Предложение по решению проблем обеспечения защиты в системах обработки больших данных в финансово-кредитных организациях.

1   2   3

---

Содержание

Введение.

1.    Проблема использования платежных систем для мошеннических схем.

1.1.   Актуальность проблемы и основной понятийный аппарат по вопросам противодействия мошенничеству в кредитно-финансовой сфере.

1.2.   Законодательные требования и требования Банка России. Нормативные документы надзорных органов.

1.3.   Способы и методы реализации мошеннических действий со счетами и банковскими картами.

1.4.   Алгоритмы эксплуатации угроз и уязвимостей банковских систем. Социальная инженерия и обратная социальная инженерия.

2.    Анализ технологий противодействия мошенничеству.

2.1.   Практика мошенничества в системах ДБО, АБС. Средства выявления мошеннических действий, осуществленных со стороны Клиента/третьего лица/сотрудника Банка.

2.2.   Принципы работы антифрод системы. Построение правил.

2.3.   Анализ сомнительных операций на предмет наличия мошеннических действий со стороны клиента или сотрудника Банка.

3.    Предложение по решению проблем обеспечения защиты в системах обработки больших данных в финансово-кредитных организациях.

3.1.   Технологии структуризации данных для выявления утечек и уязвимостей

3.2.   Анализ имеющихся данных на аномалии путем их классификации.

3.3.   Конфигурирование механизмов защиты и мониторинга.

3.4.   Предложения по технологии организации реагирования на инциденты…….

Заключение.

Список использованных источников. 104

Введение

 

Проблема повышения безопасности платежных операций становится все более актуальной вместе с развитием предоставления удаленных продаж и услуг. Привлечение новых пользователей в удалённые платежи позволяет мошенникам наращивать объемы получения преступного дохода. Рост числа операций требует поиска новых схем защиты, в том числе и технического характера.

Одной из таких современных систем защиты является система фрод-мониторинга, ориентированная на оценку финансовых транзакций в Интернете на предмет подозрительности с точки зрения мошенничества. Функционал системы предназначен на выработку рекомендаций по дальнейшему анализу и организации работы с подозрительными транзакциями.

Целью работы является исследование проблемы систем информационной безопасности на основе фрод-мониторинга.

Для достижения поставленной цели в работе предполагается решение целого комплекса задач:

• анализ проблемы использования платежных систем для мошеннических схем;
• изучение способов и методов реализации мошеннических действий со счетами и банковскими картами;
• анализ технологий противодействия мошенничеству;
• исследование принципов работы антифрод системы;
• выработка предложений по решению проблем обеспечения защиты в системах обработки больших данных в финансово-кредитных организациях.

Объектом исследования являются платежные операции и существующие схемы мошенничества при их проведении.

В качестве объекта исследования выступает организация безопасности платежных операций с использованием систем фрод-мониторинга.

Структура работы представлена тремя главами. Первая глава посвящена изучению проблемы использования платежных систем для мошеннических схем. В рамках первой главы рассматриваются также законодательные требования и требования Банка России к проведению и защите платежных операций и способы и методы реализации мошеннических действий со счетами и банковскими картами.

Вторая глава касается анализа технологий противодействия мошенничеству: отражены практики мошенничества с системами ДБО, АБС и средства выявления мошеннических действий.

Предложение по решению проблем обеспечения защиты в системах обработки больших данных в финансово-кредитных организациях представлены в рамках третьей главы.

 

1. Проблема использования платежных систем для мошеннических схем

 

1.1. Актуальность проблемы и основной понятийный аппарат по вопросам противодействия мошенничеству в кредитно-финансовой сфере

 

В настоящее время различного рода злоупотребления и правонарушения в банковской сфере относятся экспертами к значительным угрозам, оказывающим негативное влияние на экономические интересы любого общества. Интенсивное развитие и внедрение актуальных информационных технологий в мире повлекло за собой активизацию процессов формирования глобального информационного пространства, и, как неизбежный результат, привело к появлению новых вызовов и угроз [7].

Целесообразно остановиться на общем понятии платежной системы.

