Журнал ПЛАС » Архив » 2020 » Журнал ПЛАС №8 »

Безопасность и новые технологии. Опыт COVID-19

О последних технологических и эпидемиологических трендах платежной индустрии, ситуации с безопасностью в России и в мире, а также о новых методах противодействия мошенничеству и киберпреступности мы беседуем с Эвелиной Нечипоренко, главой департамента управления рисками Visa в России.

ПЛАС: Насколько критичной оказалась нагрузка на ИТ-инфраструктуру платежной системы Visa в период пандемии? Ваша оценка уровня безотказности ИТ-систем финансового сектора в целом?

Э. Нечипоренко: ИТ-инфраструктура Visa обладает большими возможностями как с точки зрения мощности, так и с точки зрения безопасности, и имеет запас для обработки транзакций без ущерба для обоих этих показателей. В такой непредсказуемый период, как пандемия, особенно важна устойчивая платежная инфраструктура, поэтому мы сделали со своей стороны все возможное, чтобы сохранить высокий уровень обслуживания и сервиса, к которому привыкли наши клиенты, партнеры и держатели карт.

Visa разработала план действий для обеспечения бесперебойного функционирования наших систем. Также были предприняты дополнительные меры, чтобы минимизировать влияние происходящего на жизнь наших сотрудников и способность компании в полной мере предоставлять услуги клиентам. Проведенные нами учения подтвердили, что Visa способна поддерживать непрерывность работы бизнеса при самых различных сценариях. В частности, Visa была готова оказывать поддержку авторизации в условиях недоступности эмитента, обеспечивать более высокую степень одобрения транзакций в электронной коммерции, а также предлагать экстренную помощь тем держателям карт, которым она понадобилась во время поездки, в том числе за границей. Благодаря своевременно принятым мерам Visa сохранила устойчивость своих систем, как, впрочем, и многие участники финансового сектора.

ПЛАС: Как пандемия сказалась на ситуации с безопасностью в банковском и платежном секторе?

Э. Нечипоренко: С ростом онлайн-­покупок и онлайн-­платежей в период пандемии мошенники и киберпрестуники также увеличили свою активность и в электронной коммерции. Например, увеличилось число мошеннических веб-сайтов, атак на веб-сайты торгово-­сервисных предприятий, компрометаций веб-сайтов ТСП, когда злоумышленники внедряют вредоносный код, чтобы собрать платежные данные их клиентов.

Увеличилась активность во время пандемии и «социальных инженеров» — особого типа мошенников, которые выманивают личную и платежную информацию у держателей карт. При этом они не только продолжали использовать старые схемы (вроде звонков от якобы «сотрудника банка»), но и изобретали новые методы, чтобы воспользоваться обеспокоенностью людей ситуацией с коронавирусом. Например, размещали фальшивую рекламу товаров для защиты от коронавируса (антисептики, маски, и т. д.), товаров первой необходимости, обещая большую скидку, и по предложенной ссылке перенаправляли заинтересованных пользователей на фишинговый сайт, на котором мошенники не только собирали платежные данные, но и получали платежи за несуществующий товар.

Увести людей на фишинговый сайт злоумышленники также пытались с помощью email-­рассылок, в которых они подделывали бренд и стиль авторитетных организаций (Всемирной организации здравоохранения и т. д.). Тема коронавируса использовалась мошенниками и в телефонных разговорах: социальные инженеры обзванивали банковских клиентов и обещали им помощь в получении отсрочки по выплате кредитов, пособия, возврат налогов, компенсации за авиабилеты и услуги по диагностике на наличие COVID‑19.

Чтобы обезопасить владельцев карт от социальных инженеров, в апреле 2020 года Visa продолжила образовательную кампанию с чат-ботом, который проигрывает с пользователями наиболее распространенные мошеннические сценарии — с продажей товара на популярном сайте объявлений, арендой квартиры, кредитом на автомобиль, розыгрышем призов, звонком лжесотрудника банка, рекламой товара первой необходимости в условиях карантина. Мы надеемся, что с помощью такого подхода потребители смогут лучше понять приемы социальных инженеров, а также ценность своей личной и платежной информации и правила ее защиты. Думаю, такого же мнения придерживаются и многие банки, включая наших партнеров, которые активно делились ссылкой на данный чат-бот в своих информационных каналах.

Стать жертвами злоумышленников могут даже сотрудники компаний, входящих в платежную экосистему

ПЛАС: Какую роль в целом играет сегодня человеческий фактор в рисках, связанных с безопасностью? Какие шаги, на ваш взгляд, необходимо предпринимать для развития культуры риск-менеджмента в этом направлении?

