CC BY
77
Информационная безопасность банков: виды мошенничества и методы борьбы с ним Information security of banks: types of fraud and methods of struggle against it
Айвазова Мария Андреевна
Магистрант 1 курса, Магистерская программа «Банки и управление активами», Санкт-Петербургский государственный экономический университет,
Российская Федерация, Санкт-Петербург E-mail: Ayvazovamaria21 @gmail. com
Ayvazova Maria Andreevna
Master of the 1st year Master program «Banking and asset management», Saint-Petersburg State University of Economics, Russian Federation, Saint-Petersburg E-mail: Ayvazovamaria21@gmail.com
Аннотация.
В данной статье исследуется степень информационной безопасности банков, анализируются виды мошенничества, а также предпринимаемые способы для борьбы с ними. Описываются внешнее и внутренние виды мошенничества, осуществляется анализ безопасности пользования банковскими приложениями, их уязвимость и способы их взламывания и получения конфиденциальной информации клиентов банка. Рассматриваются основные пути, позволяющие избежать взаимодействие с мошенниками, а также меры борьбы с социальной инженерией.
Annotation.
This article investigates the degree of information security of banks, analyzes the types of fraud, as well as the methods to combat them. The external and internal types of fraud are described, security analysis of use of bank applications, their vulnerability and methods of their cracking and obtaining confidential information of bank clients are analyzed. The main ways to avoid interaction with fraudsters are considered, as well as measures to combat social engineering.
Ключевые слова: информационная безопасность, банковское мошенничество, персональная информация, банковские приложения, социальная инженерия, вредоносное программное обеспечение, аутентификация.
Key words: information security, bank fraud, personal information, bank applications, social engineering, malware, authentication.
В настоящий момент информационная безопасность является одним из наиболее важных критериев при выборе организации для осуществления покупки товаров и услуг. Клиентам необходимо знать, что их персональные данные не будут переданы третьим лицам. Тем не менее ни одна компания не может обеспечить стопроцентную гарантию защиты от кибератак и киберпреступлений, так как происходит постоянное усовершенствование способов мошенничества посредством современных технологий. Изобретательность мошенников создает новые виды мошенничества, а задачей финансово-кредитной сферы становится их оперативное выявление и изобретение эффективных способов для защиты данных. Актуальность данной статьи состоит в анализе наиболее популярных видов мошенничества, которое можно встретить, работая в банке или являясь его клиентом.
Существует множество классификаций банковского мошенничества, зависящих от специфики нарушений и количества причиненного ущерба. Однако общей чертой является способ осуществления данного процесса, а именно хищение чужого имущества путем обмана и злоупотребления доверием [1].
Выделяют внешнее и внутреннее мошенничество, происходящее в банках и с банковскими клиентами, которое зависит от причины утечки информации и от того, кем незаконные действия были осуществлены. Так, примером внешнего мошенничества могут являться следующие случаи [3]:
1) Осуществление целевых атак мошенников на банки, которые требуют долгой и серьезной подготовки. Целью данного способа является получение необходимой информации или заражение компьютера сотрудника банка для проникновения в систему банка. Мошенники рассылают письма на почту сотрудников банка с вредоносным вложением, их очень сложно отличить от настоящих писем, высылаемых с надежных источников, именно поэтому после скачивания данного файла сотрудником происходит заражение его компьютера вирусом, после которого недоброжелатель получает доступ к конфиденциальной информации.
2) Реализация атак, осуществляемых через банковских партнеров, которыми могут быть аудиторы, адвокаты, страховщики и другие. Данный способ позволяет мошенникам создавать почти идентичные сайты партнеров банка, которые они заражают вирусами и побуждают сотрудников банка перейти по знакомой ссылке. Отличие данного способа от предыдущего состоит в том, что в самом начале мошенники взламывают сайт партнера банка, а потом после перехода по ссылке банковского сотрудника осуществляется взлом корпоративной сети банка. Основной особенностью данного метода является высокая схожесть с настоящим сайтом партнера и доверие данному партнеру.
3) Заражение гаджетов, в частности с помощью Android-троянов, которые выглядят ссылками на полезную информацию. Так, переходя по данной ссылке через телефон или планшет, можно обеспечить доступ к персональной информации, а именно банковским данным, которые будут использованными мошенниками. Кроме того, трояны могут быть скачены совместно с какими-либо приложениями [5]. Именно поэтому важно внимательно читать условия соглашения при скачивании, чтобы была возможность убедиться в безопасности хранимых на гаджете данных. В целях минимизации рисков следует устанавливать антивирусные программы, а также скачивать лицензионные программы. Данный случай не связан с системами безопасности банка, а напрямую зависит от внимательности и осознанности действий клиента банка, который может узнать о переводе денежных средств с его карты без его согласия. По этой причине описанный способ относят к внешним причинам мошенничества и призывает клиентов изучать ссылки прежде, чем пользоваться ими. В данной ситуации банк не сможет помочь жертве мошенничества вернуть назад свои сбережения.
4) Осуществление атак на автоматизированные банковские системы и банкоматы. Взлом банкомата можно осуществить двумя способами: механически, заразив его центральный модуль, и через вмешательство во внутреннюю сеть, которое позволяет контролировать выдачу банкнот банкоматом электронно.
