Социальная инженерия как источник рисков в условиях дистанционного банковского обслуживания Текст научной статьи по специальности «СМИ (медиа) и массовые коммуникации»

pISSN 2073-2872 eISSN 2311-875X

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ КАК ИСТОЧНИК РИСКОВ В УСЛОВИЯХ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ*

Павел Владимирович РЕВЕНКОВа'% Александр Александрович БЕРДЮГИНЬ

а доктор экономических наук, профессор кафедры информационной безопасности, Финансовый университет при Правительстве РФ, Москва, Российская Федерация pavel.revenkov@mail.ru

ь аспирант кафедры информационной безопасности,

Финансовый университет при Правительстве РФ, Москва, Российская Федерация a40546b@gmail.com

• Ответственный автор

Угрозы и безопасность

История статьи:

Получена 19.07.2017 Получена в доработанном виде 06.08.2017 Одобрена 24.08.2017 Доступна онлайн 28.09.2017

УДК 336.71:004.056 JEL: G21, G39, L86

Ключевые слова: ДБО, кибербезопасность, риски, человеческий фактор, коммерческий банк, социальная инженерия

Аннотация

Предмет. Социальная инженерия как метод хищения конфиденциальной информации представляет собой управление действиями людей без использования технических средств, на основе слабостей человеческого фактора. В финансово-банковском секторе это становится причиной нарушений защиты информации, угрожающих непрерывности бизнеса и безопасности деятельности. Актуальность выбранной темы обусловлена ненадлежащим уровнем подготовки клиентов в сфере использования электронных финансовых сервисов, что становится причиной массовых и индивидуальных хищений со счетов.

Цели. Исследование взаимосвязи действий служб, производящих данные. Анализ способов воздействия приемов социальной инженерии на жертву и оптимальные методы противодействия этому. Разработка путей совершенствования кибербезопасности в условиях активного использования мошенниками методов социальной инженерии.

Методология. В работе использованы математические вычисления и методы системного анализа научной литературы в области теоретических и прикладных исследований. Применен педагогический метод изучения и обобщения имеющегося опыта. Проанализированы причинно-следственные связи «кибермошенник -жертва».

Результаты. Представлены конкретные примеры киберпреступлений социальной инженерии и способы противодействия им. Обосновано место традиционного образования в снижении киберпреступности. Разработаны приемы совершенствования интеллектуальных способностей человека, а также организационно-правовые методы, направленные на противодействие способам социальной инженерии. Охарактеризована связь осведомленности пользователя о методах социальной инженерии с нарушениями информационной безопасности. Область применения. Результаты исследования могут быть использованы финансовыми и образовательными организациями при обосновании зависимости киберпреступности от пользовательской грамотности и разработке методов совершенствования способностей.

Выводы и значимость. Ценность данной работы и новизна полученных результатов заключаются в рекомендациях по совершенствованию уровня образованности пользователей ДБО с целью минимизации рисков нарушения кибербезопасности.

© Издательский дом ФИНАНСЫ и КРЕДИТ, 2017

Для цитирования: Ревенков П.В., Бердюгин А.А.. Социальная инженерия как источник рисков в условиях дистанционного банковского обслуживания // Национальные интересы: приоритеты и безопасность. - 2017. -Т. 13, № 9. - С. 1747 - 1760. https://doi.Org/10.24891/ni.13.9.1747

1747

Особенности развития дистанционного банковского обслуживания

Успешные результаты развития

технологической сферы активно используются для упрощения доступа к сбережениям и повышения эффективности финансовых услуг. Самым заметным достижением в банковском бизнесе за последние 20 лет можно назвать широкомасштабное внедрение технологии дистанционного банковского обслуживания (ДБО). Оно предоставляет клиентам возможность совершать банковские операции, не посещая сам банк, с использованием различных каналов телекоммуникации (сеть Интернет - в случае интернет-банкинга и сотовая связь - для мобильного обслуживания) [1]. В табл. 1 приведена динамика использования сети Интернет в нашей стране.