Э. Нечипоренко: К сожалению, несмотря на наличие все более продвинутых технологий для обеспечения безопасности, человеческий фактор остается самым уязвимым звеном для мошенников. Практика показывает, что стать жертвами злоумышленников могут умышленно или непреднамеренно не только обычные потребители, но и сотрудники компаний, входящих в платежную экосистему (банков, платежных агентов, ТСП и т. д.), в результате чего может произойти утечка персональной и платежной информации их клиентов, с помощью которой мошенники могут вывести средства с карт. Предоставить злоумышленникам ценные данные могут и сами пользователи, которых ввели в заблуждение с помощью методов социальной инженерии.

Тем не менее минимизировать влияние человеческого фактора можно. Во-первых, с технической точки зрения необходимо построить эффективную систему информационной безопасности, фрод-мониторинга и риск-менеджмента, которая поможет своевременно выявлять попытки неправомерных действий со стороны киберпреступников и мошенников.

Во-вторых, техническая задача в свою очередь связана с вопросом выделения компаниями достаточного бюджета на построение эффективной системы безопасности и риск-менеджмента.

В-третьих, нельзя забывать, что мошенники не стоят на месте, поэтому необходимо регулярно обновлять существующие процессы и процедуры по обеспечению информационной безопасности, риск-менеджменту и фрод-мониторингу.

В-четвертых, чтобы помочь клиентам из числа физлиц противостоять манипуляциям злоумышленников, стоит также проводить постоянную образовательную работу среди сотрудников компаний и держателей карт, разъясняя им основные правила безопасности и уловки, которые используют мошенники.

И наконец, в‑пятых, нужно использовать лучшие практики и опыт, существующие в России и в мире. Например, помимо собственных правил по управлению рисками, мы также берем за ориентир международные практики и регулирование в этой области.

Я считаю, что сформированная на сегодня культура риск-менеджмента в России находится на достаточно высоком уровне и способствует укреплению безопасности в платежной сфере.

Даже самые продвинутые мошенники используют все те же базовые методы для атаки на продавцов, держателей карт и банки

ПЛАС: Социальная инженерия в РФ — настоящий бич нашего времени. Насколько эта проблема актуальна для других стран? И как с ней можно эффективно бороться? Какую роль здесь может играть омниканальный фрод-мониторинг?

Э. Нечипоренко: Статистика действительно показывает, что социальная инженерия представляет серьезную угрозу для российских потребителей. По данным Банка России, в 2019 году объем всех операций, совершенных без согласия клиентов — физических лиц, составил 5,7 млрд. руб­лей, при этом на социальную инженерию пришлось 69% мошеннических операций.

Обезопасить население от социальных инженеров может регулярное информирование о самой проблеме и способах ее предотвращения. При этом просто рассказывать о том, как людей могут обмануть и как этого избежать, недостаточно, потому что мошенники постоянно изобретают новые схемы обмана сразу же после того, как старые перестают работать. Защитить пользователей банковских карт от действий социальных инженеров могут образовательные кампании вроде нашего проекта с чат-ботом, о котором я рассказала ранее.

Омниканальный фрод-мониторинг, конечно, также может помочь в борьбе с мошенничеством, в том числе и с социальной инженерией, поскольку он позволяет банкам выявить попытки последовательных мошеннических действий через разные каналы.

В таких ситуациях необходим комплексный мониторинг объемов транзакций в каждом канале и во всех каналах сразу, на движение средств (как списание, так и зачисления) по каждой карте клиента и по сегментам карточных портфелей, и т. д. Например, существующей практики по мониторингу транзакций банками-­эмитентами при списании платежей и переводов с карт уже недостаточно. Ведь социальные инженеры переводят украденные средства на специально открытые для этого карты, электронные кошельки, номера телефонов, счета подставных компаний. Поэтому очень важно, чтобы банки, на счета которых приходят платежи и переводы для зачисления, также осуществляли мониторинг поступающих транзакций, знали своих клиентов и проводили их регулярную оценку, а в случае подозрительных действий незамедлительно блокировали платежи и проводили расследование.

ПЛАС: Многие эксперты в период пандемии отмечают появление большого количества фишинговых сайтов и спам-рассылок, предоставляющих угрозу безопасности для различных систем компаний и организаций. Как клиенту не стать жертвой мошенников и не пропустить в свой периметр злоумышленников?

