Алексей Голенищев, руководитель дирекции мониторинга электронного бизнеса Альфа-банка, рассказал и показал, как работает индустрия поддельных карт. Данные о настоящих картах сливаются из американских розничных сетей (в Штатах до сих пор не очень популярны решения с чипами) огромными «тиражами», а также из банкоматов с установленными скиммерами и POS / mPOS-терминалов. Оборудование для скимминга продается чуть ли не на eBay, стоит недорого, и производители предлагают решения для любой модели банкомата. Цены на базовые приспособления очень доступные, «поэкспериментировать» может любой подросток.

А самый дорогой магазин приложений — у Apple: размещение в нем приложения с нехорошей начинкой оценивается в $7 тысяч

Тем, кто не хочет связываться с установкой железок, предлагаются программные решения. Спектр их довольно широк — от установки зловредов на смартфоны до проникновения в банковскую сеть и заражения банкоматов (до уровня XFS-менеджера). И здесь важно понимать, что речь идет не о каких-то антигероях-одиночках, а о самой настоящей индустрии — с фиксированными расценками, конкурентной борьбой и гарантиями качества. Цены вполне гуманные: если речь идет не о преодолении какой-то экзотической защиты банковской системы, суммы исчисляются даже не тысячами, а сотнями и десятками долларов. Многие люди даже не знают о том, что становятся участниками атак: их компьютеры после установки пиратского софта, и особенно игр, становятся послушными ботами в руках опытных специалистов. А самый дорогой магазин приложений — у Apple: размещение в нем приложения с нехорошей начинкой оценивается в $7 тысяч, хотя, справедливости ради, удачные случаи воровства денег через iPhone пока не известны.

Изобретательность людей нарастает по мере удаления от Москвы и Петербурга

В абсолютном большинстве случаев речь идет об атаках на банки, тогда с физическими лицами проще и выгоднее работать средствами социальной инженерии. Но где-то на стыке находятся фальшивые сайты, обещающие инвестиции под высокие проценты. Деньги действительно благополучно снимаются с карты, и некоторое время в личном кабинете можно наблюдать за удивительным доходом, вот только вывести средства со счета уже невозможно.

Изобретательность людей нарастает по мере удаления от Москвы и Петербурга. Свободного времени больше, жизнь спокойнее, потребность в денежных средствах огромная. В руках злоумышленников оказываются универсальные ключи от банкоматов, и фальшивые инкассаторы извлекают деньги прямо на глазах у полиции. Смекалка работает и дальше: так, известен случай, когда к банкомату пробрались через перекрытие с нижнего этажа. А чтобы во время вскрытия основания газовым резаком банкомат не пожаловался на перегрев, на инфракрасные датчики по специальному каналу подавался жидкий азот.

Копейка тысячу бережет

С распространением IoT (интернета вещей) классическая транзакция по карте может потихоньку отмереть

Олег Скородумов, глава департамента по управлению рисками компании Visa, с удовлетворением отметил, что уровень мошенничества по картам в среднем снижается, и в мире средний показатель — 6 центов на доллар. В России он значительно ниже: 4 копейки на 1000 рублей, причем еще недавно было 5 копеек. Но расслабляться определенно не стоит: с распространением IoT (интернета вещей) классическая транзакция по карте может потихоньку отмереть. Например, деньги за покупки будут списываться, когда вы просто пройдете мимо автомата на выходе из магазина, а за бензин — когда вы отъедете от заправки. В этом случае время реакции на мошенническое снятие средств может увеличиться, а за пару минут они могут сменить десяток временных владельцев. Единственное лекарство от массовых несанкционированных снятий средств — токенизация платежей. Динамический CV2 и другие альтернативные средства защиты платежей, к сожалению, надежд не оправдывают: в силу малой распространенности банк, принимающий платеж, не всегда понимает, с чем имеет дело, и в результате лишь растет процент отказов.

Безопасность не для галочки

К сожалению, многие банки подходят к вопросам безопасности очень формально, буквально выполняя требования регулятора без учета особенностей собственного бизнеса, расстраивался Алексей Бабенко, ведущий менеджер по развитию бизнеса компании «Информзащита». Отчитаться после таких внедрений можно. Но наличие бумажки-оберега еще ни одного злоумышленника не остановило.

Необходимо выстраивать цельную систему защиты, обращая особенное внимание на те сегменты, где раньше ничего не происходило. Велика вероятность, что именно оттуда вас и проверят на прочность. Некорректен принцип «работает — не тронь». Сила любой системы безопасности — в постоянном обновлении и проверке на прочность.

В обозримом будущем все поручения в платежную систему Банка России должны будут подписываться АБС самого банка

Артем Сычев, заместитель начальника ГУБиЗИ Банка России, в конце сессии уточнил, что в обозримом будущем все поручения в платежную систему Банка России должны будут подписываться АБС самого банка. Внедрение такого правила займет немало времени, и у банков будет возможность подготовиться. Однако процесс этот необратим, и лучше начать подготовку уже сейчас. Как разработчикам АБС, так и самим банкам.

Для мелких и средних банков в ЦБ будут подготовлены рекомендации в области стандартизации аутсорсинга информационной безопасности. Эти же рекомендации также могут пригодиться микрофинансовым организациям и ломбардам. Так можно будет обеспечить необходимый уровень безопасности без увеличения штата. Тем более что найти специалиста в небольших населенных пунктах не всегда возможно.

Стоимость мер обеспечения безопасности всегда в разы ниже, чем ущерб от первого же взлома. И, скорее всего, недостаточное внимание к операционному риску и информационной безопасности, как части его, будет стоить банку определенных мер воздействия со стороны ЦБ.