CC BY
45Организация противодействия финансовым операциям без согласия клиента
Ларионова Светлана Львовна,
кандидат технических наук, доцент Департамента «Информационная безопасность», Финансовый университет при Правительстве Российской Федерации E-mail: SLLarionova@fa.ru
Ряховский Егор Эдуардович,
магистрант, Финансовый университет при Правительстве Российской Федерации E-mail: egorryakhovski@mail.ru
Последние несколько лет во всем мире наблюдается стабильный рост объема операций, проводимых клиентами кредитных организаций через каналы дистанционного банковского обслуживания. В то же время наблюдается еще более существенный и устойчивый рост объема кибермошенничества, вызванный перевод среды взаимодействия между клиентами и кредитной организации в киберпространство. В результате проведенного исследования технологий совершения финансовых операций через каналы ДБО было выявлено, что для каждой подобной технологии существует целый список серьезных уязвимостей, эксплуатация которых может привести к реализации угрозы совершения операции без согласия клиента. В статье на основе проведенного анализа уязвимостей технологических процессов совершения финансовых операций через каналы ДБО, а также анализа статистики по инцидентам, связанным с тематикой кибермошенничества была сформирована модель угроз совершения финансовых операций без согласия клиента. После чего был разработан набор технических мер, направленных на снижение уровня риска реализации угроз кибермо-шенничества.
Ключевые слова: противодействие кибермошенничеству, риски кибермошенничества, операции без согласия клиентов.
в
см
03
Введение
В настоящее время траекторию развития общества в целом и банковской деятельности в частности определяет активное развитие и распространение цифровых технологий.
Согласно статистике Банка России, в каждом новом году наблюдается стабильный рост объема операций, проводимых через каналы дистанционного банковского обслуживания (ДБО). Так, за минувший 2020 год подобный показатель по отношению к 2019 году вырос на 28% [14].
Активное использование каналов ДБО, перевод среды взаимодействия клиента с кредитной организацией в киберпространство, глобальный характер межсетевого взаимодействия между кредитной организацией и клиентом неизбежно порождают повышение уровня риска реализации ряда угроз информационной безопасности (ИБ). Согласно статистике Банка России, объем операций по переводу денежных средств, проведенных без согласия клиента, в 2020 году вырос на 52% и составил 91 трлн рублей [14].
В работе представлены результаты исследования в области необходимого комплекса мер защиты систем ДБО с учетом существующих вызовов.
Материалы и методы
В результате анализа статистики Банка России [15, 16] было определено, что наибольшие число операций без согласия клиента приходится на CNP-тран-закции (65% от общего количества), на втором месте - операции, проводимые через канал интернет-банка (28%) (т.е. через мобильные приложения, так и веб-сайт кредитной организации) [11].
В результате анализа технологий предоставления банковских услуг через удаленные каналы обслуживания, были выявлены наиболее часто встречающиеся уязвимости технологий расчетов через обозначенные выше каналы предоставления услуг, которые могут привести к реализации угроз совершения операции без согласия клиента.
Основываясь на отчетности, показывающей долю различных типов атак в отношении клиентов кредитной организации был проведен анализ инцидентов ИБ с целью выявления наиболее актуальных, с точки зрения вероятности реализации, угроз ИБ. На основе анализа указанной отчетности была разработана модель угроз совершения финансовых операций без согласия клиентов.
Результаты разработки
Модель угроз является крайне важным инструментом при создании адекватной системы обеспечения ИБ в кредитной организации, позволяющим определить итоговый список максимально приоритетных угроз и конкретных требований к защите информации, что, в свою очередь, обеспечивает эффективное и своевременное выявление и нейтрализацию угроз ИБ.
Составным элементом модели угроз является модель нарушителя, в которой содержится перечень нарушителей вместе с оценкой их потенциала.
Для формирования модели нарушителя были сделаны следующие предположения о ключевых возможных целях (мотивации) реализации угроз ИБ:
- хищение денежных средств;
- причинение имущественного ущерба путем мошенничества;
- выявление уязвимостей технологических процессов с целью их дальнейшей продажи;
- реализация угроз безопасности информации непреднамеренно, из неосторожности или неквалифицированных действий.
