«Хотите защититься? Заведите «сейф» для мобильного банковского приложения»

Атаки на банки и клиентов актуальны всегда, другое дело, что предпочитают мошенники в конкретный момент. Сейчас на волне популярности – мошенничество с банковскими картами и счетами через мобильный банк. Причем для этого в большей степени используются не технические средства, а старые-добрые методы социальной инженерии. Злоумышленники изучают приложения и системы, которые внедряют банки, подстраиваются под модель работы клиента. И в конце концов выманивают необходимые для регистрации в мобильных приложениях коды.

Да, это один из наиболее распространенных примеров. Человек размещает на Avito объявление, ему звонят – готовы купить, скажите номер карты, переведем деньги. И еще пришедший вам код, пожалуйста. Ну а дальше… Разгул мошенничества в отношении клиентов связан с тем, что банковские сервисы все больше завязаны на номер банковской карты и смартфон. Причем зачастую один и тот же гаджет клиенты используют и как устройство для запуска мобильного приложения, и как телефон для получения SMS-уведомлений.

Банки идут по пути упрощения взаимодействия с клиентами для повышения простоты и удобства обслуживания, собственно, эти принципы красной нитью проходят при позиционировании банковских брендов. При этом людей становится проще обмануть. Нужно находить разумный баланс между безопасностью и удобством. Как минимум, стоит использовать разные устройства для регистрации в системе ДБО и подтверждения платежей.

Если у вас на счету лежит небольшая сумма денег, которой вы, откровенно говоря, можете рискнуть, тогда использование одного устройства не критично. Но если приносите в банк вклад, особенно пополняемый и частично снимаемый, держите на нем внушительную сумму, и ваше мобильное приложение позволяет получить к нему доступ, тогда риск не оправдан. Клиент должен понимать, что он не просто пришел в банк, принес деньги, поставил мобильное приложение и на этом может успокоиться. Обеспечение защищенности – общая задача и для банка, и для клиента.

Имеет смысл приобрести для «походов» в мобильный банк отдельный нетбук, установить на него нормальное антивирусное ПО, можно даже «песочницу» использовать. И заходить в банковское приложение только с него, нигде не серфиться, ничего не подключать. Это ваш сейф: нужны деньги – открыл, закончил работу – убрал. Но волшебной таблетки от всех ИБ-угроз не существует.

Зачастую, когда банк обеспечивает повышенный уровеньзащиты от мошенничества по отношению к клиентам, злоумышленники начинают «в отместку» изыскивать способы взлома банковской сети, проводят целенаправленные атаки. В том числе взламывают АРМ КБР (автоматизированное рабочее место клиента Банка России) и списывают крупные суммы – не мелочатся, так сказать. Это возможно, например, если общая банковская сеть и машины, отвечающие за отправку платежей в ЦБ РФ, связаны. Или если платежные системы «стоят» в сети, ничем не защищенные.

ЦБ идет по пути ИБ-регламентирования нашего бизнеса, встает на сторону безопасности в дилемме «удобно и быстро/безопасно и долго». Например, безопасники проверяют новую услугу, планирующуюся к запуску, и рекомендуют внести ряд изменений. С точки зрения бизнеса это не всегда оптимально: «Если сделаем так, к нам никто не пойдет. Давайте оставим как есть, запустимся, а если что-то случится, закрутим гайки». После введения регулятивных требований банкам придется слушать своих безопасников.

Возможно, и у клиентов появится больше понимания того, что нужно защищаться и как это стоит делать. Пока это не приживется в головах людей, наши действия будут эффективными лишь наполовину. Как говорится, технически защититься можно, но от человеческой недальновидности защиты нет.

Без регулятивного воздействия со стороны ЦБ банкам в принципе сложно достичь высокого уровня защищенности, поскольку это часто подразумевает неудобства для клиентов. Защищенность мешает. Если у безопасников нет регуляторной базы в качестве неоспоримого аргумента, им приходится доказывать свою точку зрения – формировать гипотетические модели нарушителя и угроз. А если мы говорим об этом гипотетически, бизнес так это и воспринимает.

Что касается небольших банков: на них требования ЦБ лягут гораздо более тяжелым грузом с точки зрения необходимых затрат. А рисков по сравнению с крупными банками у них сравнительно немного. Так что, скорее, первый вариант.

Как я уже сказал, нужно повышать защищенность мобильных банковских приложений. Как это можно проконтролировать на стороне клиента – другой вопрос. В ряде случаев необходима более жесткая аутентификация пользователей ДБО.

Также нужно на обязательной основе расширять рамки информационного обмена между финансовыми организациями. Так, мы делимся с FinCERT данными об ИБ-инцидентах, происходящих в банке: о DDoS-атаках, рассылаемых вирусах и т.д. Передаем детальную информацию. Нужно обязать банки сообщать обо всех инцидентах, чтобы расширять общую базу знаний. ЦБ в принципе этой дорогой и идет, но пока агитирует участвовать на добровольной основе.

Этот вопрос обсуждается уже несколько лет – попытки перевода в легализованное поле деятельности существующей межбанковской группы по антифроду. Раньше если ты хотел защититься, то автоматически нарушал требования законодательства, пересылая персональные данные подозреваемого в мошенничестве. ЦБ пошел по пути создания центра реагирования, сейчас FinCERT стремится замкнуть на себя взаимодействие с финансовыми организациями по любым вопросам, связанным с ИБ-угрозами, в том числе с мошенничеством. Мы были в числе первых, кто начал работать с FinCERT, и я вижу реальный выхлоп от нашего взаимодействия.

По факту FinCERT – это единое окно, которое собирает, консолидирует, обрабатывает информацию от участников, дает обратную связь, регулярно уведомляет о появляющихся угрозах. Сейчас уведомления касаются в основном фишинговой и спам-рассылки. Мы тут же ставим фильтры на блокировку по этим адресам, перепроверяем, были ли с них входящие письма. И иногда находим пролетевшие мимо нас.

Я думаю, в большинстве случаев отказываются как раз те, кому есть что скрывать. «А вдруг к нам придут с проверкой, если мы сообщим о своих инцидентах?». Возможно, просто не налажен контакт с представителями FinCERT, на это тоже нужно время. Мы работаем в крупном банке и знаем нужных людей, а в небольшом могут и не знать.

К тому же пока остается чисто техническая проблема, связанная с взаимодействием с FinCERT: сейчас оно идет по открытой почте. Этот вопрос уже поднимался, сейчас прорабатывается механизм шифрованной почты. Возможно, будет какой-то web-интерфейс на сайте ЦБ, куда можно будет вносить информацию, но пока все, что предлагают банкам – шлите нам на обычный e-mail. Так что не исключаю, что в некоторых банках безопасники более безопасные, чем почта ЦБ: «Зачем мы будем отправлять по незащищенным каналам конфиденциальную информацию».