Банковские клиенты всегда ? ... Василий Окулесский, ИБ-эксперт: При создании банковского ПО нужно всегда думать: «Что будет, если пользователь поступит не так, как от него ожидают?»
Василий Окулесский, ИБ-эксперт: При создании банковского ПО нужно всегда думать: «Что будет, если пользователь поступит не так, как от него ожидают?»...
Банковские клиенты всегда остаются одной из главных целей киберпреступников. О том, как финансовые организации ищут баланс между удобством и защищенностью, нам рассказал независимый эксперт Василий Окулесский.
Cyber Media: Насколько за последние месяцы усилилось давление киберпреступников на банки?
Василий Окулесский: Давление киберпреступников на банки сейчас ожидаемо усилилось. Давление всегда идет волнами. Когда принимаются меры, оно снижается, потом преступники адаптируется, атаки снова возрастают — и так по кругу. Когда в марте — начале апреля были ликвидированы мошеннические колл-центры на территории Украины, мы видели резкий спад мошенничества на базе социнженерии. К концу мая уровень восстановился, а сейчас — существенно превысил февральские показатели. О конкретных цифрах говорить трудно, потому что мы знаем только о тех случаях, когда жертвы обращаются в банки. И это только верхушка айсберга. Кроме транзакционных каналов, есть огромный поток случаев мошенничества с кредитами в онлайн-банках и случаях комбинированных. По таким инцидентам информация редко поступает в СМИ, расследования занимают достаточно много времени. И пресечь их сложно. Такие комбинированные операции сейчас встречаются заметно чаще. При этом преступники активно пытаются воспользоваться новыми сущностями, например, большим количеством новых льгот для мобилизованных, которые преступники пытаются оформлять на себя от их имени.
Возросший уровень атак с использованием социнженерии не отменяет старые добрые атаки с использованием технических средств, количество которых тоже идет вверх. Появились новые объекты - недавно мы стали свидетелями краха крупной криптобиржи, который связывают с некими хакерами. Если посмотреть статистику за этот год, можно увидеть, что попытки взломать криптобиржи техническим инструментарием встречаются все чаще — раньше этого в принципе не было.
Совершенно не снижаются атаки на клиентов юридических лиц с применением удаленного доступа. Этот тренд активно обсуждался несколько лет назад, и можно было бы предположить, что за прошедшее время он потерял актуальность. На самом деле уровень этого типа мошенничеств остается на том же уровне, что и в прежние годы. Это основано на том, что везде есть бреши — и в банковском ПО, технологиях и в головах клиентов. Например, как только из технологии подтверждения платежа убираются какие-либо защитные средства (например, токены), тут же возникают попытки подменить реквизиты клиента. И это чисто техническая атака «человек посередине», никакой социнженерии. Если социнженерию убрать из общей картины, именно такие инциденты возглавят рейтинг распространенности.
Cyber Media: Как преступники находят жертв?
Василий Окулесский: Поиск жертв – это комплексная работа. В основном – это утечки персональных данных из самых разных информационных систем, куда мы с вами передаем свои данные – телефоны, ФИО, даты рождения и пр. в связке с данными источника – магазины, интернет магазины, интернет-сервисы, такси, доставка, театральные кассы, киоски мобильной связи и т.д. и т.д. это все источники информации, достаточные для организации атаки на клиентов. Кроме того, у преступников есть профессиональные психологи, которые разрабатывают скрипты на основе полученных данных. И это основной канал получения информации о жертвах.
Я хотел остановиться еще на одном моменте.
Банки всегда работают на «качелях» — либо удобно для клиента, либо безопасно. Как только становится очень удобно, так же удобно становится воровать деньги. Усилили защиту — мошенники уходят в другие сектора.
Поскольку каждый банк решает для себя вопросы безопасности самостоятельно, всегда есть кто-то, у кого продукты оказываются менее защищенными. Преступники анализируют системы безопасности, чтобы найти ошибки и в программном обеспечении, и в применяемых технологиях.