Следует принимать во внимание, что не все работники выполняют свои обязанности добросовестно и качественно, иногда выясняется, что кто-то пренебрегает правилами безопасности и превышает свои полномочия в целях быстрого обогащения. Рассмотрим способы банковского мошенничества, которые осуществляются сотрудниками банка целенаправленно, то есть безопасность нарушается из-за внутреннего мошенничества:
1) Оформление кредита сотрудником банка на имя клиента банка, то есть использование конфиденциальных данных клиентов в интересах третьего лица. Данный способ имеет множество вариаций, например, после одобрения банком кредита для клиента, сотрудник банка, имея доступ к его персональной информации, может оформить второй кредит без ведома клиента и присвоив себе его деньги. Другим примером может послужить недостоверная информация, переданная клиенту по поводу отказа в выдаче кредита. Банк может одобрить выдачу кредита, однако клиент не получит доступ к денежным средствам, так как ими овладеет сотрудник банка.
2) Осуществление перевода денежных средств со счетов клиентов на счет сотрудника банка или подельника. В данном случае также осуществляется злоумышленное использование конфиденциальных данных клиентов, а также денежных средств на их счетах. Для сохранности своих сбережений необходимо регулярно пользоваться личным кабинетом и следить за операциями, осуществляемыми по счетам.
3) Намеренное указание недостоверной информации относительно заемщика, выраженное в сокрытии недостаточного уровня дохода, отсутствия прописки или неофициального трудоустройства будущего клиента банка и получателя кредита. В данной ситуации выделяют две основные причины недобросовестной работы сотрудника. Во-первых, он хочет увеличить свою зарплату за счет выданных кредитов, во-вторых, будущий заемщик пообещал сотруднику банка денежное вознаграждение за предоставление индивидуальных более выгодных условий по его кредиту. Во втором случае осуществление мошенничества можно подозревать, если для общения с клиентом сотрудник использует личную почту вместо корпоративной.
4) Кража конфиденциальной информации клиентов в корыстных целях, обусловленных желанием обогатиться или отомстить руководству банка. Так, например, информация о клиентах и сделках является самой востребованной, и банки конкуренты готовы заплатить сотруднику банка, предоставившему им необходимую информацию для переманивания клиентов и для предложения более выгодных условий для сделок. Кроме того, некоторые сотрудники могут контактировать с прессой и предоставлять ей информацию по поводу существующих проблем в банке с целью ухудшения его репутации.
Таким образом, существуют как внешние, так и внутренние способы мошенничества в банках, которые развиваются и преобразуются. Необходимо понимать, что банкам для успешного функционирования необходимо предугадывать действия возможных мошенников и вызывать доверие среди клиентов. Тем не менее безопасность конфиденциальных данных должна обеспечиваться с двух сторон, со стороны банка и со стороны клиента. Особое внимание следует уделять ссылкам и сайтам, на которых может быть представлена полезная информация, необходимо проверять адрес сайта, который должен начинаться с букв https, а не с http, а в адресной строке должен отображаться значок в виде закрытого замка [6].
Далее проанализируем результаты исследования, проведенного экспертами компании Positive Technologies, которые изучали функционирование 14 приложений российских банков [4]. На рисунке 1 можно увидеть основные причины, из-за которых возможно совершение мошенничества в отношении пользователей банковских приложений на телефонах и планшетах.
43%
15%
I
11%
10%
8%
Уязвимости в Небезопасная Небезопасное Небезопасное Некорректное коде приложения передача данных хранение данных отражение завершение
данных сессии
Рисунок 1. Причины совершения мошеннических операций в банковских приложениях
Основной проблемой является уязвимость в коде приложения, именно поэтому особое внимание следует уделять тестированию созданных приложений для банковских клиентов. Мошенники ищут недочеты кода и стараются получить доступ к персональным данным и денежным средствам пользователей приложения. Особое внимание следует уделять аутентификации пользователей банковских приложений, которая может быть осуществлена с помощью отпечатка пальца.
Тем не менее банковские клиенты также не должны забывать о мерах безопасности и выходить из своих личных кабинетов, даже используя его на собственном устройстве. Такие меры предосторожности позволят сократить риск хищения информации и денег.
Проанализируем уязвимости мобильных приложений и их количество у рассматриваемых 14 мобильных приложений банков. С основными десятью уязвимостями можно ознакомиться на рисунке 2.
Отсутствие защиты от внедрения кода и перепаковки Отсутствие обфускации Наличие имен классов и методов в коде Автоматическое сохранение снимков экрана Некорректное завершение сессии Некорректная реализация или отсутствие certificate pinning Хранение данных в открытом виде Небезапосная реализация защищенного соединения Небезопасная обработка ссылок deeplink, app-url Хранение аутентиф. данных, ключей и токенов в коде приложения
11
14 14 14
Рисунок 2. Топ-10 уязвимостей мобильных банков (анализ 14 мобильных приложений) Согласно исследованию Positive Technologies у каждого анализируемого мобильного банка было
выявлено отсутствие защиты от внедрения кода и перепаковки, отсутствие обфускации, то есть запутывания
кода, и наличие имен классов и методов в коде. Присутствие данных уязвимостей позволяет мошенникам
взламывать систему безопасности и получать доступ к персональной информации клиентов, которые могут
потерять уверенность в способности банка защитить их данные.