Платежная система является обязательным элементом кредитно-денежной системы, в состав которой входят заранее оговоренные процедуры, правила и механизмы перевода денежных средств с участием определенных организаций. Исходя из этого, ответственность за эффективное взаимодействие внутри платежной системы возлагается как на участников рынка, так и на официальных лиц, в частности, представителей центрального банка. Опираясь на опыт проведения рыночной реформы, можно утверждать, что платежная система, удовлетворяющая нужды частных и юридических лиц в сфере безопасного и эффективного перевода средств, представляет собой важный элемент инфраструктуры, которая необходима для перехода к рыночной экономике. Действительно, нельзя не отметить центральную роль хорошо отлаженной платежной системы в развитии межбанковского взаимодействия [13].

Существуют и другие определения. Так, специалистом ФРС США Б.Д. Саммерсом утверждается, что платежная система является обязательной частью, в состав которой входит совокупность подсистем, состоящих из правил, соглашений, инфраструктуры, технологии механизма осуществления денежных переводов, методических указаний, регламентов. По его версии, платежная система – неотъемлемая часть кредитно-денежной системы.

В то же время, Поль Ван ден Берг описывает платежную систему в виде некоторой совокупности обязательств, которые принимают хозяйствующие субъекты. Реализация этих обязательств происходит в момент приобретения финансовых или материальных ресурсов, а также других ценностей.

Стандартный вид платежной системы представлен на рисунок 1.1.

Рисунок 1.1 – Состав платежной системы

В любой платежной системе можно выделить следующие ключевые элементы:

• законодательная основа (нормативные акты, стандарты, правила, законы);
• механизм процедур консультационного характера;
• наблюдение, надзор;
• кооперация и внутрирыночное сотрудничество (соглашения, тарифы, регламенты, договоры).

Вообще говоря, развитие деятельности любой платежной системы зависит от совокупности факторов, среди которых ключевыми являются:

• относительно быстрое и повсеместное на современном этапе внедрение информационных технологий в функционирование платежных систем. Использование IT-технологий способствует повышению эффективности работы платежной системы, увеличению ее скорости работы и устойчивости;
• неуклонное возрастание роли центрального банка в деятельности платежных систем. С его стороны выполняется поведение оценки соответствия платежей системы стандартам международного образца, выдвигаются предложения, касающиеся внесения изменений в правила платежных систем, выполняется мониторинг деятельности уже существующих платежных систем;
• в настоящее время отмечается стремительное развитие предприятий финансовой сферы, в частности, в банковской отрасли постоянно появляются новые банковские продукты и услуги, наблюдается неуклонная глобализация финансовых рынков.

В связи с этим, центральным банком и другими органами, ответственными за регулирование платежных систем, должны обеспечиваться единые равные условия для функционирования между крупными банками, небанковскими кредитными предприятиями и некредитными предприятиями (общества с ограниченной ответственностью, акционерные общества). При этом должна быть учтена обширная база клиентов крупных банков, широкий спектр бизнес-моделей и доступ к информации.

Так как у крупных операторов платежных систем существует возможность использования значительной базы существующих клиентов для быстрого достижения глобального присутствия, является крайне важным своеврем5енность оценки регулятором рисков и последствий для глобальной финансовой системы.

Целесообразно рассмотрение некоторых значимых соображений, используемых в качестве основы для решения стабильности функционирования платежных систем. В данном случае среди них следует выделить исключительно подмножество соображений, способствующих решению всего спектра приоритетов государственной политики.

Прежде всего, в платежных системах необходимо обеспечение общественного доверия, соответствие самым высоким стандартам с точки зрения нормативов и обеспечение необходимого всестороннего надзора и наблюдения. Это может быть начато, но не ограничено, соответствующими указаниями и постановлениями со стороны Банка России, также используются принципы инфраструктуры финансового рынка, которые закреплены комитетом по платежам и рыночным инфраструктурам (Банк международных расчетов). В данном случае речь идет о применении концепции фундаментального характера «тот же бизнес, те же риски, те же правила». Согласование нормативных подходов должно осуществляться на глобальном уровне, при этом должно быть обеспечено обнаружение любого пробела или несоответствия с последующим его устранением.

