Борис Тимонькин.

По данным МВД, в 2012 году правоохранительными органами было установлено 139 фактов вмешательства в работу систем ДБО с целью кражи средств. В результате этих операций со счетов юрлиц-клиентов банков было списано 116 млн грн, 75% из которых органы МВД смогли вернуть владельцам или заблокировали по результатам следственных действий. ‘Динамика свидетельствует о росте таких преступлений, поскольку только в I квартале 2013 года уже зафиксировано 127 обращений, сумма убытков составила 34,3 млн грн, из которых органами МВД заблокировано 60%, средства возвращены 51 клиенту’,— сообщил заместитель начальника управления по борьбе с киберпреступностью МВД Леонид Тимченко.

Украинская межбанковская ассоциация членов платежных систем ЕМА зафиксировала чуть больше мошеннических операций на основании данных с антифрод-системы межбанковского обмена информацией Exchange-online. По итогам I квартала этого года зарегистрировано 146 попыток несанкционированных переводов в системах ДБО. В стоп-списке для мониторинга получателей переводов 247 записей. В органы МВД подано 56 заявлений. Общая сумма нанесенных убытков — 20 млн грн, из которых 10,5 млн грн возвращено пострадавшим клиентам.

Что и как теряют

Стремительный рост мошенничества в системах ДБО специалисты объясняют широким распространением вирусного программного обеспечения. Облегчают им в этом задачу сами банковские клиенты, многие из которых не уделяют должного внимания безопасности своих рабочих станций и ключей электронной цифровой подписи (ЭЦП). ‘Несанкционированный доступ к системам ДБО в большинстве случаев мошенники получают по вине клиентов. Мошенники выводят достаточно большие суммы со счетов юридических лиц, после чего переводят их по цепочке из фиктивных юридических или физических лиц и снимают наличными. По счетам физлиц мошенничество в системах ДБО незначительное’,— рассказал ‘Финансы’ директор управления IT-безопасности одного из крупнейших банков. С коллегой соглашается руководитель безопасности технологий розничного бизнеса Альфа-банка Сергей Досенко: ‘Наиболее угрожающая ситуация с операциями юридических лиц. Кибермошенники используют технологии взлома рабочих мест бухгалтеров для полной имитации платежей через системы ДБО. Ключевым звеном в схеме являются те юридические или физические лица, которые необдуманно сами предоставляют свои счета для получения и обналичивания средств. Они и становятся жертвами киберпреступников. К сожалению, низкая правовая грамотность клиентов не позволяет своевременно понять, что таким образом они становятся соучастниками преступления’. Специалисты отмечают, что большинство краж происходят после 17.00 в пятницу, а владельцы счетов узнают об этом только в понедельник, когда мошенническая операция давно завершена и деньги перекочевали через десяток счетов. Этот факт создает дополнительные сложности в обнаружении и блокировании преступных действий.

Больным местом ДБО является и то, что, как правило, системы ‘банк-клиент’ привязываются к конкретному компьютеру или ноутбуку клиента. На таком рабочем месте генерируются платежные поручения, которые требуют двух электронных подписей: главного бухгалтера и руководителя предприятия. При этом подписи должны производиться при фактическом присутствии бухгалтера и руководителя. ‘Однако реалии сегодняшнего дня говорят о том, что руководитель очень часто находится вне офиса и не может постоянно предоставлять свою электронную подпись по большинству платежей. Ноутбук также не является устройством, которое руководитель всегда имеет при себе. Это приводит к тому, что электронные ключи руководителем передоверяются бухгалтеру или другому сотруднику, что снижает безопасность работы такой системы и повышает вероятность мошенничества’,— отметил доцент кафедры банковского дела Университета банковского дела НБУ Руслан Гриценко.

Следует отметить, что, обвиняя клиентов пусть и в неумышленном содействии преступникам, банкиры в то же время предпочитают умалчивать, что в самих кредитных учреждениях также не все так гладко с обеспечением безопасности в сфере ДБО. Иначе как объяснить тот факт, что участились информационные сообщения о преступных действиях в отношении клиентских денег самих банковских служащих. Последний громкий случай, ставший достоянием общественности,— сотрудник ПриватБанка скопировал электронные ключи доступа к банковским счетам клиентов и похитил с них почти 8 млн грн. В конце мая сотрудники погранслужбы задержали с поддельными документами двух бывших менеджеров ПриватБанка при попытке пересечь границу с частью похищенных со счетов клиентов средств. Им грозит 12 лет заключения. Однако многих мошенников привлечь к ответственности в МВД не могут.