Э. Нечипоренко: Научиться распознавать действия злоумышленников и защищать конфиденциальную информацию не так уж и сложно, главное — помнить о правилах безопасности. Приведу лишь основные.

Не используйте один и тот же пароль для различных аккаунтов в интернете — таким образом вы лишь повышаете риск компрометации данных мошенниками. Придумайте сложный уникальный пароль для разных аккаунтов, а еще лучше — используйте надежный менеджер паролей, который будет хранить данные доступа от разных онлайн-­аккаунтов и поможет создавать сложные варианты паролей.

Будьте осторожны с рекламами, письмами на электронную почту, SMS-сообщениями и звонками, в которых идет речь о выгодной акции, большой скидке, призах, вознаграждениях или других привлекательных предложениях, помощи в получении пособий и возврате налогов, и т. д. Не переходите по ссылкам из сообщений от неизвестных отправителей. Они могут вывести вас на фишинговый сайт, чтобы выманить ваши конфиденциальные данные — личные и платежные. Пользуйтесь банальным принципом «бесплатный сыр бывает только в мышеловке», который, как ни странно, работает практически всегда.

Следите за тем, чтобы на вашем компьютере, планшете или телефоне была установлена последняя версия программного обеспечения и антивирусной программы. Обновление программного обеспечения помогает технологическим компаниям исправить обнаруженные уязвимости и защитить вас от мошенников.

Оплачивайте покупки только на безопасных сайтах. Всегда следите за тем, чтобы адрес сайта интернет-­магазина начинался с «https://» — буква «s» подтверждает безопасность соединения. Также проверяйте, чтобы на сайте был подключен SSL-сертификат (значок замка рядом с именем веб-сайта), обеспечивающий безопасные платежи картой, и доказывающий, что ваши платежные данные не будут украдены. Также нужно убедиться, что интернет-­магазин использует программу безопасности Visa Secure (ранее известная как Verified by Visa), проверив, что на сайте есть соответствующий знак. Подобные программы предлагают дополнительный уровень безопасности, когда банк может попросить вас ввести в специальное окно на экране уникальный код, который придет на ваш номер телефона либо на электронную почту.

Сотрудники банков никогда не спрашивают ваши пароли и какие бы то ни было секретные коды. Они их просто не могут знать. В случае малейших сомнений, что звонящий является сотрудником банка, сбросьте звонок и перезвоните в банк сами по телефону, указанному на вашей карте, а не предложенному в SMS-сообщении.

ПЛАС: Наблюдали ли вы активизацию деятельности организованных кибергруппировок во время пандемии? Какие действия предпринимала платежная система по противодействую кибератакам?

Э. Нечипоренко: Мошенники определенно скорректировали свою тактику, чтобы использовать ситуацию, связанную с пандемией. С началом карантинов мы стали свидетелями того, что начиналось как модификация фишинговых схем, а вскоре превратилось в криминальные методы, адаптированные к новой глобальной среде.

Например, помимо социальной инженерии, о которой мы уже говорили, мы наблюдали всплески схем с пособиями по коронавирусу; схемы с получением купленных онлайн товаров в специальных пунктах выдачи; повышенную активность известных кибергрупп, таких как Lasarus/FastCash, по быстрому выводу наличных средств; атаки по подбору данных карт; атаки с использованием программ-­вымогателей; мошенничества с криптовалютой; активность мошеннических веб-сайтов по продаже поддельных наборов для тестирования коронавируса и лекарств от него; аналогичных веб-сайтов, продающих несуществующие товары; и т. д.

Однако, по нашему наблюдению, в большинстве случаев даже самые продвинутые мошенники используют все те же базовые методы для атаки на продавцов, держателей карт и банки, только адаптированные к ситуации, и многоуровневая система защиты Visa имела все составляющие для того, чтобы остановить большинство таких атак.

Например, понимая, что не все структуры в состоянии поспевать за развитием кибермошенничества, на основе собственного мониторинга виртуального пространства на наличие киберугроз и новых векторов атак Visa предоставляет клиентам упреждающую информацию о выявленных киберугрозах, об обнаруженных вредоносных программах, об индикаторах компрометации. В последнем квартале 2020 года мы напрямую уведомили не менее восьми организаций о взломе их сети. Мы уведомляли о таких случаях даже компании, которые не являются нашими клиентами, потому что наша цель состоит в том, чтобы обезопасить всю экосистему.

Другим примером служит система фрод-мониторинга транзакций Visa, по результатам которого платежная система незамедлительно информирует своих клиентов о подозрительных транзакциях, а в случае высокой вероятности мошенничества может даже отказать в транзакции или заблокировать карту до ответа банка.

