Всего десять лет назад купить продукты по дороге домой можно было разве что в магазине или в ларьке на остановке. Сегодня это можно сделать прямо в вагоне метро с помощью телефона, им же оплатить товары и услуги. Новые средства оплаты, безусловно, облегчают жизнь потребителей. Но чем проще нам воспользоваться своими деньгами, чем больше инструментов и технологий мы используем, тем легче эти деньги украсть и киберпреступникам, например, с помощью методов социнженерии. К счастью, многие граждане уже наслышаны о мошенниках и нечасто раскрывают конфиденциальные сведения незнакомцу по телефону.
Однако ситуация меняется, когда к жертве обращаются по имени-отчеству, называют ее анкетные данные и знают номера карт. Мошенники морально давят на человека. Представляются сотрудниками банка и рассказывают о том, что со счета клиента могут быть украдены деньги, а операцию можно отменить, если продиктовать код подтверждения, который придет на телефон. Этот и другие психологические приемы бывают эффективны даже против осведомленных в вопросах информационной безопасности людей. Сегодня среди таких видов социнженерии наиболее распространены телефонные звонки, СМС и так называемый спуфинг, то есть подмена номера телефона.
Чем более похожим будет мошенник на реального сотрудника банка, чем больше информации он уже имеет о своей потенциальной жертве, тем вероятнее его успех. Злоумышленники даже научились совершать звонки, маскируя свой номер телефоном реального банка. Но без исходной информации о жертвах и их счетах эффективность телефонных звонков мошенников будет крайне низкой. Поэтому одна из главных задач кредитных организаций состоит в сохранении конфиденциальности клиентской информации.
Человек — главная уязвимость и главная цель мошенников. Банки уже немало сделали, чтобы обеспечить защиту своих клиентов. Многие кредитные организации используют автоматизированные антифрод-системы. Но на сегодня главная угроза самим банкам — это не технические средства и не страшные хакеры, а пресловутый человеческий фактор. Кража информации сильно упрощается, когда злоумышленник находится внутри организации. Сотрудники банков уже знают, где и какая информация хранится, в чем ее ценность, имеют доступ к ней. Остается лишь вынести информацию. А это совсем не сложно с учетом развития технологий — быстрый Интернет и миниатюрные флешки позволяют незаметно скопировать даже объемные базы данных.
Борьба с внутренними угрозами не должна ограничиваться одними техническими средствами. Помимо внедрения систем предотвращения утечек (DLP), необходимо проводить для сотрудников банальные тренинги по вопросам защиты информации. Банковская тайна — одна из основ этого бизнеса, и вопросы ее соблюдения особенно остро стоят в эпоху развития цифровых технологий. И надо всегда помнить, что невозможно на 100% обеспечить безопасность данных, в особенности если речь идет о банках. Проблема заключается в том, что, даже если в самой организации будет максимальный контроль за перемещением конфиденциальных данных, всегда будет присутствовать человеческий фактор, а точнее клиенты банков.
Халатность самих пользователей не знает границ. Хранить ПИН-код рядом с картой или сохранять пароли от финансовых сервисов в браузере — в порядке вещей. А смартфон? Если пользователь запускает на устройстве интернет-банк, если установил банковское приложение — это уже не гаджет, а полноценное платежное средство, и обращаться с ним надо соответствующим образом. Но далеко не все пользователи готовы изменить модель своего поведения в угоду безопасности.
Что банки могут сделать дополнительно. Банки могут повлиять на пользователей, если, например, будут предоставлять клиентам бесплатные услуги. Почему за СМС-уведомления о списаниях до сих пор взимают плату в некоторых банках? Даже если цена информирования относительно невелика, от 50 до 100 рублей в месяц, в перспективе нескольких лет накапливается солидная сумма. В результате люди отказываются от услуги и часто остаются в неведении, даже если злоумышленникам удается украсть деньги. СМС-информирование должно быть бесплатным для клиентов, в этом заинтересованы не только люди, но и сами банки. Перекладывать бремя оплаты эсэмэсок на клиента неправильно. Стремясь сэкономить, люди отказываются от платных услуг. В результате вероятность обнаружения несанкционированных операций резко снижается.
Что касается методов борьбы с этой и большинством используемых схем, необходимо информировать клиентов о существующих угрозах и о том, как им противостоять. Не обязательно читать длинные лекции или проводить экстренные рассылки на телефон, достаточно в фоновом режиме, при посещении офиса, когда человек ждет оформления бумаг или сидит в очереди, когда висит на горячей линии в ожидании оператора и т. д. В кармашки информационных стендов стоит разложить буклеты по информационной безопасности. Сейчас во всех подобных случаях клиентам стараются навязать дополнительные продукты и услуги. Рассылки с экстренными предупреждениями о конкретных атаках полезны, если атака развивается прямо сейчас, но злоупотреблять такими мерами не стоит, тем более что подобные сообщения беспокоят клиентов, в итоге нагрузка на кол-центр обычно возрастает.
Минимизировать навязывание дополнительных услуг. Таких, как мобильный банк, карты с овердрафтом и т. д. Чем больше способов получить деньги, тем больше возможностей и у преступников. А большинству клиентов дополнительные сервисы не нужны.
Подумать о возможности применения более надежных способов подтверждения платежей (аутентификации) вместо упрощенных. Не обязательно способы аутентификации должны быть высокотехнологичными и дорогими. Например, подтверждать платеж со смартфона СМС-сообщением, которое приходит на тот же самый гаджет, небезопасно. Теряется смысл использования нескольких факторов аутентификации.
Проблемы утечек необходимо решать в комплексе. Рассказывать людям про угрозы и решения, уловки мошенников и используемые схемы. Это не дорого и не сложно. Сейчас же большинство усилий банков нацелены на повышение экономической активности и упрощение процесса использования денег, но не на безопасность.
Мнение автора может не совпадать с мнением редакции
Комментарии
Давно все придумано - СМС не относится и никогда не относились к безопасным способам транспорта секретных кодов.
Зачем-то в цепочку доставки секретов впутали ОпСоСов, которые не несут никакой ответственности перед клиентом за доставку СМС не клиенту.
Естественно, это не их дело проверять - кто реальный получатель СМС? Но и банки от этого отлынивают. Крайний же всегда клиент
Те, кто расстались со своими деньгами, должны "благодарить" безголовых российских банкиров, которые вместо удобных и безопасных автономных софт и хард генераторов кодов продолжают с ослиным упорством держаться за небезопасные и неудобные СМС
Разгул же телефонных жуликов связан опять же с безголовыми банкирами, которые не удосужились жестко заформализовать поводы и процедуру общения с клиентами.
Так что фраза "У нас банкиров не средств, у нас ума не хватает" на все 1000% характеризует российских банкиров.