ДБО с каждым годом завоевывает все большее признание и финансово-банковских институтов, и их клиентов. Банковские услуги - это всегда персональные отношения с клиентами, и современные системы ДБО дают возможность быстро и без существенных затрат внести во взаимоотношения с клиентами элементы персонализации. Автоматизация позволяет распространить персональное обслуживание сразу на всех клиентов банка и минимизировать влияние человеческого фактора, а затраты на автоматизацию мало зависят от размера клиентской базы [2].

Так, в США существуют бесконтактные банки, предоставляющие только мобильные услуги: Security First Network Bank и Movenbank. У этих банков нет не только отделений в привычном понимании этого слова, но и банкоматов. Вместо этого клиенты взаимодействуют с кредитно-финансовым учреждением при помощи мобильных

* Статья подготовлена по результатам исследований, выполненных за счет бюджетных средств по государственному заданию Финансового университета на 2017 г.

телефонов и компьютеров, включая открытие вкладов, снятие средств со счета и оформление кредитов.

Банковский опыт клиентов будет все больше интегрироваться с имеющимися технологиями. Например, вместо того чтобы выдать клиенту квитанцию в банкомате по окончании транзакции, банкомат автоматически пошлет баланс его счета и последние пять транзакций на мобильный телефон. Стало бессмысленным просить клиента у стойки расписаться на листе бумаги, когда для удостоверения личности можно поставить свою подпись электронной ручкой на планшете, использовать технологию распознавания лиц или сравнить отпечаток пальца [3]. Основным сдерживающим фактором на пути более динамичного развития технологии ДБО в России остаются опасения людей по поводу его безопасности.

Обратим внимание на данные Банка России об и з м е н е н и и кол и ч е с тв а с ч е то в с дистанционным доступом, открытых в кредитных организациях нашей страны (рис. 1). Налицо рост общего количества открытых счетов с 277 22,65 тыс. в январе 2008 г. до 191 961,54 тыс. в январе 2017 г., то есть увеличение в 6,9 раза за 9 лет.

Сопоставим эти показатели1 с зарегистрированным Банком России количеством несанкционированных действий (НСД) по счетам физических и юридических лиц с использованием ДБО за 2015-2016 гг. (табл. 2).

Даже по относительно небольшому промежутку времени видно, что вместе с ростом количества счетов с дистанционным доступом:

• увеличивается количество инцидентов по счетам физических и юридических лиц

1 Просветов Г.И. Теория вероятностей и математическая статистика: задачи и решения: учебно-практич. пособие. М.: Альфа-Пресс, 2016. 272 с.

1748

с использованием ДБО. Это говорит о непрерывном развитии киберпреступности;

• возрастает процент НСД в количестве открытых счетов (как физических, так и юридических лиц). Это свидетельствует об ожесточенности действий нарушителей и необходимости совершенствования методов защиты банковской информации как со стороны кредитных организаций, так и со стороны их клиентов (в отношении клиентов лидирует мошенничество с использованием методов социальной инженерии).

Социальный аспект рисков нарушения кибербезопасности

Рассмотрим основополагающие интерпретации социальной инженерии в трудах отечественных и иностранных авторов. Многие специалисты в области информационной безопасности определяют социальную инженерию как технику, использующую влияние и ряд психологических методов, чтобы обмануть людей, убедив их в том, что социальный инженер выдает себя за того, кем он не является. В общем смысле целью социальной инженерии является стремление управлять и манипулировать людьми [4, 5]. В результате (с использованием или без использования специальных технологий) жертва социального инженера невольно становится источником информации.

В статье [6] социальная инженерия представляется как искусство привлечения пользователей к компрометации

информационных систем. Вместо технических атак на системы социальные инженеры нацеливаются на доступ к информации, манипулируя пользователями в целях разглашения ими конфиденциальной информации или совершения злонамеренных атак через влияние и убеждение. Технические меры защиты против такого рода нападений обычно неэффективны. Кроме того, люди обычно считают, что они хорошо разбираются

в таких атаках, однако исследования показывают, что на самом деле жертвы плохо подготовлены к обнаружению обмана в корыстных целях.