Также хотелось бы отметить, что моментальным реагированием, предупреждением клиентов и принятием мер в случае возникновения атак на клиентов занимается специально созданный центр Visa Risk Operational Center, который работает круглосуточно.

ПЛАС: В какой мере пандемию можно назвать своеобразным триггером развития банковского и платежного рынка? Какие банковские технологии уже показали себя наиболее востребованными? Показала ли пандемия перспективность ранее не распространенных широко инноваций? Как вы оцениваете в разрезе безопасности проникновение на рынок мобильных платежей и других сервисов мобильных бесконтактных платежей, включая платежи по QR-коду?

Э. Нечипоренко: В период пандемии предсказуемо увеличились онлайн-­платежи, что вызвало стремительное развитие электронной коммерции. В России покупка товаров онлайн во втором квартале 2020 года выросла больше чем в 2,5 раза по сравнению с аналогичным периодом прошлого года. Этот тренд подстегнул развитие и еще более быстрое внедрение таких технологий в платежной индустрии, как бесконтактные платежи картами и мобильными устройствами, новый протокол Visa Secure, бесконтактная оплата на транспорте, а также токенизация. При этом все платежные продукты разрабатывались с учетом принципа безопасности: токенизация — для безопасности мобильных и онлайн-­платежей, EMV 3-D Secure — для безопасности онлайн-­платежей, криптограмма — для безопасности бесконтактных платежей. И мы видим, что новые решения были действительно широко востребованы в этот период. Например, по данным нашего исследования о влиянии коронавируса на потребительский опыт россиян, использование бесконтактных карт выросло на 41%, мобильных платежей — на 31%.

Здесь важно отметить, что российский рынок был очень хорошо подготовлен к старту диджитализации благодаря большой работе, которую все участники экосистемы проделали за последние годы. Инвестиции в развитие цифровых каналов, бесконтактных технологий, цифровой эмиссии оказались абсолютно оправданны и могут служить примером для других рынков, где на фоне пандемии только активизировалась работа по многим из этих направлений.

С развитием биометрии мошенникам будет все сложнее компрометировать личные данные потребителей

ПЛАС: Несколько слов о безопасности использования в платежной индустрии и банкинге таких инновационных технологий, как биометрия, искусственный интеллект, машинное обучение, нейронные сети и распределенные реестры?

Э. Нечипоренко: Современные технологии открывают много возможностей для улучшения систем безопасности участников платежного рынка. Пример благоприятного влияния искусственного интеллекта — сервис Visa Consumer Authentication Service (VCAS) предлагает безопасное решение для аутентификации, используя такие данные, например, как профили учетных записей, географическое местоположение и т. д., для построения стратегии аутентификации клиента и скоринга каждого запроса на аутентификацию.

В свою очередь система Visa Advanced Authorization (VAA) позволяет минимизировать число ложно отклоненных операций и повысить уровень отклонения действительно мошеннических транзакций на основе скоринга каждой транзакции.

Решение Cardinal Consumer Authentication помогает торговым предприятиям обнаружить транзакционные аномалии. Система CyberSource Decision Manager (CyberSource DM) имеет более 260 детекторов аномалий и 15 региональных и отраслевых моделей риска, каждая из которых оптимизирована для выявления мошенничества с использованием различных сценариев.

Модели машинного обучения в системе Visa Advanced Identity Solution позволяют банкам-­эмитентам оперативно обрабатывать большое количество заявок на оформление кредитной карты, анализируя различные параметры потенциального владельца счета на наличие признаков мошеннических действий. Технология машинного обучения также лежит в основе биометрических способов идентификации пользователя.

Мы понимаем, что платежи на основе биометрических данных настолько сильно привязаны к индивидуальным характеристикам пользователей, что их внедрение может вызывать определенную обеспокоенность со стороны потребителей. Но, как показывают данные нашего исследования, посвященного будущему биометрии в России, для россиян важно не только, что при помощи биометрии удобно платить, но и то, что это безопасно. Так, треть опрошенных отметили (34%), что оплата при помощи биометрии надежнее, потому что даже если они потеряют свой телефон или его украдут, они могут быть уверены, что их банковскими картами никто не сможет воспользоваться. И это убеждение оправданно — мошенники могут взломать ваш пароль или украсть его, а вот с биометрическими данными это сделать совсем непросто. Поэтому я уверена, что с развитием биометрии мошенникам будет все сложнее компрометировать личные данные потребителей, что сделает процесс оплаты еще более безопасным.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных