По данным статистики, опубликованной 1 апреля, налицо снижение уровня карточного мошенничества, в частности скиминга. Это связано с двумя факторами. Первый — кризисные явления, из-за которых на счетах клиентов стало меньше денег. Второй — постепенное вытеснение с отечественного рынка карт без чипа. Практически все транзакции на территории РФ проходят в режиме «чип плюс пин», что дает дополнительную надежность. Большая часть съема денег по картам физлиц приходится на обналичку карт в Юго-Восточной Азии. Компрометация происходит за пределами РФ.

Мы с удовлетворением отмечаем, что количество покушений через каналы ДО не растет

Налицо тренд на смещение интереса преступников в сторону юрлиц. Мы с удовлетворением отмечаем, что количество покушений через каналы ДО не растет. Совместный анализ с коллегами из МВД показывает, что за любой атакой стоит в первую очередь желание получить максимальную прибыль. Действия, предпринятые кредитными организациями, плюс некоторые действия ЦБ, привели к тому, что маржинальность атак существенно упала. Но появился интерес к атаке на корсчета кредитных организаций.

Первые факты таких атак были зафиксированы еще в 2014 году, но за 2015–2016 годы таких фактов было 21. Объем попыток хищений составил около 2,5 млрд рублей, но практически все деньги удалось сохранить.

Чтобы организовать и начать атаку (а все начинается с вирусной рассылки), требуется потратить от $10 до $60 тысяч. При атаке на крупных игроков это немного. Но после атаки деньги надо как-то выводить. Сейчас это происходит через обналичку со счетов физлиц и кредитные карты. Все чаще используются премиальные карты, так как по ним можно снимать больше.

Организатор атаки получает относительно немного, около 30%

Доход картоводов (то есть организаторов выпуска карт) от операций составляет 7–8% от общей суммы похищенного. После того как карты выданы под видом фальшивого зарплатного проекта, нужно, чтобы кто-то с ними подошел к банкомату и снял деньги. Обналичивание — это еще 20–40% от суммы похищенного. В последнее время активно начали привлекать иностранцев из СНГ, живущих в Европе, в качестве дроперов. Еще около 10% уходит бригаде, управляющей вбросом фиктивных финансовых документов.

В итоге организатор атаки получает относительно немного, около 30%. При таком раскладе объем атаки должен быть действительно значимым.

Этим и объясняется смещение вектора атак с физлиц и юрлиц на банки.

Готовы предоставлять комплект ПО по криптографии, саму сигнатуру, с которой работает АРМ КБР

Но на этом преступное сообщество не останавливается. Банкиры сегодня озабочены выявлением инсайдеров, способных организовать проникновение в систему банка. Злоумышленники продумывают атаки на финансовые некредитные организации — страховые компании и МФО. Разрабатывают атаки на системы мобильных платежей.

Нас волнует, что делать дальше. Видится два направления.

  1. Сегодня основные атаки идут с использованием функциональности АРМ КБР. Именно использованием функциональности, а не взлома, потому что окружающая его инфраструктура не находится под достаточным вниманием служб безопасности банков. В ЦБ считают, что надо разделять ответственность между регулятором и банками. Это может быть реализовано переносом подписи платежей на АБС. Мы хотим подтолкнуть кредитные организации к серьезному отношению к собственной безопасности. Готовы предоставлять комплект ПО по криптографии, саму сигнатуру, с которой работает АРМ КБР. Если хотите встраивать его в свои АБС — обращайтесь, дадим. Требования и техдокументацию готовим, скорее всего, они выйдут в начале 2017 года.
  2. Поскольку нет внимания к общей структуре IT, вредонос проникает в систему банка, грузит дополнительное ПО. Средства ИБ не всегда могут идентифицировать атаку. Если бы в кредитных организациях уделяли вниманию сетевым устройствам к исходящим соединениям, можно с уверенностью на 90% говорить, что хищения можно было бы остановить. ЦБ будет предпринимать усилия, чтобы были установлены требования к обеспечению безопасности не только платежной системы, но и сетевой инфраструктуры в целом.

Мы будем применять определенные меры воздействия, например требовать увеличения резервов банка, если достаточных мер по ИБ не принимается.

Но и этого недостаточно, если у нас не будет достаточно плотного и серьезного контакта с банками. Для этого был создан FinCERT. С ним сейчас работает порядка 300 банков, но, к сожалению, активных среди них немного, около 60%. Альтернативой взаимодействия могут стать обязательные требования раскрывать информацию о фактах атак, заражений и т. д., но я не уверен, что это даст сразу положительный эффект.

Призываю вас к взаимному обмену информацией.