Лаборатория Касперского: новые риски платежной индустрии
Что касается эффективности защиты и изменения тренда, то большинство банков, конечно, предпринимают определенные меры, но даже сдерживание кибермошенничества на существующем уровне требует сегодня значительных усилий. Для противодействия современному вредоносному ПО во внутренней инфраструктуре сейчас нужны и «песочница» (механизм для безопасного исполнения программ в специальной среде), и системы обнаружения и предотвращения вторжений (Intrusion Detection System, IDS, и Intrusion Prevention System, IPS, соответственно). В идеале же необходима команда специалистов по мониторингу и расследованию инцидентов, как в рамках центра информационной безопасности (Security Operation Center, SOC), так и для реагирования на мошенничество. Для хорошего результата это должны быть подготовленные и квалифицированные специалисты, а они сегодня стоят недешево.
Для противодействия мошенничеству в ДБО банку нужно совершенствовать бизнес-процессы, внедрять технологии биометрической аутентификации по лицу и отпечаткам, мощные системы антифрода с широким набором сложных правил, а в идеале – и с машинным обучением, и опять же привлекать специалистов по настройке и реагированию на результаты работы этих систем.
Это вечное соревнование, «снаряд против брони»: все время появляются новые преступные схемы, поэтому постоянно требуются новые подходы к защите и выявлению мошенников.
Модернизация старых сценариев мошенничества
Один из главных трендов – технологическая модернизация старых сценариев мошенничества. Иногда развитие какой-то технологии воскрешает схемы двух-трехлетней давности. Например, среди наиболее популярных сегодня сценариев – мошенничество с персональными данными, то есть кража учетных записей и создание синтетических аккаунтов для вывода денег. Также распространено использование средств автоматического тестирования (таким образом мошенники могут, например, проверять балансы тысяч аккаунтов для автоматизации своей деятельности) и удаленного администрирования, с помощью которых перехватывают контроль над компьютером жертвы и незаметно для нее работают в каналах ДБО.
В странах БРИКС широко используется вредоносное ПО для Android. В России из-за того, что продолжает существовать SMS-банкинг, до сих пор живы трояны для кражи SMS. Еще из чисто российских особенностей можно выделить вирусы под 1С, которые по понятным причинам больше нигде не встречаются. Однако все движется в сторону хищения учетных записей ДБО и карточных данных. Мошенники собирают информацию о жертве и получают не мгновенную выгоду в 10–15 тысяч рублей, а полноценный доступ к карте или счетам.
Снижение порога входа в киберпреступность
Обращает на себя внимание и тенденция к снижению порога входа в киберпреступность. Это происходит благодаря удешевлению технологий. Сегодня даже технически неподготовленный человек может легко купить любую часть преступной схемы «под ключ». Достаточно заглянуть на подпольный форум, связаться с продавцом через анонимный мессенджер и получить подробные инструкции с видеоуроками и доброжелательной поддержкой. Это своего рода «партнерская программа», когда более опытные злоумышленники расширяют сферу влияния и увеличивают сбыт услуг товарищам по бизнесу. Многим кажется, что под личиной киберпреступников скрываются одаренные технари, но на самом деле начинающие мошенники сегодня мало отличаются от обычных уличных хулиганов.
На фоне непрекращающихся разговоров о том, что киберпреступники уже умеют взламывать чип банковской карты, отмечу: взламывать пока не умеют, но атаковать карты с чипом уже научились. Например, появились соответствующие скимминговые устройства, которые помещаются в POS-терминалы. Известны также атаки, когда злоумышленники накладывают свой чип поверх чипа карты (либо заменяю его своим, так называемая переклейка чипа). Нельзя сказать, что эти угрозы сейчас носят массовый характер, это скорее проба пера, поэтому сложно однозначно сказать, будут они развиваться дальше или нет.
В целом, учитывая, что банки в какой-то момент начнут переходить с форм-фактора пластиковых карт на мобильные платежи и онлайн-сервисы, я бы больше опасался атак на системы биометрической аутентификации: карту всегда можно перевыпустить, а вот радужку глаза и рисунок вен пальца – нет.
