Дмитрий Мороз: «Социальная инженерия – самое интересное мошенничество»

Дмитрий Мороз: «Социальная инженерия – самое интересное мошенничество»

В ходе круглого стола «Мошенничество в финансовой сфере» начальник отдела безопасности платежных и карточных систем УкрСиббанка Дмитрий Мороз рассказал о том, как банковские технологии используются мошенниками, а также о том, что сами держатели карт и пользователи интернет-банкинга не хотят защищать свои деньги.



О каких мерах вы могли бы рассказать в сфере минимизации мошенничества?

- Добрый день, уважаемые коллеги! Мошенничество в платежных системах я делю на три направления: дистанционное банковское обслуживание системы клиент-банк, непосредственно карточное мошенничество и социальная инженерия.

Что касается дистанционного банковского обслуживания, сейчас может быть есть другая информация, но я вижу спад. Почему? Потому что, скорее всего, все мошенники ушли в социнженерию. Что было проведено за прошлые годы банками для минимизации мошенничества в дистанционном банковском обслуживании? Во-первых, проведена аналитика, какие же есть каналы хищения. Это непосредственно хищение ключей – электронно-цифровых подписей на машине злоумышленниками вместе с паролями, либо перехват управления персональными компьютерами с помощью средств дистанционного управления.

Что спасало и спасает? Это USB-токен с ключом для гарантированного хранения средств ЭЦП, чтобы нельзя было украсть, и ОТР-механизмы – one time password, то есть одноразовые пароли. По одиночке не работают, работают в комплексе. То есть естественно, проводя аналогии с простой жизнью: без ремня безопасности подушка безопасности в машине вам гарантии не дает.

Сложности были! Сложности были с раздачей этих средств клиентам. Почему? Потому что обычно в клиент-банке сидят бухгалтера, которым вот это лишнее получать ожерелье флешек, USB, было тяжело. Мы что делали, мы для наиболее рискового сегмента, то есть там, где корпоративный сегмент и суммы, которые могли уйти злоумышленникам, были большие, мы устроили, по большому счету, принудиловку. То есть бухгалтер отказывается от получения средств, мы пишем директору, если и директор не хочет, то мы вплоть до выходили на учредителей. Ведь владелец бизнеса все-таки заинтересован в сохранности свои средств.

Инсайдерские хищения по дистанционно банковскому обслуживанию, как со стороны сотрудников банка возможны, так и со стороны клиентов, то есть со стороны клиентов, когда айтишник-админ приходящий, у него ключи и пароли бухгалтера и директора, он в конце концов психует и делает платеж себе. Но знаю, что были случаи в банках, когда сотрудники отделения сами из дому генерировали ключи и подвязывали на своих рабочих местах вместо клиентских ключи свои. Тут как бороться? Это информирование на стороне клиентов, ну а в банке нужно придерживаться принципа нулевой толерантности к таким мошенникам. Их автоматом передавать правоохранительным органам и не допускать никаких утаиваний и прочего. Многие ссор из избы выносить не хотят и эти случаи не становятся массовыми, и другие такие сотрудники не видят, что кара неизбежна и все-таки иногда пытаются.

Что касается карточного мошенничества, непосредственно в банкоматах, то что говорила Олеся и Мария, все понятно: картинг, фишинг, скиммеры. Что нового из экзотики? Это выжигание чип-ридеров у нас появилось в этом году: специальная карточка, которая к контактной группе чипа идут контактные проводки, в карточку ряд конденсаторов впаянных, запихивается карточка в банкомат и выжигается чип-ридер. Для чего делается? Ну скорее всего для того, если правило в банкомате настроено неверно, карточка хоть и чиповая, но чип не считывается, чип-ридер не работает – проводим операцию по магнитной полосе. То есть либо мы потом эту операцию оспариваем, либо же возможность катать то, что соскинерено было в магнитную полосу с чиповых карт. Это из нового. Ну и скимминговые устройства, которые уже внутренние появились, то есть которые ставятся не на верх банкомата, не снаружи, а запихиваются внутрь банкомата. Как минимизировать? Ну пересмотреть антискимминговые устройства, чтобы не допустить установки внутренних скиммеров. Плюс, обязательное правило, если карточка чиповая, но чип-ридер не работает, то я рекомендую, эти транзакции отбраковывать.

Ну и самое интересное мошенничество – это социальная инженерия. Не берем в расчет продажи на OLX, когда я вам продам, но ничего не вышлю, этим завалены наши правоохранительные органы, этого множество. Тут бороться только информированием, информированием и информированием. То есть если ты не готов рисковать такой большой суммой, то переплати 40 грн за услуги по постпереводу средств «Новой почте» или как ты получаешь товар. Потому что это массово и то, что рекомендации сами сайты этих торговых площадок размещают, многие не читают.

Ну естественно голосовой фишинг, то что сейчас идет бич – это массовое количество случаев растет по довольно-таки нехорошей прогрессии. То есть звонки по телефону: расскажите мне номер карточки, расскажите мне CVV – но 60-65%, по-моему, где-то все-таки эти данные разглашают. Тут опять же таки с этим бороться…

- То есть как не обучай людей, а 65% готовы спокойно сказать код?

- Да. Количество случаев увеличивается.

- Це пенсіонери більш за все, так?

- Це пенсіонери, да. Тому, що ми робимо в УкрСиббанку. Ну, по-перше, ми розпочали інформаційну компанію на всіх наших сайтах, при вході в систему дистанційного банківського обслуговування. Банери: «Будь пильним!», «Не попадайся!», розсилки через нашу торгівельну мережу, рекомендації наших співробітників, що розповідати людям, щоб вони не розголошували ці дані.