С учетом предположений о целях нарушителя по реализации угроз был составлен следующий список характерных нарушителей:
- внешние:
- преступные группы (хакерские сообщества);
Таблица 1. Модель угроз [авторская разработка]
- внешние субъекты (физические лица, хакеры);
- разработчики, производители или поставщики программных, технических или программно-технических средств (например, мобильных приложений, веб-сайтов или ПО для устройств самообслуживания);
- бывшие работники;
- внутренние:
- банковские работники, имеющие доступ к информационным системам банка;
- администраторы систем и администраторы безопасности.
Кроме того, был определен потенциал возможных нарушителей:
- высокий потенциал:
- преступные группы (хакерские сообщества);
- банковские работники, имеющие доступ к АБС;
- администраторы систем и администраторы безопасности;
- средний потенциал:
- разработчики, производители или поставщики программных, технических или программно-технических средств (например, мобильных приложений, веб-сайтов или ПО для устройств самообслуживания);
- низкий потенциал:
- внешние субъекты (физические лица, хакеры);
- бывшие работники.
Сформированная модель угроз совершения финансовых операций без согласия клиентов представлена в таблице 1.
№ Наименование угрозы Канал ДБО Источник Объектвоздействия Уязвимость
1 угроза проведения опера- карты - преступные груп- сетевой тра- - отсутствие использования на web-стра-
ции от имени пользовате- (CNP-транзак- пы; фик нице для оплаты товара или услуги меха-
ля посредством перехва- ции)/ - внешние субъ- низма HSTS;
та сессии пользователя интернет-банк екты; - отсутствие использования параметров
при оплате товара или - разработчики, защиты cookie;
услуги в Интернете производители или поставщики программных, технических или программно-технических средств; - бывшие работники - некоренное завершение сессии в ходе завершения работы с приложением/ веб-сайтом банка; - ошибки в реализации технологии SSO на базе протокола OAuth2, приводящие к передаче данных по незащитному протоколу без шифрования данных
2 угроза перехвата вводи- карты - преступные груп- web-сайт ТСП/ уязвимости CMS (content management
мых пользователем кон- (CNP-транзак- пы; банка system), позволяющие злоумышленнику
фиденциальных данных ции)/ интернет-банк - внешние субъекты; - разработчики, производители или поставщики программных, технических или программно-технических средств; - бывшие работники добавить свой вредоносный код в один из блоков кода web-страницы для оплаты товара/услуги или web-сайта банка
Продолжение
№ Наименование угрозы Канал ДБО Источник Объект воздействия Уязвимость
3 угроза перенаправления запроса пользователя при покупке товара или услуги карты (С^-транзак-ции) - преступные группы; - внешние субъекты сетевой трафик использование устаревшей версий протокола 3D-Secure, содержащей уязвимость в запросе на аутентификацию плательщика (отсутствует криптографическая защита (шифрование) запроса и его проверка со стороны ПС, т.е. сам запрос передается в банк в виде обычной адресной строки)
4 угроза заражения вредоносным ПО устройства клиента карты (С^-транзак-ции)/ интернет-банк - преступные группы; - внешние субъекты; - разработчики, производители или поставщики программных, технических или программно-технических средств; - бывшие работники конечное устройство клиента - возможность подключения внешних сущностей (отсутствие проверки приложением данных, поступающих от пользователя); - ошибки в бизнес-логике приложений (наличие излишней функциональности приложения, отсутствие разумных ограничений для действий пользователей)
5 угроза получения несанкционированного доступа к аутентификационным данным клиента посредством перехвата и анализа запросов на проведения операции интернет-банк - преступные группы; - внешние субъекты - разработчики, производители или поставщики программных, технических или программно-технических средств; - бывшие работники сетевой трафик отсутствие обфускации приложения (злоумышленник получает возможность для анализа и извлечения чувствительных с точки зрения ИБ данных: например, ключи шифрования или начальные параметры для их генерации, соль, которая используется для хеширования)