В других публикациях социальная инженерия - это техника, используемая

злоумышленниками для доступа к желаемой информации путем использования изъянов в человеческой логике, известных как когнитивные предубеждения [7], или использование социальных масок,

лингвистических ухищрений и

психологических трюков, позволяющих заставить компьютерных пользователей помогать хакерам в их незаконном вторжении или использовании компьютерных систем и сетей [8]. Социальная инженерия - одно из самых сильных орудий в арсенале хакеров и программистов-злоумышленников. Ведь

гораздо проще обмануть кого-то, убедив в том, что он предоставляет свой пароль для достижения положительного результата, чем тратить усилия на взлом информационной системы.

Иллюстрацией социальной инженерии служит такой пример. Английские исследователи разослали сотрудникам одной крупной корпорации письма якобы от системного администратора их компании с просьбой предоставить свои пароли, поскольку намечается плановая проверка оборудования. На это письмо ответило 75% сотрудников компании, вложив в письмо свой пароль [9]. Данный пример свидетельствует о том, что оплошность сотрудника может стать причиной серьезного инсайдерского инцидента, когда на кон поставлена банковская тайна. Именно поэтому утечка информации может не просто серьезно отразиться, а даже, без преувеличения, разрушить бизнес кредитной организации.

1749

Сделать халатного2 сотрудника инсайдером может и фишинг. Фишинг - это создание и использование специальных электронных сообщений, поисковых запросов и веб-сайтов, подобных легальным сайтам компаний, финансовых институтов и правительственных агентств, в целях дезориентации (обмана) пользователей и провоцирование их на раскрытие своих персональных данных -таких как пароли или информация о персональных счетах. Таким образом, в ряде случаев беспечного сотрудника можно назвать соучастником киберпреступника.

Следует подчеркнуть, что определение кибербезопасности выходит за рамки традиционной информационной безопасности и включает защиту не только информационных ресурсов, но и других активов, в том числе жизнь самого человека. Ведь обратить огромный город или страну в хаос можно за несколько секунд, перехватив компьютерное управление жизненно важными службами. В информационной безопасности человеческий фактор обычно используется для обозначения организационной роли людей в процессе обеспечения безопасности. В кибербезопасности этот фактор имеет особое значение. Он подразумевает людей как потенциальных мишеней или участников кибератак.

Примером может быть авиакатастрофа самолета испанской авиакомпании Spanair 20 августа 2008 г., которая за одну секунду унесла 154 жизни. В ходе расследования было обнаружено, что одной из причин трагедии был троянский вирус, поразивший компьютерную систему авиакомпании. Из-за этого технические службы не получили сведений о неисправности, и самолет начал взлетать с невыпущенными закрылками.

2 В соответствии со ст. 293 Уголовного кодекса Российской Федерации под халатностью понимается неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе, если это повлекло причинение крупного ущерба.

Вредоносных программ было создано уже множество, но умысла уничтожить самолет у разработчика вируса не было. Однако этот случай наглядно показал, чего можно добиться, если такой умысел имеется3.

Роль человеческого фактора имеет этические последствия для общества в целом, поскольку защита и атака определенных уязвимых групп (например, детей и пенсионеров) представляет собой уже социальную ответственность [10]. Здесь имеются в виду цифровой вандализм, кибершпионаж, вымогательство (через шифрование содержимого жесткого диска) и пропаганда (навязывание некоего образа мыслей через рассылку заведомо ложных представлений).

Компьютерная преступность повышает информационные риски и стимулирует развитие информационной безопасности. Глобальная сеть Интернет представляет собой одну из наиболее быстро растущих отраслей технической инфраструктуры.

Информационная безопасность играет важную роль в оптимизации технологий и распространении интернет-услуг. Вместе с тем обеспечение защищенности информации - это не только прерогатива специалистов, но и задача пользователей4. Поскольку «цифровой человек» все больше и больше использует устройства, фиксирующие информацию о его местонахождении и деятельности, риски нарушения информационной безопасности возрастают (рис. 2).

Сайты социальных сетей представляют собой пространство, где пользователи беззаботно общаются с друзьями и родственниками. Подобные медиаресурсы киберпреступники используют в своих целях для кражи персональных данных. Для осуществления

3 Троян помешал предотвратить авиакатастрофу. URL: http://securitylab.ru/news/397016.php? pagen=4&el_id=397016

4 Юденков Ю.Н. и др. Интернет-технологии в

банковском бизнесе: перспективы и риски: учебно-практич. пособие. М.: КноРус, 2014. 318 с.

