Клиентов защищаем сообща
Андрей ЧАХЕЕВ (ОАО «БАНК УРАЛСИБ»)
руководитель департамента информационной безопасности
Эффективность выявления несанкционированных платежей возрастает, когда банки обмениваются данными об их получателях
Современные информационные технологии приносят не только комфорт и удобство, но и дополнительные риски. Основные усилия злоумышленников направлены на дистанционные сервисы – клиент-банк для физических и юридических лиц, расчеты посредством банковских карт через платёжные системы VISA и MasterCard. Атаки злоумышленников чаще всего направлены непосредственно на клиентов банка – самое уязвимое звено.
ХАРАКТЕР УГРОЗ
Банк «УРАЛСИБ» активно применяет современные технологии предоставления дистанционных банковских услуг. Современные информационные технологии, помимо удобств, несут дополнительные риски. Как и другие участники рынка дистанционных банковских услуг, банк сталкивается с различными меняющимися информационными угрозами. Цель злоумышленников – похитить деньги клиента, получив несанкционированный удалённый доступ к распоряжению его счётом. Надо отметить, для достижения этой цели они постоянно совершенствуют и обновляют арсенал методов и средств мошенничества в интернет-банкинге. За последние годы мошенничество в сфере ДБО стало сверхприбыльным бизнесом с миллиардными оборотами.
В настоящее время в России действует несколько преступных группировок, похищающих деньги с электронных счетов банковских клиентов. В этих преступных группировках существует распределение ролей с четкой специализацией: одни взламывают компьютеры клиентов, другие создают фиктивные фирмы для промежуточного перевода средств, третьи обналичивают в банкоматах украденные средства.
Наиболее подвержены атакам мошенников системы ДБО юридических лиц. Возможный финансовый ущерб, который может быть причинён клиентам, а следовательно, и «прибыль», извлекаемая мошенниками, здесь наиболее высока.
Чаще всего мошеннические операции совершаются с компьютеров самих злоумышленников. Несанкционированный клиентом характер платежа с его счёта в этом случае довольно несложно выявить по нестандартным параметрам платёжного поручения и данным компьютера, с которого оно отправлено.
Другой распространённый способ хищения – попытка проведения мошенником несанкционированного платежа непосредственно с компьютера, принадлежащего клиенту . Для этого применяется удаленное управление посредством специализированного скрытого программного обеспечения.
И, наконец, третий способ «высокотехнологичного» мошенничества – отправка злоумышленником платежного поручения с компьютера клиента во время сессии работы его в системе «клиент – банк» . При этом электронный документ подписывается подлинным ключом, хранящимся на отчуждаемых носителях. В последних двух случаях выявить несанкционированные платежи значительно сложнее.
СИСТЕМА ПРЕДУПРЕЖДЕНИЯ
Надо отметить, что попытки несанкционированного доступа к счетам клиентов совершаются практически ежедневно. Банк «УРАЛСИБ» для минимизации возможных потерь клиентам предлагает широкий спектр средств защиты. Это SMS-информирование, виртуальные клавиатуры для ввода информации с пластиковых карт, защищённые ключевые носители, генераторы одноразовых ключей, многофакторный анализ платежей и многое другое.
В самом банке используется ряд технических и организационных внутренних процедур обнаружения мошеннических платежей. Один из важных источников информации об инцидентах – сами клиенты, которые своевременно сообщают о подозрительной активности на их компьютерах, обнаруживая несанкционированные платежные поручения в виде черновиков или уже отправленными в банк.
Другие источники информации – компании-партнеры, банки-контрагенты, полиция, коммерческие организации, работающие на рынке информационной безопасности, а также некоммерческие партнёрства специалистов этого профиля. Они предоставляют сведения о получателях несанкционированных платежей, новых видах информационных атак, скомпрометированных учётных записях и ключевой информации клиентов.
При выявлении попыток несанкционированного доступа к счетам клиентов действия подразделений, отвечающих за информационную безопасность, в первую очередь направлены на предотвращение ущерба. Если платёж ещё не проведён, то он изымается из реестра платежей, если уже проведён – то осуществляется оперативная связь с банком-получателем и направляются данные, служащие основанием для блокировки платежа.
В банке об инцидентах незамедлительно информируется ряд внутренних служб – бизнес-подразделения, подразделение комплайенса, экономической безопасности. Проводится расследование и вводится в действие комплекс мер, направленных на формирование доказательной базы, оказывается помощь клиенту при обращении в правоохранительные органы.
АЛГОРИТМ РЕАГИРОВАНИЯ
В банке «УРАЛСИБ» для подразделения, отвечающего за информационную безопасность, существует четкая программа действий для случаев, когда мошенники пытаются вывести средства, украденные в других банках. Если средства поступили в банк, но ещё не зачислены клиенту, то об этом информируется служба безопасности банка-получателя. Зачисление средств на счёт плательщика приостанавливается до подтверждения либо опровержения несанкционированного характера платежа, в соответствии с Приложением 28 к Положению Банка России «О безналичных расчетах в Российской Федерации» № 2-Пс от 3 октября 2002 года.
