Четверг, 23.09.2021
×
Цифровой рубль в России стартует в 2022 году

Про биометрию и Аль-Каиду

+20 -0
Аа + 2
Тимур Аитов,

заместитель председателя комиссии по цифровым финансовым технологиям ТПП РФ

Тема краж методами социальной инженерии (СИ) стоит сегодня остро – более 90% хищений со счетов физических лиц совершаются талантливыми психологами, способными уговорить клиента совершить платеж в своих корыстных интересах. Шифрование, двухфакторная аутентификация, иные технические преграды помешать этому, увы, не в состоянии. Клиент своими руками выполняет перевод или же дает злоумышленнику возможность его совершить, сообщая коды подтверждения операции. Бороться с СИ бесполезно – таково мнение большинства специалистов в сфере информационной безопасности. Но стоит ли опускать руки?

Существует два вида атак методами социальной инженерии (СИ), далее будем их различать. В первом случае (назовем схему атаки «СИ1») клиента уговаривают совершить перевод на счета злоумышленников и эту процедуру клиент совершает добровольно. В другой ситуации (атака по схеме «СИ2») клиент передает ключи, пароли и иной инструментарий дистанционного банковского обслуживания злоумышленникам, будучи введенным в заблуждение. Важное отличие СИ1 от СИ2 в том, что при СИ1 клиент желает передать средства злоумышленникам, а в схеме СИ2 клиент не хочет передавать свои средства - злоумышленники, получив пароли, совершают хищения со счета клиента самостоятельно. В схеме СИ1 бороться со злоумышленниками бесполезно - это понятно, но при хищениях по схеме СИ2 клиент нуждается в защите, дополнительную техническую защиту ему оказать и можно, и нужно.

Без вины виноватые

Во всех случаях хищений по обеим схемам банковские юристы чаще всего обвиняют клиентов - ни одного случая компенсации похищенного в рамках диспозиции ст.9 закона 161-ФЗ не сегодня зафиксировано не было. Различий схем хищений (СИ1 и СИ2) не проводится, клиенты огульно обвиняются в недостаточной финансовой грамотности, небрежности и проч.

На самом деле, используемые схемы обмана достаточно хитры, а рабочие диалоги злоумышленников («скрипты») рассчитаны не на бабушку из далекой деревни, а скорее на компетентного клиента. Как свежий пример , приведем недавнюю атаку по схеме СИ2, в которой сотрудника крупной компании «развели» на 300,0 тыс. рублей, сообщив ему по контактному номеру мобильного телефона, что в отношении его картсчета «пресечена попытка злонамеренной транзакции», и эту попытку заблокировала служба ИБ банка. Клиенту предложили подтвердить, что блокировка этой транзакции «правильная», а саму транзакцию в далекой стране совершал не он. Благодарный клиент немедленно переслал полученный им «код акцепта блокировки» в службу ИБ, но и в целях подстраховки переслал код не прямо звонившему сотруднику банка, а «роботу-блокировщику», на любезно предоставленную злоумышленником фейковую страничку (что страничка фейковая клиент разумеется не знал) . Сообщение с его «кодом акцепта» немедленно оказалось в руках мошенников и деньги были незамедлительно сняты. Отмечу, что при данной атаке номер входящего звонка (как чаще всего бывает), отображался у клиента как банковский.

Улыбнитесь - вас снимает видеокамера

Можно ли дополнительно защитить клиента от подобных случаев атак? Ответ утвердительный и технологические приемы и меры для этого есть.

Первым инструментом защиты послужит дополнительная аутентификация (по независимому каналу) при совершении особо крупных транзакций (эту "крупность" клиент должен устанавливать сам) с тем, чтобы злоумышленнику было труднее похитить средства от имени клиента. Для аутентификации могут пригодиться и биометрические данные, которые клиенты сегодня так неохотно сдают в ЕБС.

Напомним, биометрическими данными клиентов наполняет свое хранилище Ростелеком в целях облегчения банковского обслуживания. Под "облечением" подразумевается возможность дистанционного открытия счетов в рамках 482-ФЗ. Увы – эта услуга по дистанционному открытию счётов для подавляющего большинства клиентов не является критичной. Зачем дистанционно открывать счёт, скажем, москвичу, когда у него, что называется, под окнами 5-6 офисов банков в шаговой доступности.

Однако защитить свои счета с помощью дополнительных методов аутентификации (включая и лимиты на суммы операций) клиенты согласятся - особенно если денег на счете немало: каждому захочется поставить как можно больше препон злоумышленникам для атак. Сервис ЕБС и процесс сдачи биометрики целесообразно сегодня подавать именно так: как дополнительную (опциональную) защиту от атак СИ, тогда и отношение к нему станет другим. Естественно, следует настроить и механизмы ДБО на использование дополнительной аутентификации - здесь должен вмешаться ЦБ выпуском соответствующего руководящего документа. Что самое важное – использовать биометрику в качестве основного механизма идентификации клиента, как сегодня указано в 482-ФЗ, неразумно и опасно, это важно поправить , иначе по-прежнему, биометрические данные клиенты сдавать не будут.