Платежными системами должна демонстрироваться надежная правовая основа во всех соответствующих юрисдикциях для организации должной защиты и гарантий для всех вовлеченных заинтересованных сторон и пользователей.

Кроме того, структура управления рисками должна быть разработана таким образом, чтобы были достигнуты операционная устойчивость и киберустойчивость. Также нельзя не учитывать риск ликвидности.

Наконец, необходимо обеспечение безопасности, осмотрительности, прозрачности управления активами, которые лежат в основе жизнедеятельности оператора платежной системы, а также их соответствие характеру обязательств. Это требуется для обеспечения широкой целостности рынка и уверенности пользователей платежных систем в безопасном проведении платежных операций.

К сожалению, в современных платежных системах недостаточна защита от организованной преступности, занимающейся отмыванием денежных средств, которые получены незаконным путем, выводом капитала за рубеж, финансированием терроризма. Причиной этого является наличие огромного количества современных информационных технологий, финансовых инструментов, облегчающих данные операции, а также обезличенность денежных средств, которые находятся в обращении.

Каждый день во всем мире объем денежных средств, перечисляемых с помощью электронных систем, составляет около 2 триллионов долларов США. При этом наблюдается постоянная тенденция со стороны банков и других финансовых посредников к расширению своей деятельности в сети Интернет. Целью этого является значительное сокращение собственных административных затрат и получение возможности для своих клиентов повысить эффективность управления своими счетами. Помимо этого, жесткая конкуренция в данной сфере побуждает многие предприятия к проведению большей части своих бизнес-коммуникаций в сети Интернет, что в условиях недостаточного обеспечения защиты информации, увеличивает их уязвимость для злоумышленников.

Борьба с мошенничеством при использовании пластиковых карт является комплексным мероприятием, в которое должны быть вовлечены банки, платежные системы, правоохранительные органы.

Необходимым является совершенствование самих пластиковых карт, увеличение количества степеней ее защиты, в частности, с использованием микропроцессорных карт, чипов. В соответствии с данными, полученными на середину 2019 г., всего около 49% карт в Российской Федерации оборудовано микропроцессором.

Большая часть операций мошеннического характера становится возможной вследствие недостаточной надежности методов идентификации пользователей. Среди всех методов идентификации к наиболее надежным следует отнести сочетание логина и пароля.  Вместе с тем, хакеры не считают подобный метод серьезной преградой, препятствующей совершению действий мошеннического характера. Поэтому необходимым является разработка новых систем идентификации пользователей, например, систем идентификации пользователей с помощью карт доступа, специальных пластиковых карт с микрочипом. Эти карты вставляются в считывающее устройство специального типа с последующим вводом логина и пароля. При этом производится генерация микрочипом однократного кода, длина которого составляет 2048 бит. Этот код необходим для регистрации пользователя в сети, уничтожение данного кода происходит после выхода пользователя из сети.

Очевидно, что с помощью подобного метода можно предотвратить любые попытки злоумышленников, направленные на кражу пароля.

В последнее время получила широкое применение такая методика защиты, как биометрическая идентификация. При использовании такого способа осуществляется идентификация клиента в соответствии с отпечатками его пальцев или роговой оболочки глаза. Это приводит к практической невозможности доступа в систему злоумышленника, выполнившего похищение идентификатора, либо пароля. Вместе с тем, нельзя не учитывать достаточно высокую стоимость применения подобного метода, что, безусловно, накладывает дополнительные ограничения на степень его использования в практических разработках.

К наиболее уязвимым местам утечки информации могут быть традиционно отнесены точки подключения к сети Интернет и другим электронным сетям. Они чаще всего и являются теми «воротами», через которые в банковскую сеть стремятся внедриться хакеры. Для защиты банками, как правило, осуществляется установка межсетевых экранов (firewall), выполняющих фильтрацию сетевого трафика с целью недопущения несанкционированного проникновения, а также установка систем Content Security на серверы и рабочие станции. Эффективность определения операций мошеннического характера значительно возрастает благодаря проведению мониторинга всех транзакций.