Достаточно старый пример того, как выглядит атака на технологию, — это атаки, которые можно было наблюдать в начале работы Системы быстрых платежей. В то время, когда вы выбирали телефон получателя перевода, вам в качестве подтверждения возвращались имя-отчество с первой буквой фамилии, банк и последние четыре цифры карты. Технологически предполагалось, что эта информацию необходима отправителю, чтобы убедиться в правильности получателя. Но оказалось, что это есть вся необходимая информация о том, кому принадлежит этот номер, какие карты каких банков привязаны к номеру телефона и ИО владельца. Если запустить робота, который будет идти по телефонной книге и набирать в качестве получателя платежа номера из этой телефонной книги, собирать информацию: кто из абонентов к какому банку привязан, какие у него имя-отчество и окончание номера карты, но платеж не проводить, а переходить к следующему номеру и т.д. При таком подходе данные о клиентах банков-участников утекли очень быстро и стали использоваться в атаках социнженерии.
Потом эту брешь закрыли: убрали цифры карты, перестали уточнять банк — теперь нужно выбрать из списка, ограничили число попыток и т.д., что позволило пресечь дальнейшие атаки этого типа с целью сбора клиентских данных.
Такие трюки, которые используют недоработки самой технологии, есть везде: при использовании банкоматов, эквайринговых платежей и прочее. Если в самом банковском ПО благодаря жестким требованиям уязвимостей сейчас гораздо меньше, то выявить такие проблемы на этапе проектирования можно только на основе глубокого и системного анализ технологий.
Мошенники такой анализ и проводят, в том числе с применением искусственного интеллекта. Эти программы перебирают и комбинируют между собой множество операций с системой: правильные, неправильные, возможные, невозможные. В результате появляются мошеннические цепочки, использующие неочевидные последовательности шагов — и при этом каждый шаг делается совершенно легально.
Cyber Media: Какие меры финансовая отрасль может противопоставить злоумышленникам?
Василий Окулесский: Обязательный комплекс мер безопасности формирует Банк России в своих нормативных требованиях. Среди их можно выделить несколько главных.
В обязательном порядке нужно тестировать ПО на уязвимости. При проектировании продукта — заранее закладывать алгоритмы «а что будет, если я буду действовать не так, как от меня ожидают?» Могу ли я использовать данные, которые вижу? Что будет, если я открою сессию и сразу ее закрою?
Небезопасные действия, которые удается так обнаружить, далее станут признаками мошеннических операций для антифрод-системы.
Конечно, такие тесты заметно увеличивают стоимость и срок разработки продукта. Удовлетворенность клиентов падает — так мы и попадаем на «качели», про которые говорили до этого.
В цепочке участников, которых затрагивает социотехническая атака есть еще один важный участник, про которого часто забывают — это оператор связи. Причем на самом деле даже не один, потому что у оператора есть подрядчики. Если связь идет из дальних регионов, их может быть даже немало. А поскольку звонки идут по IP-телефонии, возникает угроза подмены номера. Бороться с ней можно, но это снова поднимает стоимость услуг. Кто будет платить за такую недешевую операцию? На масштабах в несколько десятков миллионов транзакций это влетает в очень большую сумму. Здесь нужно некое взаимодействие банков с операторами связи.
У каждого клиента в процессе работы формируется специфический профиль. Условно говоря, он примерно в одно и то же время звонит людям из определенного списка. Есть какая-то последовательность звонков: мама, папа, жена, работа и так далее.
Когда идет социотехническая атака, эта последовательность нарушается, и так появляются подозрительные паттерны. Например, сначала человеку поступил звонок с номера из определенного пула. Через какое-то время — еще один из того же набора. Видно, что звонки идут, чтобы проверить, используется телефон или нет. Потом идет звонок от «сотрудника безопасности банка» и так далее. Если затем человек вступает в разговор с таким звонящим, то можно сделать вывод, что его пытаются «обработать». Потом он пытается провести транзакцию, оставаясь на телефоне — мошенники поддерживают контакт, чтобы банк не мог дозвониться. И так далее.
Появляется паттерн, по которому можно составить профиль подозрительного поведения. Это, конечно, непросто. Одно дело — просто хранить биллинг, и совсем другое — анализировать его и делать какие-то выводы. Если проработать эту логику технологически, банк сможет в критические моменты получить информацию о том, что тот или иной перевод, возможно, нелегитимен и его нужно блокировать.