Письмецо в конверте

А как другие технологии защиты счетов от СИ? Традиционная двухфакторная аутентификация (A2) с отправкой кодов подтверждения по физически раздельным каналам тоже не панацея в борьбе с СИ - этот защитный барьер злоумышленники успешно проходят. Типовым примером атаки на A2 является отправка страниц, имитирующих оформление почты Google (или других иных популярных ресурсов), при этом URL-адреса фейковых страниц также напоминают название домена Google. Типичное входящее сообщение при атаке выглядит так: «на вашем аккаунте обнаружена подозрительная активность, если это были вы, зайдите в свой аккаунт и еще раз подтвердите вход двухфакторной аутентификацией». При этом невнимательный клиент перенаправляется на фишинговые сайты злоумышленников. Ясно, что нажимать на неизвестную ссылки в любых письмах нельзя и опасно.

Вскрываются подобным образом сегодня не только почта и банковские счета. Социальные сети тоже в зоне риска - они поставляют информацию для СИ.

Прошлой осенью на Facebook у нескольких десятков миллионов клиентов оказались скомпрометированными персональные данные, включая не только дату рождения и вероисповедание, но и тип устройств, используемых для доступа. Конечно, информация в сети ФБ пока нефинансовая, однако она полезна и для последующей аутентификации пользователей, и для более тонкой работы СИ по краже личности в целом (identity theft).

Аль-Каида и другие

Считается, что сегодня воруют ПД чаще всего для того, чтобы взять кредит на подставное лицо. Однако, использование ворованных «цифровых личностей» гораздо шире – например, с их помощью террористы могут легализовать происхождение преступных средств. После событий 11 сентября было установлено, что примерно 30% финансов Аль-Каида получила за счёт «ненадлежащего благотворительного пожертвования». Ненадлежащие пожертвования может совершить и украденная цифровая личность, имеющая полный набор атрибутики цифрового профиля, это реальная угроза. В США кража личных данных считается федеральным преступлением, наказуемым лишением свободы на срок до двух лет, а за хищения в террористических целях срок увеличивается до 5 лет.

Как хранятся данные и какова мера ответственности за массовую утечку в России? Реальность такова, что ПД многих россиян уже украдены, причем, несколько раз. ПД злоумышленники смогли получить, взломав одну из сотен компаний, которым передали свои данные граждане, не имея никаких представлений о методах обеспечения их безопасности - они как принято, просто ставили «галочку» в знак согласия сбора ПД.

Однако, продвижение в этом вопросе есть. Свежий законопроект о Цифровом профиле предполагает получение согласия уже средствами квалифицированной электронной подписи (ЭП). Тем не менее, дополнительной защиты ПД инструмент ЭП в данном случае не привносит. Нужен полноценный контракт на обработку ПД клиента, который содержал бы всю информацию о том, что именно будет происходить с конфиденциальной информацией, кто и как ее будет обрабатывать, кому будут переданы данные после обработки и как будут храниться. Необходимо прописать в законе конкретные механизмы и формы обезличивания ПД, дополнив их строгими наказаниями за утечки.

После этих мер и доверие граждан к сборщикам появится, да сам сбор идентифицирующей информации пойдет более активно. Ну, и, конечно, противодействовать хищениям по линии СИ станет легче.

Редакция Finversia.ru может не разделять точку зрения авторов,
материалы которых опубликованы в рубрике «Оценки».
Заметили ошибку? Выделите её и нажмите CTRL+ENTER
все оценки »
+20 -0
2126
ПОДПИСАТЬСЯ на канал Finversia YouTube Яндекс.Дзен Telegram

обсуждение

Ваш комментарий
Вы зашли как: Гость. Войти через

О чем молчат стартапы? О чем молчат стартапы? Многие слышали на конференциях восторженные выступления финтех-компаний о перспективах и возможностях концепции open banking. Что при этом легко заметить? В радужных докладах стартаперов обычно нет ни слова о уязвимостях этой модной концепции. И про ее безопасность докладчики не любят говорить, и про проблемы будущего регулирования. Все это естественно – ответов на многие вопросы просто нет, а титаническая по сложности задача обеспечения стабильности работы банковской системы страны при массовом появлении на рынке новых цифровых игроков B2B аналогов пока не имеет. Призрак «сберономики»: чудище обло, озорно, огромно, стозевно и лаяй… Призрак «сберономики»: чудище обло, озорно, огромно, стозевно и лаяй… Банки насторожились – в очередной раз ЦБ начал проявлять активность и объявил о сборе предложений на тему того, как ему регулировать активность экосистем, строительством которых начали заниматься некоторые банки. Цель у ЦБ благая – защитить деньги вкладчиков и ограничить вложения банков в так называемые иммобилизованные активы – читай – элементы экосистем, в число которых входят финтехкомпании, недвижимость и другие инструменты получения доходов от небанковских услуг. Всё, вроде, привычно и логично. Но справится ли ЦБ со строителями экосистем? У меня это вызывает сомнения. Карта в кармашке Карта в кармашке В последнее время финансовые эксперты и стали предсказывать близкую смерть пластиковым картам. Пластик сегодня кажется архаикой, многие захотели от него избавиться. Благо смартфон постоянно в кармане. Но что делать, если смартфон разрядится?
Все статьи автора (26)

календарь эфиров Finversia-TV »

 

Новости »

Корпоративные новости »