6 угроза реализации злоумышленником атаки типа "человек посередине" карты (С^-транзак-ции)/ интернет-банк - преступные группы; - внешние субъекты; - разработчики, производители или поставщики программных, технических или программно-технических средств; - бывшие работники сетевой трафик - некорректная реализация или отсутствие certificate pinning (данная мера безопасности отвечает за проверку сертификата, посылаемого сервером, на совпадение или подписание с помощью доверенного сертификата из хранилища приложения); - небезопасная реализация защищенного соединения с сервером
7 угроза изменения логики работы мобильного приложения интернет-банк - преступные группы; - внешние субъекты; - разработчики, производители или поставщики программных, технических или программно-технических средств; - бывшие работники банковское мобильное приложение - отсутствие защиты от процедур внедрения постороннего кода и перепаковки приложения (изменения дистрибутива приложения); - наличие полных имен классов и методов в коде приложения
Наименование угрозы
Канал ДБО
Источник
Объект воздействия
Уязвимость
угроза разглашения аутентификационных данных клиентом после применения со стороны злоумышленника методов социальной инженерии
карты
(С^-транзак-ции)/
интернет-банк
- преступные группы;
- внешние субъекты;
- бывшие работники
клиент банка
- низкий уровень киберграмотности клиентов;
- автоматическое сохранение скриншотов экрана при работе с банковским мобильным приложением;
- хранение данных в открытом виде
в файловой системе клиентской части мобильного приложения;
- раскрытие чувствительной информации в сообщениях об ошибках;
- отсутствие или некоренная реализация двухфакторной аутентификации (когда оба признака аутентификации относятся к одному и тому же каналу получения информации клиентом)
угроза разглашения аутентификационных данных клиентом после применения со стороны злоумышленника фи-шинговых рассылок
карты
(С^-транзак-ции)/
интернет-банк
- преступные группы;
- внешние субъекты;
- разработчики, производители или поставщики программных, технических или программно-технических средств;
- бывшие работники
клиент банка
- небезопасная обработка ссылок deeplink (данная уязвимость заключается в возможности загружать произвольные ссылки в системный компонент мобильной ОС, предназначенный для открытия веб-страниц в рамках работы с другими приложениями)
10
угроза утечки конфиденциальных данных клиента из файловой системы его конечного устройства
карты
(С^-транзак-ции)/
интернет-банк
- преступные группы;
- внешние субъекты;
разработчики, производители или поставщики программных, технических или программно-технических средств;
- бывшие работники
конечное
устройство
клиента
- хранение аутентификационных данных, ключей и токенов в коде приложения;
- хранение выписок в открытом виде
11
угроза получения несанкционированного доступа к личному кабинету клиента путем подбора пароля
интернет-банк
- преступные группы;
- внешние субъекты;
- разработчики, производители или поставщики программных, технических или программно-технических средств;
- бывшие работники
личный кабинет клиента в системе интернет-банка
- недостаток в реализации механизма предоставления ОТР-кодов (одноразовый пароль), когда при большом количестве попыток ввода неправильного одноразового пароля сам ОТР-код остаётся действительным;
- отсутствие или некоренная реализация двухфакторной аутентификации (когда оба признака аутентификации относятся к одному и тому же каналу получения информации клиентом);
- раскрытие чувствительной информации в сообщениях об ошибках;
- отсутствие, либо возможность обхода механизма СДРТСНД;
- отсутствие принудительного таймаута после нескольких неудачных попыток ввода учетных данных пользователем
12
угроза хищения денежных средств клиента сотрудником банка
интернет-банк
- банковские работники, имеющие доступ к системам банка; администраторы систем и администраторы безопасности
АБС
- хранение данных в открытом виде;
- отсутствие или некорректная реализация механизмов разграничения доступа сотрудников
сз о
со £
ГП Р сг
от А ш
На основании представленной модели угроз разработан набор мер, призванных снизить риск реализации угроз совершения финансовых опера-
ций без согласия клиента. Результаты представлены в таблице 2.
8
9
Таблица 2. Комплекс мер снижения рисков реализации операций без согласия клиентов[авторская разработка]
№ Наименование угрозы Предложенные меры митигации рисков, связанных с реализацией угрозы
1 угроза проведения операций от имени пользователя посредством перехвата сессии пользователя при оплате товара или услуги в Интернете - внедрение процедуры аутентификации сервисов и приложений на основе использования протокола TLS1.3 в рамках всех взаимодействий front-end части системы интернет-банкинга с back-end частью АБС; - внедрение процедуры автоматического принудительного завершения сессии пользователя после истечения определенного времени неактивности или выхода пользователя из системы, после которой пользователь будет считаться неаутентифицированным; - обеспечение контроля соответствия идентификатора сессии IP-адресу авторизованного пользователя; - отправка запроса на повторную аутентификацию в случае обнаружения изменения IP-адреса авторизованного пользователя в рамках одной сессии; - web-сайт банка (как способ получения доступа к интернет-банку) должен обладать следующими директивами безопасности: - X-Frame-Options (для обеспечения защиты от кликджекинга - размещения невидимых элементов на сайте поверх видимых для несанкционированного перенаправления запроса пользователя); - X-Content-Type-Options (для обеспечения защиты от атаки с подменой типов MIME (спецификация для передачи по сети файлов различного типа) и защиты от несанкционированного хотлинка); - X-XSS-Protection (для обеспечения защиты от межсайтового скриптинга); - Content-Security-Policy (для четкого определения ресурсов, которые могут подгружаться на странице); - использование на web-странице для оплаты товара или услуги механизма и веб-сайте кредитной организации механизма HSTS; - хранение cookie, используемых для аутентификации и поддержке сессий, только с выставленными флагами "Secure" и "HTTPOnly";
2 угроза перехвата вводимых пользователем конфиденциальных данных - web-сайт банка (как способ получения доступа к интернет-банку) должен обладать следующими директивами безопасности: X-Frame-Options; X-Content-Type-Options; X-XSS-Protection; Content-Security-Policy; - поддержка использования в системе интернет-банка виртуальной клавиатуры для ввода контрольной информации (например, паролей); - использование исключительно параметризованных SQL-запросов (передача запроса осуществляется отдельного от параметров, которые в данном случае экранируются автоматически) в рамках работы системы ДБО (для митигации рисков, связанных с реализацией атак с использованием SQL-инъекций); - запрет на использование при обработке данных в формате XML сущностей, внешних параметров сущностей и внешних описаний типа документа; - контроль целостности мобильной операционной системы, установленной на устройстве клиента, при запуске банковского мобильного приложения
3 угроза перенаправления запроса пользователя при покупке товара или услуги - web-сайт банка (как способ получения доступа к интернет-банку) должен обладать следующими директивами безопасности: X-Frame-Options; X-Content-Type-Options; X-XSS-Protection; - Content-Security-Policy; - использование исключительно параметризованных SQL-запросов) в рамках работы системы ДБО; - запрет на использование при обработке данных в формате XML сущностей, внешних параметров сущностей и внешних описаний типа документа; - запрет на взаимодействие с графическим интерфейсом мобильного приложения в случае, если графический интерфейс мобильного приложения банка перекрыт графическим интерфейсом другого мобильного приложения (для обеспечения защиты от tapjacking^)
4 угроза заражения вредоносным ПО устройства клиента - web-сайт банка (как способ получения доступа к интернет-банку) должен обладать следующими директивами безопасности: X-Frame-Options; X-Content-Type-Options; X-XSS-Protection; - использование исключительно параметризованных SQL-запросов) в рамках работы системы ДБО; - контроль целостности мобильной операционной системы, установленной на устройстве клиента, при запуске банковского мобильного приложения; - встраивание антивирусного программного обеспечения с поддержкой автоматического обновления в банковское мобильное приложение; - запрет на прием банковским мобильным приложением broadcast-сообщений от сторонних мобильных приложений
5 угроза получения несанкционированного доступа к ау-тентификационным данным клиента посредством перехвата и анализа запросов на проведения операции - внедрение процедуры аутентификации сервисов и приложений на основе использования протокола TLS1.3 в рамках всех взаимодействий front-end части системы интернет-банкинга с back-end частью АБС; - web-сайт банка (как способ получения доступа к интернет-банку) должен обладать следующими директивами безопасности: X-Frame-Options; X-Content-Type-Options; X-XSS-Protection; Content-Security-Policy
№ Наименование угрозы Предложенные меры митигации рисков, связанных с реализацией угрозы
6 угроза реализации злоумышленником атаки типа "человек посередине" - внедрение процедуры аутентификации сервисов и приложений на основе использования протокола TLS1.3 в рамках всех взаимодействий front-end части системы интернет-банкинга с back-end частью АБС; - защита всех вводимых при аутентификации пользователем секретных данных с помощью протокола SRP, обладающего устойчивостью к атакам "человек посередине"; - web-сайт банка (как способ получения доступа к интернет-банку) должен обладать следующими директивами безопасности: X-Frame-Options; X-Content-Type-Options; X-XSS-Protection; Content-Security-Policy; - встраивание в мобильное приложение доверенной цепочки сертификатов для проверки серверного сертификата (SSL-Pinning)
7 угроза изменения логики работы мобильного приложения - внедрение процедуры обязательной обфускации мобильных приложений банка (обфускации должны быть подвергнуты имена классов и методов, строковые константы, критичные участки кода); - контроль целостности мобильной операционной системы, установленной на устройстве клиента, при запуске банковского мобильного приложения;- контроль целостности мобильной операционной системы, установленной на устройстве клиента, при запуске банковского мобильного приложения; - внедрение концепции SDL при разработке систем ДБО
8 угроза разглашения аутентификацион-ных данных клиентом после применения со стороны злоумышленника методов социальной инженерии - обеспечение однозначного соответствия одноразового пароля конкретному типу клиентской операции (OTP-код для входа в личный кабинет не может быть использован для подтверждения операции по переводу денежных средств); - включение в текст SMS-сообщения с кодом для подтверждения операции дополнительных сведений, описывающих детали операции (например, 4 последние цифры номера карты, с которой предполагается осуществить списание денежных средств); - запрет на создание скриншота экрана в рамках работы с мобильным банковским приложением; - запрет на использование мобильного приложения банка в случае включенной на уровне ОС устройства клиента функции озвучивания SMS-сообщений; - использование функции размытого экрана при переходе мобильного приложения банка в фоновый режим
9 угроза разглашения аутентификационных данных клиентом после применения со стороны злоумышленника фи-шинговых рассылок - web-сайт банка (как способ получения доступа к интернет-банку) должен обладать следующими директивами безопасности: X-Frame-Options; X-Content-Type-Options; X-XSS-Protection; Content-Security-Policy; - запрет на открытие web-страницы аутентификации из WebView мобильного приложения (WebView -компонент, позволяющий встраивать веб-страницы в мобильные приложения)
10 угроза утечки конфиденциальных данных клиента из файловой системы его конечного устройства - внедрение процедуры обязательной обфускации мобильных приложений банка (обфускации должны быть подвергнуты имена классов и методов, строковые константы, критичные участки кода); - запрет на создание скриншота экрана в рамках работы с мобильным банковским приложением; - контроль целостности мобильной операционной системы, установленной на устройстве клиента, при запуске банковского мобильного приложения; - встраивание антивирусного программного обеспечения с поддержкой автоматического обновления в банковское мобильное приложение; - ограничение возможности резервного копирования программных ресурсов (файлов) банковского мобильного приложения; - запрет на кэширование чувствительной информации при работе с системами интернет-банкинга; - внедрение концепции SDL при разработке систем ДБО; - автоматическое удаление из оперативной памяти мобильного устройства всей чувствительной информации и кэшированных данных при завершении взаимодействия с серверной частью; - отключение функций Auto Correction и Autosuggestion (автозаполнение) для полей ввода (например, при входе в систему интернет-банка или в рамках работы с формой веб-сайта для смены пароля), обрабатывающих конфиденциальную информацию
11 угроза получения несанкционированного доступа к личному кабинету клиента путем подбора пароля - применение процедур двухфакторной аутентификации клиентов (с использованием 2 различных факторов аутентификации, для которых характерны различные ключевые риски)
12 угроза хищения денежных средств клиента сотрудником банка -применение процедур двухфакторной аутентификации клиентов (с использованием 2 различных факторов аутентификации, для которых характерны различные ключевые риски); - использование электронной подписи для обеспечения целостности электронных сообщений по финансовым операциям, отправляемых клиентами через систему ДБО в банк; - внедрение процедуры дополнительной аутентификация с помощью одноразового пароля при внесении клиентом изменений в собственный профиль личного кабинета
Q. в
СМ 03
Заключение
На основе проведенного анализа технологий совершения финансовых операций, анализа уязвимостей технологических процессов, анализа статистики по инцидентам, связанным с операциями без согласия клиента, была разработана модель угроз совершения финансовых операций без согласия клиента, а также набор мер, направленных на снижение рисков реализации угроз совершения финансовых операций без согласия клиента и снижению возможных имиджевых рисков кредитной организации, укреплению позитивного восприятия клиентами систем ДБО и безналичных расчетов в целом.
Литература
1. Обзор операций, совершенных без согласия клиентов финансовых организаций за 2020 год [Электронный ресурс] - URL: https://cbr.ru/Collection/Collection/File/32190/ Review_of_transactions_2020.pdf (дата обращения: 14.04.2021).
2. Статистика национальной платежной системы [Электронный ресурс] - URL: https://cbr.ru/ statistics/nps/psrf (дата обращения: 24.01.2021).
3. Модели и технологии банковской деятельности: учебник / Васильев И.И., Лаврушин О.И., Ушанов А.Е. - Москва: КноРус, 2020. - 179 с.
4. Обзор операций, совершенных без согласия клиентов финансовых организаций за 2019 год [Электронный ресурс] - URL: https://cbr.ru/Content/Document/File/103609/ Review_of_transactions_2019.pdf (дата обращения: 29.11.2020).
5. Уязвимости и угрозы мобильных банков [Электронный ресурс]. - URL: https://www.ptsecurity. com/ru-ru/research/analytics/vulnerabilities-mobile-banks-2020/ (дата обращения: 17.01.2021).
6. Уязвимости онлайн-банков: подводим итоги анализа [Электронный ресурс] - URL: https:// www.ptsecurity.com/ru-ru/research/analytics/ vulnerabilities-rbo-2019/?sphrase_id=81472 (дата обращения: 17.01.2021).
7. Кибербезопасность 2020-2021 [Электронный ресурс] - URL: https://www.ptsecurity.com/upload/ corporate/ru-ru/analytics/Cybersecurity_20-21. pdf (дата обращения: 31.01.2021).
8. Перевод не туда: Group-IB фиксирует всплеск мошенничества с Р2Р-платежами [Электронный ресурс] - URL: https://www.group-ib.ru/ media/p2p-fraud (дата обращения: 01.02.2021).
9. Обзор отчетности об инцидентах информационной безопасности при переводе денежных средств (I и II кварталы 2019-2020 годов) [Электронный ресурс] - URL: https://cbr.ru/ analytics/ib/review_1q_2q_2020 (дата обращения: 29.11.2020).
10. Аналитическая справка об индикаторах финансовой доступности за 2019 год (по результатам замера 2020 года) [Электронный ре-
сурс] - URL: http://www.cbr.ru/Content/Document/ File/108660/acc_indicators_2019 (дата обращения: 29.11.2020).
11. НАФИ: более половины россиян пользуются цифровым банкингом [Электронный ресурс] - URL: https://www.banki.ru/ news/lenta/?id=10930356 (дата обращения: 29.11.2020).
12. Случаи кражи денег со счетов граждан в 2020 году участились вдвое [Электронный ресурс] - URL: https://www.banki.ru/ news/lenta/?id=10935059 (дата обращения:
29.11.2020).
13. ЦБ ожидает роста хищений средств со счетов клиентов банков [Электронный ресурс] - URL: https://ria.ru/20201029/bank-1582132763.html (дата обращения: 29.11.2020).
14. ГОСТ Р 57580.1-2017. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер [Электронный ресурс] - URL: https://docs. cntd.ru/document/1200146534 (дата обращения:
18.01.2021).
15. Положение Банка России от 09.06.2012 N382-n (ред. от 07.05.2018) «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» [Электронный ресурс] - URL: http://www.consultant.ru/document/ cons_doc_LAW_131473 (дата обращения: 31.01.2021).
ORGANIZATION OF COUNTERACTION TO FINANCIAL TRANSACTIONS WITHOUT THE CLIENT'S CONSENT
Larionova S.L., Ryakhovski E.E.
Financial University under the Government of the Russian Federation
Over the past few years, there has been a steady increase in the volume of transactions carried out by clients of banks through remote banking services. At the same time, there is an even more significant and steady increase in the volume of cyber fraud caused by the transfer of the interaction environment between clients and the banks to cyberspace. In the article, based on the analysis of vulnerabilities in the technological processes of performing financial transactions through RBS channels, a model of threats to perform financial transactions without the consent of the client is formed. After that, a set of technical measures was developed to reduce the risk of cyber fraud threats.
Keywords: counteraction to cyber fraud, risks of cyber fraud, operations without the client's consent.
References
1. Review of transactions made without the consent of the customers of financial institutions for 2020 [Electronic resource] - URL: https://cbr.ru/Collection/Collection/File/32190/Review_of_trans-actions_2020.pdf (accessed: 14.04.2021).
2. Statistics of the national payment system [Electronic resource] -URL: https://cbr.ru/statistics/nps/psrf (accessed: 24.01.2021).
3. Models and technologies banking: textbook / I. Vasi-lev I. Lavrushin O.I., A.E. Wuhan - Moscow: KnoRus, 2020. -179 p.
4. Review of transactions made without the consent of clients of financial organizations for 2019 [Electronic resource] - URL: https://cbr.ru/Content/Document/File/103609/Review_of_trans-actions_2019.pdf (accessed: 29.11.2020).
5. Vulnerabilities and threats of mobile banks [Electronic resource]. - URL: https://www.ptsecurity.com/ru-ru/research/ analytics/vulnerabilities-mobile-banks-2020/ (accessed 17.01.2021).
6. Vulnerabilities of online banks: summarize the results of the analysis [Electronic resource] - URL: https://www.ptsecurity.com/ ru-ru/research/analytics/vulnerabilities-rbo-2019/?sphrase_ id=81472 (accessed: 17.01.2021).
7. Cybersecurity 2020-2021 [Electronic resource] - URL: https:// www.ptsecurity.com/upload/corporate/ru-ru/analytics/Cyberse-curity_20-21.pdf (accessed: 31.01.2021).
8. Group-IB captures the splash of fraud P2P payments [Electronic resource] - URL: https://www.group-ib.ru/media/p2p-fraud (accessed: 01.02.2021).
9. Reporting of incidents of information security when transferring funds (I and II quarters of 2019 to 2020) [Electronic resource] -URL: https://cbr.ru/analytics/ib/review_1q_2q_2020 (accessed: 29.11.2020).
10. Analytical report on indicators of financial inclusion for 2019 (the measurement of 2020) [Electronic resource] - URL: http://www. cbr.ru/Content/Document/File/108660/acc_indicators_2019 (accessed: 29.11.2020).
11. NAFI: more than half of Russians use digital banking [Electronic resource] - URL: https://www.banki.ru/news/len-ta/?id=10930356 (accessed: 29.11.2020).
12. Cases of theft of money from accounts of citizens in 2020 have increased twice [Electronic resource] - URL: https://www.banki. ru/news/lenta/?id=10935059 (accessed: 29.11.2020).
13. The Central Bank expects growth in embezzlement of funds from the accounts of bank customers [Electronic resource] -URL: https://ria.ru/20201029/bank-1582132763.html (accessed: 29.11.2020).
14. GOST R57580.1-2017. National Standard of the Russian Federation. Security of financial (banking) operations. Protection of information of financial organizations. The basic structure of organizational and technical measures [Electronic resource] -URL: https://docs.cntd.ru/document/1200146534 (accessed: 18.01.2021).
15. Regulation of the Bank of Russia of 09.06.2012 N382-P (ed. of 07.05.2018) "On the requirements for ensuring the protection of information when making money transfers and on the procedure for the Bank of Russia to monitor compliance with the requirements for ensuring the protection of information when making money transfers" [Electronic resource] - URL: http://www. consultant.ru/document/cons_doc_LAW_131473 (accessed: 31.01.2021).