Несмотря на все вышеперечисленные недочеты технической стороны, основным и наиболее часто
встречающимся способом мошенничества в банковской сфере является социальная инженерия, то есть
совокупность психологических методов, применяемая для выманивания у банковских клиентов их персональной
информации. Обычно клиенту банка звонят, представляясь сотрудником банка, и просят продиктовать
персональные данные, которые ни в коем случае нельзя сообщать третьим лицам. Особенно участились случаи
во время карантина, вызванного пандемией коронавируса. Мошенники стремятся напугать жертву и разузнать
данные в спешке. У клиента банка нет времени осмыслить происходящую ситуацию, и он чаще всего сам дает
доступ к своим денежным средствам, которые не могут быть ему возвращены, так как он сам распространил свои
конфиденциальные данные. В таком случае единственной защитой может быть сброс звонка от сотрудника
обслуживающего клиента банка и самостоятельный звонок клиента по горячей линии банка с целью проверки
достоверности озвученной информации.
Далее прейдем к исследованию, проведенному Сбербанком, с целью анализа опасности социальной
инженерии. На рисунке 3 представлены основные виды мошенничества по получению конфиденциальных
данных о клиенте. Наибольшую опасность представляет социальная инженерия, для борьбы с которой банки
9
хотят использовать дифференциацию звонков. То есть клиент банка будет видеть, кто ему звонит: сотрудник банка или злоумышленник. Для создания специальной платформы банки намерены передавать операторам сотовой связи данные о контактах со своими клиентами. Система будет определять, кому принадлежит номер, через сверку информации с базами телефонных номеров банка. В случае выявления несоответствий, звонок будет маркироваться как подозрительный, и клиент банка будет особенно внимательным и осторожным [2].
1%
8%
11%
Социальная инженерия
Вредоносное программное обеспечение
Другое
Скимминг
80%
Рисунок 3. Популярность видов мошенничества согласно исследованию Сбербанка На рисунке 4 можно изучить виды социальной инженерии, применяемые мошенниками. В большинстве
случаев клиент банка самостоятельно передает всю необходимую информацию для снятия его денежных средств
мошенниками.
■ Самопереводы ■ Кража личности ■ Обман пенсионеров ■ Прочее
Рисунок 4. Виды социальной инженерии согласно исследованию Сбербанка Таким образом, очень важно следить за сохранностью конфиденциальных данных, соблюдать все
инструкции банка и отслеживать операции со своими денежными средствами. Банки стараются одновременно
повышать степень цифровизации банковских процессов и снижать риски мошенничества, однако
злоумышленники тоже совершенствуют свои способы кражи данных. Следует внимательно изучать ссылки, на
которые вы собираетесь переходить, номера телефонов, на которые вы хотите ответить, а также поведение людей
в банке, которые вас обслуживают или которых обслуживаете вы. Необходимо помнить, что мошенничество
бывает разных видов и к осуществлению каждой операции стоит подходить ответственно. При сомнениях в
правильности своих действий следует незамедлительно звонить на горячую линию банка и предпринимать
действия согласно указаниям официальных сотрудников банка. Соблюдая меры безопасности, клиенты банков,
а также банковские сотрудники лишают себя ненужных переживаний и избегают потери денежных средств.
Список используемой литературы:
1. Пойманова Л.А., Мошенничество в банковской сфере: понятие, признаки, виды // Сибирский юридический вестник. 2018. № 2 (81). С. 84 - 89.
2. Банки РФ нашли способ борьбы с телефонным мошенничеством // Bloomchain [Электронный ресурс] - Режим доступа: https://bloomchain.ru/newsfeed/banki-rf-nashli-sposob-borbY-s-telefonnYm-moshennichestvom (дата обращения: 20.07.2020)
3. Банковское мошенничество // «СёрчИнформ» [Электронный ресурс] - Режим доступа: https://searchinform.ru/resheniYa/otraslevYe-resheniYa/informatsionnaYa-bezopasnost-bankov/bankovskoe-moshennichestvo/ (дата обращения: 18.07.2020)
4. Информационная безопасность (тренды) // TAdviser [Электронный ресурс] - Режим доступа: https://www.tadviser.m/шdex.php/Сraтья:Тренды развития облачных вычислений (дата обращения: 15.07.2020)
5. Как не стать жертвой троянца? Держать шлюзы закрытыми // «Лаборатория Касперского» [Электронный ресурс] - Режим доступа: https://www.kasperskY.ru/resource-center/preemptive-safetY/avoiding-a-trojan-virus (дата обращения: 18.07.2020)
6. Как обманывают мошенники // Сбербанк - [Электронный ресурс]. - Режим доступа: https://www.sberbank.ru/ru/person/dist services/cYbersecuritY/cYbersecuritY situations (дата обращения: 08.07.2020)