Одна из задач банков заключается в обеспечении надежности систем защиты информации, регулярном осуществлении контроля за деятельностью собственных сотрудников, организации мониторинга (проверки) оборудования, средств защиты баз данных, программного обеспечения.

В ходе выявления, расследования и документального выявления эпизодов мошенничества с пластиковыми картами целесообразным является акцентирование внимания на совокупности признаков, анализ которых способствует определению возможных нарушений со стороны сотрудников банка. Среди этих признаков:

• отсутствие внятного и четкого разграничения функций сотрудников, в сферу ответственности которых входит оформление и выдача пластиковых карт, а также сотрудников, отвечающих за назначение персональных идентификационных номеров;
• отсутствие необходимого эффективного контроля за возвращенными почтовыми отправлениями (в случае рассылки пластиковых карт по почте);
• отсутствие эффективного мониторинга изменения имен и фактического адреса проживания клиентов банка;
• наличие систематических задержек, не вызванных объективной необходимостью, при выдаче клиентам банка пластиковых карт и персональных пин-кодов;
• отсутствие предельно допустимого лимита на размер снятия денежных средств через банкоматы в течение одних суток;
• наличие систематических сбоев в системе авторизации;
• отсутствие мониторинга и контроля за увеличением размера овердрафта по счету;
• отсутствие надлежащего контроля за неоформленными пластиковыми картами и пин-кодами.

Чтобы сократить число оперций мошеннического характера с использованием пластиковых карт банковскому учреждению целесообразно принятие следующих мер:

• проведение комплексной проверки контрагентов при заключении договоров эквайринга;
• осуществление проверки кредитной истории держателя пластиковой карты;
• проведение всесторонней проверки подлинности документов и сведений, которые предоставляются контрагентом при выдаче пластиковой карты.

Следует учитывать наметившуюся во всем мире тенденцию объединения хакеров в группы, в частности, в международные, для централизованного совершения крупномасштабных мошеннических действий. Злоумышленниками с целью сокрытия собственной причастности к совершению преступлений используются различные методы, среди которых: похищенные реквизиты доступа в сеть Интернет, однократные выходы в сеть с присвоением различных IP-адресов, а также иные способы электронной конспирации [22].

В связи с этим для правоохранительных органов становится актуальным принятие мер, направленных на организацию обмена опытом, тесного сотрудничества при обнаружении и расследовании преступлений подобного характера. На базе МВД Российской Федерации должны быть созданы картотеки в соответствии с существующими признаками и механизмами подделки банковских пластиковых карт.

Очевидно, что появление новых технических возможностей приводит к изменению способов совершения преступлений. Вместе с тем, необходимые изменения в уголовного законодательстве, касающиеся преступлений в данной сфере, запаздывают. Например, осуществление сбора и хранения физическим лицом на персональном компьютере информации о действующих пластиковых картах (номерах, сроках действия, CVC, в том числе данных, получаемых с магнитной полосы), в соответствии с законодательством Российской Федерации не относится к правонарушениям или преступлениям. Таким образом, уголовный кодекс России нуждается во внесении новых составов преступлений.

 

1.2. Законодательные требования и требования Банка России. Нормативные документы надзорных органов

 

Регламентация процессов осуществления платежей, которые касаются платежной системы Банка России, выполняется на основании основных документов по организации работы в платежной системе:

• Положение «О платежной системе Банка России» от 24 сентября 2020 г. N 732-П. [5];
• Положение «О требованиях к защите информации в платёжной системе Банка России» от 23.12.2020. N 747-П [6].

В рамках требований к защите информации в платежной системе Банка России определены основные ключевые аспекты защиты, которые связаны со строгой регламентацией процесса и ответственностью его участников.

При этом согласно положению «О платежной системе Банка России» от 24 сентября 2020 г. N 732-П. участниками процесса выступают:

• все кредитные организации, принимающие непосредственное участие в предоставлении услуг по переводу денежных средств в электронном виде;
• операционный центр, под операционным центром понимается организация, организующая в рамках платежной системы доступ к совершению операций по обмену с использованием средств электронных платежей, а также поддержку обмена с использованием сообщений;
• платежный клиринговый центр другой платежной системы (организация, занимающаяся определением и проверкой выполнения обязательств участников обмена в процессе сделки) в случае использования сервиса быстрых платежей;
• непосредственный оператор услуг, осуществляющий информационный обмен между участниками платежной операции, называемой обменом.

Дополнительно, требования к защите данных и обеспечению безопасности процесса обмена распространяются на:

• автоматизированные системы, участвующие в процессе обмена или обработки информации;
• программное обеспечение, выполняющее поддержку процесса обмена или его технического обеспечения;
• средства вычислительной техники, используемые в процессе обработки и передачи данных;
• телекоммуникационное оборудование, используемое в процессе обработки и передачи защищаемых данных.

Основные требования, предъявляемые к элементам описанной инфраструктуры, которая обеспечивает процесс обмена, заключаются в следующем:

• организация работы в выделенных (отдельных) сегментах сети, имеющих дополнительную защиту и поддерживающих политику разграничения доступа;
• элементы выделенного сегмента сети должны быть снабжены как минимум стандартным уровнем защиты, именуемым уровень 2 согласно ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций» [1].

Уровень защиты 1 определяется как усиленный, 2 – стандартный, 3 – минимальный. Обычно в финансовых организациях реализуются несколько контуров безопасности, в рамках которых устанавливаются разные уровни защиты [2].

Регламентированные Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [3] уровни защиты персональных данных распределяются по указанным уровням следующим образом:

• четвертый уровень обеспечивается минимальным уровнем защиты;
• третий и второй – стандартным уровнем;
• первый уровень – усиленным уровнем защиты.

В процессе предоставления услуг операционного характера и процессного клиринга необходимо обеспечивать в выделенных сегментах сети усиленный уровень защиты информации.

Участники процессов обмена и обеспечивающие их организации должны во внутренних документах определять порядок и состав применения организационных мер защиты, а также порядок применения технических средств.

Направления защиты информации, определенные ГОСТ Р 57580.1-2017:

• обеспечение защиты вычислительных сетей;
• обеспечение защиты при управлении доступом;
• контроль целостности и защищенности информационной инфраструктуры;
• защита от вредоносного кода;
• предотвращение утечек информации;
• управление инцидентами защиты;
• защиты среды виртуализации;
• защита информации при осуществлении удаленного логического доступа с использованием мобильных устройств.

Участники обмена должны сформировать в рамках внутренней документации следующие, регламентирующие работу с платежными операциями положения:

• о хранении , подготовке и передаче сообщений, сопровождающих платежные операции;
• о необходимом наборе технологических средств защиты, определяющих целостность, подлинность передаваемых электронных сообщений, включая определение криптографических средств защиты и принципов управления ключевой информацией;
• о регулировании деятельности направленной на непрерывность и восстановление деятельности при осуществлении переводов;
• об определении прав и обязанностей лиц, выполняющих сопровождение платежных операций и регламентации правил допущения специалистов к таким операциям;
• об определении прав и обязанностей лиц, выполняющих обеспечение защиты и восстановления в процессе платежных операций и регламентации правил допущения специалистов к таким операциям;
• об определении прав и обязанностей лиц, выполняющих хранение и формирование криптографических ключей и регламентации правил допущения специалистов к таким операциям [4].

 

1.3. Способы и методы реализации мошеннических действий со счетами и банковскими картами

 

В соответствии с информацией, предоставленной Computer Emergency Response Team (CERT), являющейся признанным международным авторитетом в сфере безопасности в сети Интернет, наиболее актуальные информационные технологии, средства компьютерной техники повсеместно применяются организованными преступными группировками, в частности, для легализации прибыли, полученной незаконным путем. По оценке аналитиков ОБСЕ сумма ежегодного ущерба для мировой экономики, причиной которого стало мошенничество, воровство и промышленный шпионаж в сети Интернет, составляет не менее 100 миллиардов долларов.

