Аналитик Владимир Ульянов – о том, почему теперь киберпреступники уже не взламывают устройства, а манипулируют доверчивостью пользователей.
Всего 10 лет назад купить продукты по дороге домой можно было в магазине или в ларьке на остановке. Сегодня это можно сделать прямо в вагоне метро с телефона, с его же помощью оплатить товары и услуги. Даже люди старшего поколения освоили новейшие инструменты оплаты и могут погасить квитанции не только через операциониста, но и в банкомате и даже через интернет.
Новые средства оплаты, безусловно, облегчают жизнь потребителей. Но чем проще нам воспользоваться своими деньгами, чем больше инструментов и технологий мы используем, тем легче эти деньги украсть и киберпреступникам.
Специалисты по информационной безопасности постоянно разрабатывают, а банки активно внедряют средства защиты для своих клиентов. Антивирусные и антишпионские программы установлены на большинстве пользовательских устройств.
Это вынудило киберпреступников сменить вектор атаки, и вместо устройств они атакуют самих пользователей.
Социальная инженерия – способ манипуляции человеком, и киберпреступники часто используют такие методы для того, чтобы выуживать нужную информацию. Например, одноразовые коды подтверждения операций. К счастью, многие граждане уже наслышаны о мошенниках, и все реже раскрывают конфиденциальные сведения незнакомцу по телефону.
Однако ситуация меняется, когда к жертве обращаются по имени-отчеству, называют анкетные данные и знают номера карт. Мошенники морально давят на человека. Представляются сотрудниками банка и рассказывают о том, что со счета клиента могут быть украдены деньги. Операцию можно отметить, если продиктовать код подтверждения, который придет на телефон. Этот и другие психологические приемы бывают эффективны даже против осведомленных в вопросах информационной безопасности людей.
Злоумышленники даже научились совершать звонки, маскируя свой номер телефоном реального банка. Но без исходной информации о жертвах и их счетах эффективность телефонных звонков мошенников будет крайне низкой. Поэтому одна из главных задач кредитных организаций состоит в сохранении конфиденциальности клиентской информации.
Главная угроза самим банкам – это тоже не технические средства и не страшные хакеры, а пресловутый человеческий фактор. Задача кражи информации сильно упрощается, когда злоумышленник находится внутри организации. Сотрудники банков уже знают, где и какая информация хранится, в чем ее ценность, имеют доступ к ней. Остается лишь вынести информацию. А это совсем несложно с учетом развития технологий – быстрый интернет и миниатюрные флешки позволяют незаметно скопировать даже объемные базы данных.
Борьба с внутренними угрозами не должна ограничиваться лишь техническими средствами. Помимо внедрения систем предотвращения утечек (DLP), необходимо проводить тренинги по вопросам защиты информации. Банковская тайна – одна из основ этого бизнеса, и вопросы ее соблюдения особенно остро стоят в эпоху развития цифровых технологий.
Банки уже немало сделали, чтобы обеспечить защиту своих клиентов. Многие кредитные организации используют автоматизированные антифрод-системы. Но почему, к примеру, за SMS-уведомления о списаниях до сих пор взимают плату в некоторых банках? Перекладывать бремя оплаты эсэмэсок на клиента неправильно. Стремясь сэкономить, люди отказываются от платных услуг. В результате вероятность обнаружения несанкционированных операций резко снижается.
Услуги, связанные с обеспечением безопасности, должны предоставляться клиентам бесплатно.
Но при этом нельзя возлагать всю ответственность за обеспечение безопасности на кредитные организации. Халатность самих пользователей порой просто не знает границ. Хранить пин-код рядом с картой или сохранять пароли от финансовых сервисов в браузере – в порядке вещей. А смартфон? Если пользователь запускает на устройстве интернет-банк, если установил банковское приложение – это уже не гаджет, а полноценное платежное средство, и обращаться с ним надо соответствующим образом. Но далеко не все пользователи готовы изменить модель своего поведения в угоду безопасности.
Автор – руководитель аналитического центра Zecurion.
Мнение автора не совпадает с позицией редакции.
Владимир Ульянов
Известия, 09:00, 31.01.2018
