Векторы атаки

Всего 10 лет назад купить продукты по дороге домой можно было в магазине или в ларьке на остановке. Сегодня это можно сделать прямо в вагоне метро с телефона, с его же помощью оплатить товары и услуги. Даже люди старшего поколения освоили новейшие инструменты оплаты и могут погасить квитанции не только через операциониста, но и в банкомате. А самые продвинутые — через интернет.

Новые средства оплаты, безусловно, облегчают жизнь потребителей. Но чем проще нам воспользоваться своими деньгами, чем больше инструментов и технологий мы используем, тем легче эти деньги украсть и киберпреступникам.

Специалисты по информационной безопасности постоянно разрабатывают, а банки активно внедряют средства защиты для своих клиентов. Антивирусные и антишпионские программы установлены на большинстве пользовательских устройств.

Это вынудило киберпреступников сменить вектор атаки, и вместо устройств они атакуют самих пользователей.

Социальная инженерия — способ манипуляции человеком, и киберпреступники часто используют такие методы для того, чтобы выуживать нужную информацию. Например, одноразовые коды подтверждения операций. К счастью, многие граждане уже наслышаны о мошенниках, и все реже раскрывают конфиденциальные сведения незнакомцу по телефону.

Однако ситуация меняется, когда к жертве обращаются по имени-отчеству, называют анкетные данные и знают номера карт. Мошенники морально давят на человека. Представляются сотрудниками банка и рассказывают о том, что со счета клиента могут быть украдены деньги. Операцию можно отметить, если продиктовать код подтверждения, который придет на телефон. Этот и другие психологические приемы бывают эффективны даже против осведомленных в вопросах информационной безопасности людей.

Злоумышленники даже научились совершать звонки, маскируя свой номер телефоном реального банка. Но без исходной информации о жертвах и их счетах эффективность телефонных звонков мошенников будет крайне низкой. Поэтому одна из главных задач кредитных организаций состоит в сохранении конфиденциальности клиентской информации.

Главная угроза самим банкам — это тоже не технические средства и не страшные хакеры, а пресловутый человеческий фактор. Задача кражи информации сильно упрощается, когда злоумышленник находится внутри организации. Сотрудники банков уже знают, где и какая информация хранится, в чем ее ценность, имеют доступ к ней. Остается лишь вынести информацию. А это совсем несложно с учетом развития технологий — быстрый интернет и миниатюрные флешки позволяют незаметно скопировать даже объемные базы данных.

Борьба с внутренними угрозами не должна ограничиваться лишь техническими средствами. Помимо внедрения систем предотвращения утечек (DLP), необходимо проводить тренинги по вопросам защиты информации. Банковская тайна — одна из основ этого бизнеса, и вопросы ее соблюдения особенно остро стоят в эпоху развития цифровых технологий.

Банки уже немало сделали, чтобы обеспечить защиту своих клиентов. Многие кредитные организации используют автоматизированные антифрод-системы. Но почему, к примеру, за SMS-уведомления о списаниях до сих пор взимают плату в некоторых банках? Перекладывать бремя оплаты эсэмэсок на клиента неправильно. Стремясь сэкономить, люди отказываются от платных услуг. В результате вероятность обнаружения несанкционированных операций резко снижается.

Услуги, связанные с обеспечением безопасности, должны предоставляться клиентам бесплатно.

Но при этом нельзя возлагать всю ответственность за обеспечение безопасности на кредитные организации. Халатность самих пользователей порой просто не знает границ. Хранить пин-код рядом с картой или сохранять пароли от финансовых сервисов в браузере — в порядке вещей. А смартфон? Если пользователь запускает на устройстве интернет-банк, если установил банковское приложение — это уже не гаджет, а полноценное платежное средство, и обращаться с ним надо соответствующим образом. Но далеко не все пользователи готовы изменить модель своего поведения в угоду безопасности.

Источник