В том случае, если средства уже на счету получателя платежа, то в первую очередь производится блокировка банковских карт клиента и идентификаторов доступа к ДБО. Делается это для того, чтобы у мошенников не было возможности дальше перевести в другой банк и обналичить средства. Клиент вызывается для подписания заявления о возврате ошибочно начисленных средств. Производится запрос информации о легальности полученных средств согласно федеральному закону ФЗ-115 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Если есть подозрение о нелегальности операции, информация направляется в Росфинмониторинг.
Также подразделение информационной безопасности получает от банков-партнеров информацию о дропперах, анализирует клиентскую базу, ищет дропперов среди текущих клиентов. Дальше проводится анализ финансовой активности потенциального злоумышленника. Если действительно оказывается, что характер деятельности подозрительного клиента похож на действия дроппера, проводится анализ его деятельности в системе «клиент – банк».
Часто удаётся выявлять целые цепочки дропперов, так как они обычно действуют группами. В среднем по информации об одном дроппере удаётся выявить ещё пять-семь. После этого производится оперативная блокировка пластиковых карт таких клиентов и идентификаторов доступа к ДБО. В отношении особо сомнительных операций инициируются процедуры противодействия «отмыванию» преступных денег и финансированию терроризма.
ОДИН ЗА ВСЕХ, ВСЕ ЗА ОДНОГО
Для того, чтобы противодействовать мошенникам, в банке «УРАЛСИБ» постоянно разрабатывает новые механизмы и меры информационной защиты. Внедряются новые технические средства, проводится многофакторный анализ клиентских платежей для выявления скомпрометированных клиентов.
Периодически актуализируется «чёрный список» получателей несанкционированных платежей, в том числе за счёт информации банков-партнеров. Этот «чёрный список» используется в автоматизированных системах обнаружения несанкционированных платежей. Особенно следует отметить, что эффективность выявления несанкционированных платежей значительно возрастает при использовании информации из других банков.
К сожалению, сегодня существуют серьезные проблемы налаживания и развития совместной работы банков. Нет единой актуальной базы координаторов возврата несанкционированных платежей, отсутствуют нормативные документы регуляторов и положения об обработке и возврате несанкционированных платежей. Главная трудность – в том, что пока нет единой площадки обмена информацией о «неблагонадежных» клиентах. Многие банки будут участвовать в работе такой площадки, инициатива создания которой может принадлежать Ассоциации российских банков.
Есть убедительные примеры успешного взаимодействия банков в противодействии попыткам хищений денег с электронных счетов клиентов. В начале этого года по каналам информационного взаимодействия, налаженного банком «УРАЛСИБ» совместно с партнерами, были получены сведения о нескольких компрометациях клиентских идентификаторов доступа к ДБО. Незамедлительно были проведены профилактические мероприятия – идентификаторы доступа сменили, с клиентами провели разъяснительную работу, повысив уровень их осведомленности о правилах информационной безопасности.
В описываемом случае скорость оповещения и проведения необходимых мероприятий имела важнейшее значение . Потому что злоумышленники в любой момент могли воспользоваться данными для доступа к счетам и созданию несанкционированных платежей.
В результате своевременной реакции служб информационной безопасности банков злоумышленники лишились несанкционированного доступа к финансовым средствам нескольких юридических лиц, сумма предотвращенного ущерба составила десятки миллионов рублей. Этот пример наглядно показывает необходимость сотрудничества банков в сфере информационной безопасности.
«ЛИКБЕЗ» ДЛЯ КЛИЕНТОВ
Безопасность услуг ДБО невозможно полностью обеспечить силами только одних банков и правоохранительных органов. Клиент, которого злоумышленники считают «слабым звеном», тоже должен заботиться о своей безопасности: использовать современные ежедневно обновляемые антивирусы и другие средства защиты.
Клиентам даются рекомендации, как действовать в случае, если с их компьютера злоумышленники пытались украсть средства, размещённые на электронном банковском счёте. Первоочередная рекомендация – сразу выключить компьютер и не пользоваться им, чтобы сохранить для обращения в полицию юридически значимые доказательства преступления.
Чтобы предотвратить дальнейшие мошеннические действия, требуется срочно сообщить в банк о несанкционированном платеже по телефону, заблокировать учетную запись в системе «клиент – банк», оформить заявление об отзыве несанкционированного платежа, проверить выписку по счетам на предмет наличия других мошеннических платежей. И, самое главное, обратиться в полицию.
Перед тем как продолжить работать в системе «клиент – банк», необходимо оформить заявление о компрометации текущих ключей и о выпуске новых, проверить все компьютеры, съемные носители на наличие вредоносного программного обеспечения, сменить пароль и ключи в системах дистанционного банковского обслуживания.
В банке «УРАЛСИБ» большое внимание уделяется повышению осведомленности клиента, его грамотности, уровня знаний правил информационной безопасности. С клиентами регулярно проводится разъяснительная работа, на официальном сайте банка выкладывается полезная информация, осуществляются тематические рассылки.
Благодаря своевременному внедрению технических мер защиты и превентивным организационным мероприятиям банку удается обеспечивать высокую эффективность предотвращения ущерба. На настоящий момент в банке «УРАЛСИБ» эта степень эффективности составляет 97–98%.
Источник: BIS-Journal http://www.ib-bank.ru/bis/