Токенизация: новые риски
Говоря о мобильных платежах, следует отметить – токенизация, безусловно, достаточно эффективный метод, так как мошенники не могут узнать «настоящие» данные карты. Сам Apple Pay как платежная система вполне защищен, но злоумышленники уже придумали новые схемы мошенничества и для этого сервиса. Например, они пользуются тем, что Apple Pay совершенно безопасен и для них самих: преступник может зарегистрировать украденную карту и платить ею, практически не боясь быть обнаруженным. В 2016 году, по данным WSJ и ряда западных исследований, в США объем мошенничества с оплатой через Apple Pay превысил объемы мошенничества по платежным операциям с предъявлением пластиковой карты в 60 (!) раз. Не менее актуальна и кража телефона с привязанным к нему средством оплаты.
Мы в Лаборатории Касперского давно следим за этой темой, и вкратце можно сделать такой вывод: в целом эти технологии действительно безопаснее, чем использование «пластика», но для банков возникают дополнительные риски.
Большой плюс подобных технологий в том, что решается проблема со скиммингом: тут просто нечего перехватывать. Даже если у злоумышленников и получится что-то сделать через скомпрометированный POS-терминал, они скомпрометируют не настоящий номер карты, а виртуальный, привязанный только к конкретному устройству. С Samsung Pay и Apple Pay побеждаются опасения потребителей по поводу возможности несанкционированного списания денег (например, в общественном транспорте) через PayPass/payWave, потому что виртуальная карта в телефоне доступна для проведения операций только по запросу пользователя, а не автоматически.
Риски же связаны с применением этих платежных технологий для широкого спектра мошеннических схем с использованием украденных реквизитов карт. Так, поддельные карты привязываются к данным сервисам, к чему оказались не готовы ни банки, ни сами Apple и Samsung. Для последних это стало абсолютно новой областью, куда они вторглись, не особо разбираясь в платежном бизнесе, и результат пока не самый впечатляющий.
В качестве примера можно привести так называемый вещевой кардинг, когда по украденным реквизитам карты в интернет-магазинах покупаются реальные вещи. Оплата айфоном автоматически повышает уровень доверия продавцов к покупателю, поэтому в этом случае даже нет необходимости делать качественный клон украденной карты – достаточно просто привязать ее к телефону.
Чтобы справиться с этими рисками, очень важно знать репутацию устройства, данные об окружении телефона, поведении пользователя. Необходимы системы нового поколения, основанные на машинном обучении и статистических моделях. Все это позволит выявлять угрозы еще на ранней стадии, до проведения транзакции.
Если говорить о защищенности самих платформ, то для Android вирусы уже стали обыденностью: фрагментация платформы ведет к большому количеству уязвимых и «необновленных» устройств, уже не поддерживаемых производителями. Зачастую даже у крупных производителей в плане безопасности царит полная анархия. Но остальные мобильные угрозы кроссплатформенны: SMS- и традиционный фишинг, приправленные элементами социальной инженерии, работают на любой ОС, будь то iOS, Android, Blackberry или мобильная Windows.
Под влиянием платежного рынка и бизнес-требований Android постепенно повышает уровень безопасности, местами даже обгоняя Apple. Пока этого недостаточно, однако есть ощущение, что со временем ситуация изменится в лучшую сторону. Среди производителей, работающих над повышением безопасности, с большим отрывом лидирует Samsung: он задает темп всем остальным вендорам, заставляя понервничать даже Google.
Эффектвность госрегулирования
Существуют и методы в рамках госрегулирования отрасли, которые позволят снизить ущерб от онлайн- и мобильных киберугроз в масштабах страны.
В целом это именно тот случай, когда государству стоит позаботиться о пользователях. Банки во всем мире – в основном коммерческие организации, задачей которых является прежде всего получение прибыли. Они предпочитают инвестировать в развитие бизнеса, наращивание клиентской базы, и далеко не всегда охотно инвестируют в безопасность, так как зачастую это снижает удобство онлайн-кабинета и мобильного банкинга. Обязательное регулирование помогает принимать необходимые меры защиты, что, безусловно, положительно влияет на защищенность пользователей. Главное тут – правильно подойти к выбору поставщика услуг безопасности. Также нужно работать над взаимообменом информацией о киберугрозах внутри отрасли, усиливать мониторинговые подразделения регуляторов, такие как ФинСЕРТ Банка России. Они совмещают свои компетенции с административным рычагом. Кроме того, стоит обратить внимание на опыт Европы, где с 18 января 2018 года вступит в силу директива PSD2 – документ, обязывающий финансовые организации и платежные системы соответствовать новым стандартам безопасности.