1750

мошенничества применяются не только технологические, но и психологические приемы.

Предположим, человек размещает на личной странице фотографии роскошного интерьера или приобретенного автомобиля. Потом сообщает так называемым «френдам» и «фолловерам», что через неделю уезжает в отпуск. Друзья приравнивают такую откровенность к информационному шуму. Злоумышленники же собирают подобную информацию, достаточную для создания поддельных документов5. После этого грабителю остается нарушить безопасность намеченной квартиры и/или, имея данные кредитной карты, взять крупный кредит на имя жертвы.

Таким образом, к особенностям преступлений в информационной сфере можно отнести высокую латентность (от лат. lаtentis -скрытый, невидимый) киберпреступлений (и, как следствие, безнаказанность киберпреступников) [11]. А также недостаточное осознание органами государственной власти на федеральном и особенно региональном уровнях, возможных политических, экономических, моральных и юридических последствий компьютерных преступлений.

Бдительность - залог информационной безопасности

Повысить уровень организованности в сфере информационной безопасности поможет приобщение финансовыми институтами клиентов и сотрудников к истории киберпреступности. Ведь, как заметил русский историк В.О. Ключевский, «история не учительница, а надзирательница: она не учит, но сурово наказывает за незнание ее уроков». Наиболее лаконичное объяснение описываемому явлению можно найти

5 Выжить в цифровом мире - иллюстрированные советы от Лаборатории Касперского. URL: https://survival.kaspersky.ru/book/survive_book.pdf

у философа и организатора науки В.С. Степина, который считает, что начиная со своего рождения человек постепенно включается в систему исторически сложившихся социальных связей

и отношений. И чем выше он восходит в своем историческом развитии по ступеням цивилизации, тем больше поднимается над доминирующим влиянием непосредственных биологических стимулов регуляции своих отношений с другими людьми6. Зачастую преобладание биологических потребностей над моральными нормами побуждает людей к нарушению безопасности (информационной, производственной, экономической и др.).

Довольно распространена следующая схема кибершпионажа. На телефон жертвы приходит смс-сообщение следующего содержания: «Пароль ХХХХХХ. Это код активации приложения «Легкий платеж». Если это не вы совершаете активацию, срочно обратитесь в службу поддержки». Через минуту звонит мошенник, представляется любым именем (тем самым ослабляя бдительность жертвы7 -рис. 3) и просит назвать пароль, который по ошибке пришел на «чужой» телефон. Остальное зависит от осведомленности абонента.

Как никогда актуальной остается старая истина: предупрежден - значит вооружен. Страницы служб информационной безопасности банков и группы в социальных сетях - отличный источник информации о новых киберугрозах. Такие блоги и группы должны содержать сведения о вредоносном программном обеспечении, методах

6 Степин В.С. История и философия науки: учебник для аспирантов и соискателей ученой степени кандидата наук. М.: Академический проект, 2014. 424 с.; История педагогики и образования.

От зарождения воспитания в первобытном обществе до конца XX в.: учеб. пособие для педагогических учебных заведений. М.: Сфера, 2001. 512 с.

7 Аттракция (от англ. attraction - притяжение,

тяготение) - психологическая установка на другого человека. Обусловливает интерес людей друг к другу.

мошенничества злоумышленников и способах противодействия им.

Зачастую причиной раскрытия информации становится чрезмерная доверчивость людей (клиентов и сотрудников банков). Именно поэтому насколько бы устойчивой ни была защита, фактором реализации

информационного риска в финансовой сфере может стать именно человек8 [5]. Необходимо повышать финансовую грамотность граждан и разъяснять привлекательность совершения безналичных операций для клиентов. Тем не менее говорить о повышении финансово-цифровой грамотности в отрыве от общеобразовательного развития совершенно неверно.

Учебному заведению достаточно организовать аудиторию, где будут развернуты рабочие места администратора системы ДБО и клиента, что позволит студентам проходить тренинг в роли и того, и другого. Вдобавок можно изучать методику хакерских атак, заставляя «администраторов», «хакеров» и «клиентов» на своих рабочих местах предпринимать изученный алгоритм действий для обеспечения безопасности [12]. Ведь сегодня быть финансово грамотным -необходимость, продиктованная временем.

Выводы

Исходя из изложенного, следующие выводы:

можно сделать

1) на современном этапе развития киберпреступности (в условиях применения технологии ДБО) социальная инженерия является основным способом получения конфиденциальной информации о банке и его клиентах. В связи с этим необходимо расширить способы информирования персонала и клиентов банков по вопросам соблюдения мер обеспечения

информационной безопасности;

8 Волков А.А. Управление рисками в коммерческом банке: практическое руководство. М.: Омега-Л, 2015. 156 с.

2) рекомендуется усилить меры административного и уголовного преследования за компьютерные преступления, использующие человеческий фактор для получения закрытой информации;

3) повышение грамотности и психологическое развитие человека взаимосвязаны, поскольку без знания психологии, которая является своеобразной методологической базой педагогики, нельзя понять законы и способы адекватного воспитательного воздействия на других. В то же время психологии, как социальной дисциплине, необходима практическая проверка ее теоретических концепций9. Например, корпорация Apple использует психологический прием поощрения хакеров, которые предоставят ей информацию о наличии уязвимостей в программном обеспечении фирмы для повышения качества своей продукции10. Наградой человеку за его бдительность станет неуязвимость его сбережений;

4) портативные компьютеры (ноутбуки), электронные планшеты и карманные персональные компьютеры (коммуникаторы и смартфоны) снабжаются встроенными веб-камерами еще на этапе производства. Для коммерческого банка такие камеры могут оказаться хорошим подспорьем при проведении дистанционных индивидуальных консультаций, обучающих онлайн-семинаров и организации полного ДБО, позволяющего заключить договор о банковском обслуживании, взять кредит/ипотеку без посещения офиса (для идентификации уникальности личности рекомендуется привлечение физиогномистов и анкетирование/интервьюирование). Это

9 Григорович Л.А., Марцинковская Т.Д. Педагогика

и психология: учеб. пособие. М.: Гардарики, 2003. 480 с.

10 СМИ: Apple предложит хакерам до 200 тыс. долл. за нахождение уязвимостей в ее продукции.

URL: http://tass.ru/ekonomika/3512064

1752

приведет к уменьшению количества филиалов и позволит сосредоточиться на развитии головного офиса (штаб-квартиры) кредитной организации;

5) мошенники используют оригинальные приемы для ослабления человеческой бдительности, вторжения в его психику и получения ценной информации. Все эти приемы основаны на обмане [13]. По данной причине абсолютно надежного способа противостояния информационно-психологическому воздействию пока не существует;

6) эвристика11 считается искусством нахождения истины. В целях противодействия приемам социальной инженерии эвристические методы должны быть внедрены в общее образование, юриспруденцию и финансовый сектор;

7) для воспитания критического восприятия поступающей информации при реализации методов социальной инженерии следует улучшить преподавание гуманитарных дисциплин в составе программ среднего и высшего образования12, а именно: истории России, финансовой грамотности и методологии кибербезопасности.

11 Эвристика - наука, изучающая закономерности построения новых действий в новой ситуации, то есть организацию продуктивных процессов мышления, на основе которых осуществляется интенсификация процесса генерирования идей (гипотез)

и последовательное повышение их правдоподобности (вероятности, достоверности).

12 Столяренко Л.Д. Психология и педагогика высшей школы: учеб. пособие. Ростов н/Д: Феникс, 2014. 620 с.

1753

Таблица 1

Использование сети Интернет в России в 2010-2016 гг. Table 1

The use of the Internet in Russia, 2010-2016

Показатель 2010 2011 2012 2013 2014 2015 2016

Доля домашних хозяйств, имеющих доступ 48,4 56,8 60,3 69,1 69,9 72,1 74,8

к сети Интернет, в общем числе домашних

хозяйств, %

Удельный вес пользователей сети Интернет среди членов домашних хозяйств, % 38 46,9 54,4 60,7 67,2 70,1 73,1

Источник: по данным Росстата Source: Rosstat

Таблица 2

Несанкционированные действия по счетам физических и юридических лиц с использованием ДБО, ед. Table 2

Unauthorized operations with individual and corporate accounts via online banking, units

Показатель I кв. 2015 г. II кв. 2015 г. III кв. 2015 г. IV кв. 2015 г.

НСД по счетам физических лиц 3 092 5 104 7 867 15 451

НСД по счетам 210 265 366 223

юридических лиц

Всего инцидентов 3 302 5 369 8 233 15 674

Количество счетов физических лиц 122 315 801 119 685 229 134 194 283 143 926 339

Количество счетов 3 460 540 3 239 669 3 544 225 3 875 278

юридических лиц

Общее количество 125 776 341 122 924 898 137 738 508 147 801 617

счетов

Доля НСД физических лиц, % (3 092/122 315 801) ■ 100 = 0,003 (5 104/119 685 229) ■ 100 = 0,004 (7 867/134 194 283) ■ 100 = 0,006 (15 451/143 926 339) ■ 100 = 0,011

Доля НСД юридических лиц, % (210/3 460 540) ■ 100 = 0,006 (265/3 239 669) ■ 100 = 0,008 (366/3 544 225) ■ 100 = 0,01 (233/3 875 278) ■ 100 = 0,006

Доля НСД всех счетов, % (3 302/125 776 3410) ■ 100 = 0,003 (5 369/122 924 898) ■ 100 = 0,004 (8 233/137 738 508) ■ 100 = 0,006 (15 674/147 801 617) ■ 100 = 0,011

Продолжение таблицы

Показатель I кв. 2016 г. II кв. 2016 г. III кв. 2016 г.

НСД по счетам физических лиц 26 201 41 282 35 284

НСД по счетам юридических лиц 130 117 118

Всего инцидентов 26 331 41 399 35 402

Количество счетов физических лиц 158 806 775 133 883 669 151 257 722

Количество счетов юридических лиц 4 026 385 3 749 086 4 022 830

Общее количество счетов 162 833 160 137 632 755 155 280 552

Доля НСД физических лиц, % (26 201/158 806 775) ■ 100 = 0,016 (41 282/133 883 669) ■ 100 = 0,031 (35 402/151 257 722) ■ 100 = 0,023

Доля НСД юридических лиц, % (130/4 026 385) ■ 100 = 0,0032 (117/3 749 086) ■ 100 = 0,0031 (118/4 022 830) ■ 100 = 0,0029

Доля НСД всех счетов, % (26 331/162 833 160) ■ 100 = 0,016 (41 399/137 632 755) ■ 100 = 0,03 (35 402/155 280 552) ■ 100 = 0,023

Источник: составлено авторами по данным Банка России. URL: https://cbr.ru/publ/Stability/fin-stab-2016_2-3r.pdf Source: Authoring on the basis of the Bank of Russia data. Available at: https://cbr.ru/publ/Stability/fin-stab-2016_2-3r.pdf

1754

ZI го

Рисунок 1

Количество счетов с дистанционным доступом, открытых в кредитных организациях России, тыс. ед. Figure 1

The number of remote access accounts opened with credit institutions of Russia, thousand units

250 000

200 000

150 000

100 000

50 000

tjv ov qV Ûv & оЛ <sv ov ^ QV ov Qv -Vй' ov

tjV

юридическим лицам, не являющимся кредитными организациями, тыс. ед. Источник: составлено авторами по данным Банка России Source: Authoring on the basis of the Bank of Russia data

I физическим лицам, тыс. ед.

сл сл

Рисунок 2

Анализ источников информации о человеке Figure 2

An analysis of sources of personal data

Источник: составлено авторами Source: Authoring

1756

Рисунок 3

Схема воздействия методов социальной инженерии Figure 3

The social engineering impact scheme

Источник: составлено авторами Source: Authoring

Список литературы

1. Международное и зарубежное финансовое регулирование: институты, сделки, инфраструктура: монография / под ред. А.В. Шамраева. М.: КноРус, 2014. 640 с.

2. Сычев А.М., Ревенков П.В., Дудка А.Б. Безопасность электронного банкинга. М.: Интеллектуальная литература, 2017. 318 с.

3. Кинг Б. Банк 3.0. Почему сегодня банк - это не то, куда вы ходите, а то, что вы делаете. М.: Олимп - Бизнес, 2014. 520 с.

4. Edwards M., Larson R., Green B. et al. Panning for Gold: Automatically Analysing Online Social Engineering Attack Surfaces // Computers & Security. 2017. Vol. 69. P. 18-34.

URL: https://doi.org/10.1016/j.cose.2016.12.013

5. Лямин Л.В. Применение технологий электронного банкинга: риск-ориентированный подход. М.: КноРус, 2011. 336 с.

6. Krombholz K., HobelH., Huber M., Weippl E. Advanced Social Engineering Attacks // Journal of Information Security and Applications. 2015. Vol. 22. P. 113-122.

URL: https://doi.org/10.1016/jjisa.2014.09.005

1757

7. Mouton F., Leenen L., Venter H.S. Social Engineering Attack Examples, Templates and Scenarios // Computers & Security. 2016. Vol. 59. P. 186-209.

URL: https://doi.org/10.1016/j.cose.2016.03.004

8. Safa N.S., von Solms R., Futcher L. Human Aspects of Information Security in Organizations // Computer Fraud & Security. 2016. Vol. 2016. Iss. 2. P. 15-18.

URL: https://doi.org/10.1016/S1361-3723(16)30017-3

9. Hadnagy Ch., Wilson P. Social Engineering: The Art of Human Hacking. Indianapolis: Wiley Publishing, Inc., 2010. 416 p.

10. Mouton F., Malan M.M., Kimppa K.K., Venter H.S. Necessity for Ethics in Social Engineering Research // Computers & Security. 2015. Vol. 55. P. 114-127.

URL: https://doi.org/10.1016/j.cose.2015.09.001

11. Рогозин Д.О., Шеремет И.А., Гарбук С.В., Губинский А.М. Высокие технологии в США: опыт министерства обороны и других ведомств. М.: Изд-во МГУ, 2013. 384 с.

12. Ревенков П.В., Бердюгин А.А. Расширение профиля операционного риска в банках при возрастании DDOS-угроз // Вопросы кибербезопасности. 2017. № 3. С. 16-23.

13. Сунь-Цзы. Искусство войны. М.: АСТ, 2017. 192 с. Информация о конфликте интересов

Мы, авторы данной статьи, со всей ответственностью заявляем о частичном и полном отсутствии фактического или потенциального конфликта интересов с какой бы то ни было третьей стороной, который может возникнуть вследствие публикации данной статьи. Настоящее заявление относится к проведению научной работы, сбору и обработке данных, написанию и подготовке статьи, принятию решения о публикации рукописи.

1758

pISSN 2073-2872 Threats and Security

elSSN 2311-875X

SOCIAL ENGINEERING AS A SOURCE OF RISKS IN ONLINE BANKING SERVICES Pavel V. REVENKOVa% Aleksandr A. BERDYUGINb

a Financial University under Government of Russian Federation, Moscow, Russian Federation pavel.revenkov@mail.ru

b Financial University under Government of Russian Federation, Moscow, Russian Federation a40546b@gmail.com

• Corresponding author

Article history: Abstract

Received 19 July 2017 Importance Intended for stealing confidential information, social engineering is

Received in revised form manipulation of people's actions without any technical means, playing upon biases of the 6 August 2017 human factor. In finance and banking, it causes breaches in data protection that threaten to

Accepted 24 August 2017 the business continuity and security. This subject arises from the improper preparation of Available online customers using electronic financial services that results in thefts from bank accounts.

28 September 2017 Objectives The research explores the mutual relation of actions undertaken by data

generating functions. We also analyze social engineering techniques for swindling JEL classification: G21, G39, a victim, and undertaking appropriate countermeasures. We also devise methods to L86 reinforce cybersecurity.

Methods The research involves mathematical computations and methods of a systems analysis of scientific literature on theoretical and applied researches. We also applied a pedagogical approach to studying and summarizing the existing experience. The article analyzes the cause-and-effect relations from cyber criminal-victim perspectives. Results We refer to particular examples of social engineering crimes and countermeasures. We substantiate the importance of conventional training for countering cyber crimes. We devise intellectual development methods, organizational and legal methods for countering social engineering. The article describes how the user's social engineering legitimacy correlates with information security violations.

Conclusions and Relevance The value and novelty of this research are that it provides Keywords: online banking, recommendations for elevating users' literacy with respect to remote banking so to mitigate cybersecurity, risk, human cyber crime risks. The findings can be used by financial and educational institutions to factor, commercial bank, corroborate the dependence of cybercrimes on the users' literacy and intellectual social engineering development methods.

© Publishing house FINANCE and CREDIT, 2017

Please cite this article as: Revenkov P.V., Berdyugin A.A. Social Engineering as a Source of Risks in Online Banking Services. National Interests: Priorities and Security, 2017, vol. 13, iss. 9, pp. 1747-1760. https://doi.org/10.24891/ni.l3.9.1747

Acknowledgments

The article follows results of researches financed as part of the State Job of the Financial University

under the Government of the Russian Federation in 2017.

References

1. Mezhdunarodnoe i zarubezhnoe finansovoe regulirovanie: instituty, sdelki, infrastruktura: monografya [International and foreign financial regulation: Institutes, transactions, infrastructure: a monograph]. Moscow, KnoRus Publ., 2014, 640 p.

2. Sychev A.M., Revenkov P.V., Dudka A.B. Bezopasnost' elektronnogo bankinga [E-banking security]. Moscow, Intellektual'naya literatura Publ., 2017, 318 p.

1759

3. King B. Bank 3.0. Pochemu segodnya bank - eto ne to, kuda vy khodite, a to, chto vy delaete [Bank 3.0: Why Banking is No Longer Somewhere You Go But Something You Do]. Moscow, Olimp-Biznes Publ., 2014, 520 p.

4. Edwards M., Larson R., Green B. et al. Panning for Gold: Automatically Analysing Online Social Engineering Attack Surfaces. Computers & Security, 2017, vol. 69, pp. 18-34.

URL: https://doi.org/10.1016/jxose.2016.12.013

5. Lyamin L.V. Primenenie tekhnologii elektronnogo bankinga: risk-orientirovannyi podkhod

[The use of e-banking technologies: A risk-based approach]. Moscow, KnoRus Publ., 2011, 336 p.

6. Krombholz K., Hobel H., Huber M., Weippl E. Advanced Social Engineering Attacks. Journal of Information Security and Applications, 2015, vol. 22, pp. 113-122.

URL: https://doi.org/10.1016/jjisa.2014.09.005

7. Mouton F., Leenen L., Venter H.S. Social Engineering Attack Examples, Templates and Scenarios. Computers & Security, 2016, vol. 59, pp. 186-209.

URL: https://doi.org/10.1016/jxose.2016.03.004

8. Safa N.S., von Solms R., Futcher L. Human Aspects of Information Security in Organizations. Computer Fraud & Security, 2016, vol. 2016, iss. 2, pp. 15-18.

URL: https://doi.org/10.1016/S1361-3723(16)30017-3

9. Hadnagy Ch., Wilson P. Social Engineering: The Art of Human Hacking. Wiley Publishing, Inc., 2010, 416 p.

10. Mouton F., Malan M.M., Kimppa K.K., Venter H.S. Necessity for Ethics in Social Engineering Research. Computers & Security, 2015, vol. 55, pp. 114-127.

URL: https://doi.org/10.1016/jxose.2015.09.001

11. Rogozin D.O., Sheremet I.A., Garbuk S.V., Guba A.M. Vysokie tekhnologii v SShA: opyt ministerstva oborony i drugikh vedomstv [High technology in the United States: The experience of the Ministry of Defense and other agencies]. Moscow, Moscow State University Publ., 2013,

384 p.

12. Revenkov P.V., Berdyugin A.A. [Expansion of the operational risk profile in banks under increase of DDoS-threats]. Voprosy kiberbezopasnosti = Cybersecurity Issues, 2017, no. 3, pp. 16-23.

(In Russ.)

13. Sun Tzu. Iskusstvo voiny [The Art of War]. Moscow, AST Publ., 2017, 192 p. Conflict-of-interest notification

We, the authors of this article, bindingly and explicitly declare of the partial and total lack of actual or potential conflict of interest with any other third party whatsoever, which may arise as a result of the publication of this article. This statement relates to the study, data collection and interpretation, writing and preparation of the article, and the decision to submit the manuscript for publication.

1760