К наиболее активно развивающимся областям деятельности российских коммерческих банков можно смело отнести организацию безналичных расчетов населения с использованием пластиковых карточек. В соответствии с данными Банка России, на 1 августа 2020 года число кредитных организаций, осуществляющих эмиссию пластиковых карт, составило 305, при этом количество эмитированных на территории Российской Федерации пластиковых карт составило 301,2 миллиона [8].

Очевидно, что рост количества пластиковых карт ведет к увеличению ущерба, связанного с мошенничеством с ними. Основываясь на аналитических материалах платежных систем VISA и MasterCard, ассоциация региональных банков оценивает ущерб от мошеннических операций с пластиковыми картами по итогам 2020 г. в сумму около 2 млрд. рублей, что составляет около 204% от аналогичных результатов предыдущего года. Эксперты постоянно говорят о постоянном росте ущерба от подобных махинаций.

Вместе с тем, точная статистика, отражающая число мошеннических операций с пластиковыми картами, до сих пор отсутствует. На это оказывает непосредственное влияние высокая латентность подобных преступлений. Кроме того, банки далеко не всегда стремятся к разглашению информации о мошеннических транзакциях или, тем более, о взломах без данных. Причина и тут очевидна – подобная информация негативно сказывается на деловой репутации банка. Согласно оценкам аналитиков, в поле зрения правоохранительных органов находится не более 16% всех совершаемых преступлений. Не вызывает сомнений факт, что сумма ущерба от мошеннических операций с пластиковыми картами растет неуклонно. Также следует отметить транснациональный характер подобных мошенничеств [11].

Практика правоохранительных органов свидетельствует о том, что к самому распространенному виду мошенничества с пластиковыми картами относится мошенничество, основанное на применении поддельных карт, и кража реквизитов действующих карт.

Злоумышленные действия, совершаемые с использованием пластиковых карт можно разделить на две группы: осуществляемые в системе банка и осуществляемые вне банка.

Первая группа преступлений включает в себя:

несанкционированная установка на карту кредитного лимита, что позволяет повысить авторизационный остаток на карточном счете с возможностью последующего снятия средств;

выпуск параллельной карты-двойника, преступный сговор с представителями торговых точек, несанкционированный выпуск новых пластиковых карт, несанкционированная установка в авторизационной системе специального статуса счета, дающего возможность в определенных пределах осуществлять снятие средств с карты [26].

Среди преступлений, совершаемых вне банка, следует выделить три большие категории, а именно:

преступления, осуществляемые с участием владельца пластиковой карты;

преступления, осуществляемые с применением украденных, поддельных карт или других данных идентификации;

преступления, заключающиеся в незаконном проникновении в хранилища данных, или во внедрении в различные специальные устройства [14].

Мошенничество владельца пластиковой карты может состоять в мошенничестве с долимитными суммами, а также с ложными заявлениями, касающимися утери или кражи карты.

В качестве примера можно упомянуть о случае, когда злоумышленником, на основании подложного общегражданского паспорта на чужое имя, в консульском отделе МИД России был получен подлинный заграничный паспорт на ту же фамилию. По предъявлению этого паспорта в филиале московского банка была получена дебетовая карта «Еврокард/Мастеркард» с первоначальным взносом 5000 долларов США. Далее, пребывая на территории Франции, и имея информацию об отсутствии средств на счете, который обеспечивает карту, злоумышленником были произведены оплаты этой картой за услуги и товары, в том числе, получен напрокат автомобиль, который был угнан в Российскую Федерацию и продан там.