Возникает вопрос о юридических основаниях, которые позволят банку не дать человеку отправить деньги со своего счета. Период охлаждения, в течение которого операцию можно отменить, работает не всегда — есть схемы с перерывами между шагами в час-два-три, все это время клиента переключают с одного «специалиста» на другого и не дают резонно оценить ситуацию.
То есть, еще раз, проблема не ограничивается финансовой отраслью. И общая тревожность в обществе ее только усиливает. Клиент может не за деньги свои волноваться, а за что-то другое — и мошенники будут активно это использовать.
Cyber Media: Крупные игроки довольно часто рассказывают об успехах в борьбе с подменой номеров.
Василий Окулесский: Крупные игроки заключают контракты с большой четверкой провайдеров и действительно успешно защищают клиентов. Это действительно большая важная работа, но она касается только «контролируемой» зоны. А реальные цепочки организации связи включают и связки нескольких операторов, и связки небольших операторов, которые ни с кем никаких договоров не заключали. Все зависит от их надежности, а не от безопасности на последней миле. Слабость цепочки в этом случае будет определяться самым ненадежным звеном, а не мощностью самого сильного
Развивая эту мысль, можно заключить, что любой звонок из-за пределов Российской Федерации вообще не защищен. А все поддельные колл-центры расположены в других странах.
Cyber Media: Это достаточно простой кейс, но есть ведь ситуации, в которых составить профиль будет сложнее. Как тогда быть с ложноположительными срабатываниями, которые и стоимость увеличивают, и эффективность снижают?
Василий Окулесский: Эта проблема в общем нерешаема. Приходится принимать решение о том, что до какой-то степени мы готовы помешать клиенту и прерывать операцию, а в других условиях придется разрешать. И возможно, потом возмещать ущерб.
Cyber Media: Жертв мошенников по-человечески жалко, но в конечном счете они же действительно сами отдают деньги мошенникам.
Василий Окулесский: Да, банки исходят из того, что выполнение правил безопасности при работе со своими средствами это и ответственность клиента тоже. Но клиенты смотрят на эту ситуацию по-другому, и адвокаты потом пытаются говорить о предоставлении небезопасного сервиса, нарушении 28-й статьи закона о правах потребителей — якобы банк обязан возместить ущерб и заплатить компенсацию.
Cyber Media: Есть случаи, когда суд соглашался с такой позицией?
Василий Окулесский: Конечно. С точки зрения суда, в отношениях с банком клиент является слабой стороной. А самое главное, такие истории не всегда доходят до суда, если возбуждается не уголовное дело, а гражданский иск по закону о защите прав потребителей. Многие банки дорожат своей репутацией и стараются урегулировать все досудебным соглашением.
Cyber Media: Как вы оцениваете взаимодействие банковской отрасли с регуляторами? Каких законодательных новаций, с вашей точки зрения, не хватает?
Василий Окулесский: Это совсем не простой вопрос, регулятор издал и требует исполнения огромное число нормативных документов и их число постоянно увеличивается. Говорить, что чего-то еще не хватает? Добавлять банкам еще проблем?
Другое дело, как любом множестве связанных документов, есть какое-то количество нестыковок по срокам, объемам, и др. моментам, и их исключение было бы некоторым облегчением исполнения этих требований.
Cyber Media: Один из экспертов, с которым мы общались, говорил, что развитие сервисной модели в финансовой отрасли тормозит отсутствие нормативов по подтверждению защищенности при привлечении аутсорсинговых компаний. Ваше мнение, насколько это актуально и как можно исправить ситуацию?
Василий Окулесский: Применение аутсорсинга в различных направлениях ИБ сейчас становится хорошей практикой, к ней применимы требования Банка России по управлению рисками ИБ при использовании услуг аутсорсинга. В каждом конкретном случае всегда можно найти решение, в том числе и подтверждающее защищенность аутсорсинговой компании, или привлечь другую компанию, которая сможет подтвердить заявленный заказчиков уровень.