Объем российского «черного» ИТ-рынка 3–4 года назад, по некоторым оценкам, составлял 200–300 млн долларов, в нем были задействованы несколько десятков тысяч хакеров с соответствующим разделением труда. Например, для одного из наиболее денежных сегментов – рынка спам-рассылок – «пищевая цепочка» выглядела следующим образом: одни вели исследования и писали эксплоиты, другие запускали вирусы и собирали бот-сети, третьи продавали эти бот-сети, четвертые работали с «конечными заказчиками» и заряжали через них спам-рассылки. Для еще одного фаворита – «пластикового» фрода (кардерства) – схемы были сложнее: одни добывали реквизиты банковских карт, например, в сговоре с кассовыми работниками «сферы обслуживания», другие изготавливали «белый пластик» или полноценные клоны карт, третьи их продавали, четвертые обналичивали.
За последние два года российский «черный» ИТ-рынок сильно изменился. И в первую очередь из-за смещения цели атак. На смену сложным, неочевидным и достаточно опасным схемам заработка пришли гораздо более прямолинейные варианты – воровство денег с банковских счетов. Тем более что для этого уже всё есть: хакерские технологии, позволяющие извлекать любые конфиденциальные данные из компьютеров жертв, широкое распространение удобных систем дистанционного обслуживания в банках, привычка пользователей все делать через интернет. И, как результат, – миллиардные потери клиентов банков.
Теряют клиенты – теряет банк
Потери клиентов и банков в последнее время становятся все более тождественны.
Во-первых, проблемы с безопасностью при использовании сервиса ДБО приводят к серьезным репутационным потерям. Клиенты традиционно воспринимают банк как нечто надежное, в то же при современном уровне распространения информации широко обсуждается практически каждый произошедший в этой сфере инцидент. Подобные факты могут стать очень неприятным сюрпризом для клиентов и существенно повлиять на выбор банка, которому будут отданы деньги на сохранение.
Во-вторых, в соответствии с законом № 161-ФЗ «О национальной платежной системе» в случае использования электронного средства платежа без согласия клиента (а под этим может подразумеваться совершение мошенничества третьими лицами) «оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без его согласия». При этом клиент не должен доказывать кредитно-финансовой организации тот факт, что «операция совершена без его согласия», – эта обязанность возлагается на банк. В итоге банки попадают в невыгодное положение: они обязаны нести расходы по возмещению, проведению расследования и судебные издержки. Кроме того, формулировки закона дают мошенникам дополнительную возможность для совершения преступных действий.
Еще одним моментом являются требования по контролю над рисками совершения мошенничества, которые выдвигаются международными платежными системами (МПС). Заключение договоров о присоединении к МПС и дальнейшая их реализация заставляют кредитно-финансовые организации постоянно демонстрировать факты исполнения этих обязательств.
ДБО не остановить
Сегодня одним из самых востребованных банковских сервисов является дистанционное банковское обслуживание (ДБО). Распространенность и практически неограниченный доступ пользователей из любой точки планеты, подключенной к интернету, обеспечивают ДБО преимущество перед стационарными сервисами. Благодаря мобильности и гибкости оно приносит банкам хорошую прибыль, а также увеличивает клиентскую базу, дает возможность оптимально реагировать на новые тенденции рынка, оперативно предоставлять другие сервисы и услуги.
В настоящее время ДБО в России перестало быть термином, относящимся только к обслуживанию юридических лиц, хотя еще 5–7 лет назад это понятие прочно ассоциировалось со средним и крупным бизнесом. Тогда этот сервис предоставлял бизнесу возможность оперативно осуществлять распоряжения на совершение банковских операций. Сегодня системы ДБО для физических лиц стали неотъемлемой частью услуг любого банка, строящего бизнес на частных клиентах. И связано это со следующими факторами:
- развитием высокоскоростных сервисов оплаты услуг, которые больше не требуют от клиента посещений филиала банка или офиса компании;
- конкурентной борьбой между банками и платежными системами виртуальных денег, которые первыми заняли сегмент осуществления операций через каналы массового обслуживания, в первую очередь, через интернет;
- снижением себестоимости осуществления таких операций для банков (по некоторым оценкам, на 25–35%).
Можно отметить, что развитая система ДБО для многих стала неотъемлемым критерием при выборе банка. Показательна и статистика: ежегодно на протяжении как минимум трех лет двукратно увеличивается объем операций на этом рынке.
Также в российском законодательстве прописана обязанность банка осуществлять мониторинг совершения платежных операций и определять факты совершения мошенничества со стороны клиента. Так, закон № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем» косвенно требует от кредитно-финансовой организации создания системы, которая позволит в постоянном режиме отслеживать и устанавливать факты совершения мошеннических действий внутри своей клиентской базы.
Что делать
Для защиты систем дистанционного банковского обслуживания и, самое главное, клиентов банков необходимы усилия в следующих направлениях:
Обеспечение безопасности компьютеров клиентов банка: предъявление требований по обязательной установке средств антивирусной и сетевой защиты, установка обновлений, автоматический контроль выполнения этих требований, применение усиленных многофакторных средств аутентификации пользователей (токены, одноразовые пароли, виртуальные клавиатуры, скетч-карты), ЭЦП.
Обеспечение безопасности собственной инфраструктуры банка, защита публичных front-end серверов, каналов связи, установка средств обнаружения атак, средств контроля защищенности, систем мониторинга сетевых активностей и пр.
Активный мониторинг совершаемых транзакций, анализ их логики, контроль аномальных, не специфичных для данного клиента финансовых операций, времени и места их совершения, превышения лимитов по операциям, частоты транзакций, перевода денег на подозрительные счета и пр.
Повышение уровня осведомленности клиентов банка о том, что нужно, можно, а что категорически нельзя делать в интернете.
В последующих статьях каждый из этих способов будет подробно рассмотрен.