Классическая борьба

Высокие темпы роста количества киберугроз вынуждают специалистов признавать, что сегодня даже самые современные решения не всегда позволяют обеспечить эффективную защиту. Это приводит к необходимости постоянного поиска новых способов защиты от мошенничества. По мнению экспертов ассоциации ЕМА, в настоящее время действенным инструментом предупреждения мошенничества в системах ДБО являются двухфакторная аутентификация (например, клиент должен предоставить USB-ключ или смарт-карту и еще ввести пароль) и внедрение систем мониторинга операций ДБО на этапе осуществления платежа банковскими операционистами.

По мнению Бориса Тимонькина, инструменты финансового мониторинга являются сегодня практически единственным легальным каналом борьбы с ‘электронным воровством’ денег. Видимо, именно осознание масштабов угроз кибермошенничества и понимание внутренней кухни борьбы с ним вынудило господина Тимонькина обратиться к банкам с призывом: ‘Если поступает сообщение о краже денег, не надо опасаться блокировать средства’. С целью повышения эффективности финансового мониторинга и упреждения мошеннических операций НАБУ даже выступила с инициативой, которая может нивелировать прогрессивность украинской системы расчетов — ввести задержку крупных трансакций на один день. ‘Кроме того, мы также предлагаем изменить подходы правоохранительных органов: украденные деньги всегда кто-то получает, но пока что не известно ни об одном случае привлечения этих получателей к ответственности,— возмущается глава совета НАБУ.— Они проходят как свидетели, но на деле это участники преступной группы, хоть и не главные организаторы’.

Наряду с дальнейшим развитием платежных инструментов безопасности, в том числе систем и правил мониторинга операций, по словам Сергея Досенко, сейчас активно разрабатываются и правила подтверждения санкционированности платежа по альтернативным каналам, а также системы мониторинга параметров информационной безопасности (IP-адреса, операционные системы, логирование). ‘Банкам следовало бы разрабатывать системы ‘банк-клиент’, которые позволяли бы руководителю верифицировать платежи, генерированные на основном компьютере клиента, с помощью мобильных устройств, работающих на платформах, например Windows Mobile, iOs, Android,— дополняет Руслан Гриценко.— Такая система существенно сократила бы объемы мошенничества, связанного с кражей ключей сторонними лицами или с внутренним мошенничеством’.

Впрочем, единственный шанс остановить произошедшее мошенничество — оперативное обращение клиента в банк для блокировки денежных средств, подчеркивают финансисты. Они рекомендуют сообщать в информационный центр своего банка при малейшем подозрении на осуществление мошеннических действий с ДБО. Как правило, служба безопасности кредитного учреждения при своевременном обращении оперативно успевает остановить платеж и вернуть деньги. В случае если мошенники успевают перевести деньги со счета, то клиенту остается обращаться в правоохранительные органы.

Превентивные меры

Специалисты, отвечающие в банках за вопросы информационной безопасности, для минимизации вероятности мошеннических действий советуют клиентам не пренебрегать рядом правил. В числе мер по защите носителей (СD, USB-накопители) ключей ЭЦП, используемых для работы в системе ДБО, можно выделить следующие: носители должны использоваться только уполномоченными лицами и храниться в защищенных местах; категорически не рекомендуется передавать носители другим лицам и устанавливать в компьютеры, не используемые для работы в системе ДБО; не следует оставлять носители установленными в компьютерах после завершения сеанса работы в системе ДБО и хранить резервные и рабочие копии файлов криптографических ключей на персональных компьютерах. В числе мер по обеспечению информационной безопасности компьютеров можно выделить следующие: применяемые для работы в системе ДБО компьютеры не рекомендуется использовать в каких-либо других целях, даже рабочих; антивирусные базы должны поддерживаться в актуальном состоянии; работа за компьютером должна осуществляться с использованием учетной записи с ограниченными правами, а доступ к учетной записи с полными правами (администратора) должен быть защищен надежным паролем. Рекомендуется также устанавливать лимит на перевод денежных средств, ограничения на вход в систему ДБО по IP-адресу (адресам); ввести практику SMS-информирования при входе в систему ДБО, а также при проведении трансакций; осуществлять периодическую генерацию нового ключа ЭЦП.