Тобто все можна побороти тільки інформуванням. При чому інформувати треба в незалежності від банку, чия карта. Виходите з підїзду, побачили бабушек на лавочке, уделите две минуты и расскажите, что вы если пенсию получаете на карточку, вам звонят и говорят, что это сотрудник банка, то ни в коем случае не рассказывайте. Вплоть до такого!

Плюс. Мы рекомендуем банкам работать со СМИ, потому что в СМИ разглашение случаев идет, что поймали банду кардеров. Кто такие кардеры, что это такое, что они делали?

Пересічному громадянину ця інформація на жаль мало що дає, а інформації з конкретними рекомендаціями чого не треба робити, як з цим боротися – цього мало. Сайти банків мало хто читає, але в цьому напрямку таки треба працювати. Нацбанк – це дуже добре, що методички і кожен банк це робить, але треба це робити масово.

І що саме цікаве, буду трохи провокувати. Що стосується технологій захисту карткових транзакцій на сервісах карт-переводів B2B перекази.

Площадок много, которые предоставляют этот сервис, но как показывает практика, опять же таки, бизне-процессы нужно рассматривать в безопасности и комплексно. У нас есть два механизма авторизации по СVV коду – это три циферки на обратной стороне карточки, и одноразовый пароль – это 3D-Secure, который приходит на телефоны. Как показывает практика, если в банке неправильно оценена безопасность и риски самих бизнес-процессов, я не говорю об информационных системах, а именно о бизнес-процессах «от нуля». То, что научились делать мошенники: у них много времени и они становятся более хитрыми. Они научились обходить или один, или второй способ. То есть правила международных платежных систем: если карточка вовлечена в технологии 3D-Secure – одноразовых паролей, не требует 100% проверки еще и CVV кода, который передается. То есть что происходит: ряд банков, которые предоставляют услуги интернет-эквайринга, они берут CVV код и отправляют на авторизацию данные карточки. Проверяется карточка на стороне банка и идет возврат на сайт. Если карточка вовлечена в 3D-Secure, то этот сервис уже не передает банку на авторизацию сам CVV код, авторизация проходит только по 3D-Secure коду.

Что научились делать мошенники? Кое-где они дублируют сим-карты, то есть сейчас, чтобы сделать сим-карту некорпоративную мобильного оператора, можно подойти в сервисную службу, рассказать, что потерял и в новый телефон нужна микро-сим нано-сим, назвать три номера телефона последние, дату последнего пополнения и оставить любой документ. Ну студенты у нас, слава богу, не переводятся никогда. Редко кто требует показать старую сим-карту, еще чего-то… Что делают? Провоцируют счет пополнить на 5 грн можно самостоятельно, если понимаешь, какие выгоды это сулит и провоцируют на перезвон. Вызовы сбрасывают и среди ночи могут позвонить, чтобы с утра человеку интересно, кто ж звонил, может что случилось… Идут, забирают сим-карту с вашим номером телефона, данные карточки OLX, может просто утечка, сотрудники банка, опять же таки, могут быть не совсем честные… Ну собственно платеж пошел.

И отдельные варианты – это отключить технологии 3D-Secure. Из последнего случая, личная знакомая обратилась – ушли деньги, что же делать, как произошло. Начинаем разбираться, вроде бы карточка 3D-Secure, классно. Пароль приходил на телефон – нет не приходил, хорошо. Звоним в банк в контакт-центр: так и так, карта 3D-Secure, почему не пришел пароль? Так вы же позвонили и отключили. Отлично, хорошо, когда было? Выясняем, все хорошо. Кодовое слово – для верификации звонящего в контакт-центр используется кодовое слово. У 60-70% клиентов – это девичья фамилия матери. Заходим в профиль моей подруги в социальной сети, сообщение на Facebook: «Мама, поздравляю!». Адресовано собственно в профиль мамы, находим по дате рождения мамы в «Одноклассниках», она под действующей фамилией, плюс в скобках девичья. Все! Песня!

Что минимизировать? Ну все-таки банкам пересмотреть. Ведь все равно CVV коды запрашиваются, не зависимо от 3D-Secure, у клиента CVV код в формочках сайт рисует, банк, который предоставляет сервис, этот код получает. Передавайте, нужно внутри банка договариваться, и этот код передавать независимо оттого, что требуют МПС, не требуют, но если этот фактор есть, то зачем его умалчивать. То есть по технологии, если этот код передался, то все равно он проверяется. Будет срабатывать два фактора, вместо одного.

- Дмитрий, скажите, вы согласны с тезисом Ларисы, которая говорит о том, что по сути мошенничество в карточной сфере большей частью зависит от того, что банки не способны своевременно защищать информацию о клиентах?

- Не совсем согласен.

Лариса Макарова: Банки не неспособны, а банки не успевают. Развиваются технологии настолько интенсивно, что банки не успевают внедрять новые способы защиты. Развиваются технологии, мошенники идут в ногу со временем и банки просто не успевают внедрять все эти технологии. Если позволите, то я расскажу.

- Нет. Спасибо большое за уточнение, но прошу, Дмитрий.

- Я не совсем согласен с тезисом, что не успевают. Что происходит в банках и может происходить? Это неверный анализ собственно бизнес-процесса и выстроение матрицы рисков, основа этих бизнес-процесс. Вот то, что я описал. Да, средства внедрены и 3D-Secure, и передовая технология, но вот недостатки каких-то организационных процессов. То есть некоторые контакт-центры позволяют заменить номер телефона, на который приходит код 3D-Secure, верифицировавши по звонку, по вот этому кодовому слову. То есть то, что я описывал, просто меняется технология внедрена, карта чиповая, карта подвязана к 3D-Secure. Вот этот вот маленький просчет организационного момента и все, приплыли.

Подписывайтесь на финансовые новости FinClub в соцсетях Twitter и Facebook.