С тех пор как мошенничество в банковской сфере приобрело массовый характер, сложилось устойчивое мнение, что атаки на каналы банковского обслуживания (ДБО, карты и пр.) не остановить. 99% всех мероприятий по повышению защищенности банковских сервисов (внедрение дополнительных аутентификаций, канальных систем борьбы с фродом и пр.) лишь реакция на уже произошедшие хищения, и злоумышленникам для продолжения атак достаточно сделать шаг в сторону усложнения мошеннических схем. Да, в какой-то момент удалось снизить до определенного уровня убытки в конкретных каналах, количество и масштабы целевых атак, но мошенники стали использовать более сложные схемы, объединяющие в себе множественные каналы обслуживания клиентов, совершая менее рискованные операции на каждом этапе, но в совокупности реализуя более масштабную атаку.
Что такое кроссканальное мошенничество сегодня? Оно определяется двумя моментами. Во-первых, атаки на счета клиентов реализуются через разные банковские системы. То есть денежные средства не мгновенно выводятся на счета в сторонней кредитной организации или совершается расходная операция, а сначала, например, двигаются по внутрибанковским счетам, счетам из белых списков, что, как показывает практика, банками оценивается как менее рискованная операция. Далее возможно обналичивание через банковскую карту, платежи и пр. Кстати, легальная карта, привязанная к счету, также может быть выпущена по сговору с сотрудником. Иначе говоря, схемы усложняются, а инструментов контроля операций, объединяющих разные каналы, мало.
Второй момент связан с контролем систем классической ИБ, а не только каналов бизнес-операций. В этом случае речь идет о контроле важных связанных событий из критичных систем. Такая схема уже получила конкретную реализацию, описанную в недавних публикациях об атаках на банковские системы вредоносного ПО Carbanak. Их целью был захват управления платежными системами кредитных организаций, процессинговыми центрами, платежными шлюзами. Атаке подверглись не столько счета клиентов, сколько счета банков, однако доступ к внутренней системе позволил отключить механизмы контроля, аутентификации и пр. и выводить у клиентов деньги списком. Это говорит о том, что целью мошенников становятся не уязвимости технологий и клиентский авось, а внутренние механизмы и процедуры банка, контролировать которые труднее.
Сложность обнаружения подобных атак заключается в принципе их построения, основанном на поиске уязвимостей программных средств, позволяющих продвинуться к целевой системе – серверам платежей. Предотвращение этих атак требует общих усилий всех подразделений безопасности: комплексного контроля удаленных подключений, утечек информации за периметры защиты, событий на системах управления, конечных финансовых транзакций во всех каналах обслуживания клиентов и функционирования банковского оборудования и ПО. Потому что мониторинг только части систем не позволит выявить реальную активность злоумышленников – она хорошо замаскирована под обычные действия пользователей и может быть определена только по совокупности фактов с большинства систем ИБ и канальных систем противодействия мошенничеству.
Таким образом, первостепенная задача банков – настройка автоматизированных механизмов взаимодействия большей части средств ИБ и защиты бизнеса в сочетании с формированием внутренних регламентов взаимодействия подразделений, их эксплуатирующих. По нашим оценкам, в этой сфере передовым решением в ближайшее время станут системы контроля целостности и безопасности банковских процедур (жизни продуктов, оказания услуг), фиксирующие отклонения от эталонного и безопасного бизнес-процесса.
Начать дискуссию