Злоумышленные действия, осуществляемые с помощью украденных, поддельных карт и данных идентификации, включают в себя:

• мошенничество с применением украденных карт;
• мошенничество с применением карт с частичной подделкой. Пример из практики: преступником были приобретены пластиковые карты четырех банковских структур «Золотая корона». После этого, с применением специального оборудования, была нарушена электронная защита пластиковых карт и, с применением специального программного обеспечения, внесены изменения в записанную на них информацию, что дало возможность неоднократного получения в банкоматах суммы, превышающей находящуюся на счете. В 2019 г. было раскрыто преступление, суть которого заключалась в использовании для получения наличных денег пластиковых карт. Группой лиц было зарегистрировано фиктивное предприятие для прикрытия преступной деятельности, связанной с обналичиванием денежных средств и уклонения от уплаты налогов. Сумма материального ущерба, который был причинен федеральному бюджету в виде неуплаченных налогов, оказалась более 197,5 млн. рублей. Проведенные оперативные мероприятия позволили изъять документы регистрационного и финансового характера, печати 32 фирм-однодневок, которые были частью схемы незаконной банковской деятельности, электронные ключи доступа к системе дистанционного управления счетами «Банк-Клиент», в том числе зарубежных предприятий, а также неучтенные наличные денежные средства в объеме более 3,6 млн. рублей, 38 кредитных банковских карт, оформление которых было выполнено на подставных физических лиц, заведенных для снятия наличных денежных средств;
• мошенничество торговой точки. Например, кассиром магазина в процессе продажи товара за наличные деньги, не осуществлялось оформление кассовых чеков покупателям. После окончания смены, выполнялся ввод в POS-терминал данных пластиковых карт, предъявляемых держателями к оплате за товары в течение дня. При этом проставлялась сумма, заметно превышающая полученную от покупателей наличными. На слипах выполнялась подделка кассиром подписей держателей карт, за образец при этом брались чеки, хранившиеся в кассе;
• скиминг (копирование магнитной полосы). Для данного вида мошенничества необходимы устройства особого вида, осуществляющие считывание информации с магнитных полос карт. Скиммером выполняется считывание и запись информации на магнитной полосе. Другими словами, в руки злоумышленников попадают данные, являющиеся необходимыми для последующего изготовления поддельной карты и ее применения в собственных целях;
• вишинг (голосовой вишинг) – мошенничество, заключающееся в использовании технологии, дающей возможность выполнять сбор информации о реквизитах действующих карт в автоматическом режиме. При этом преступниками выполняется имитация звонка автоматического информатора, сообщающего о якобы проведении с картой владельца мошеннических действий и выдающего соответствующие инструкции. Суть этих инструкций – совершение звонка по указанному номеру. Принимающий звонки злоумышленник позиционирует себя, как сотрудник банка, и требует проведения сверки, в ходе которой и выясняет все необходимые данные;
• фишинг. Суть данного вида мошенничества – получение преступниками обманным путем реквизитов и пин-кода банковской карты. Наиболее часто осуществляется путем рассылки через сеть Интернет писем от имени банка или платежной системы. В этих письмах содержится просьба о подтверждении указанной конфиденциальной информации на сайте предприятия. В Российской Федерации увеличилось количество открытия веб-сайтов с предложениями различных финансовых услуг с применением банковских (платежных) карт международных платежных систем, в частности, MasterCard и VISA. На этих страницах содержится предложение пользователям, касающееся заполнения электронных форм с указанием реквизитов и пин-кода банковских (платежных) карт. При передаче информации конфиденциального характера отсутствуют защищенные протоколы обмена информацией;
• мошенничество с применением номера счета. При взломе сети, преступники получают полный доступ к данным, касающихся номеров действительных пластиковых карт, сроков их действия и имен держателей (владельцев). Основываясь на этих данных, злоумышленники осуществляют перевод средств на счет виртуальной фирмы или магазина. После этого, используя предлог отказа от покупки, выполняется возврат электронных денег на счет злоумышленника, и, далее, легкое обналичивание денежных средств;
• «белый пластик». Данный способ заключается в эмбоссировании номеров действительных пластиковых карт на заготовках пластика, имеющих стандартный размер. Осуществляется копирование магнитной полосы с карты, например, с помощью, скимера. Для использования «белого пластика» мошенниками заключается сговор с кассирами торгового предприятия, чаще всего для операций с «белым пластиком» выполняется создание подставных фирм. В 2018 г. преступниками была получена информация, касающаяся уязвимого места компьютерной защиты компании PBS WorldPay (расположена в Атланте, является подразделением Royal Bank of Scotland), ориентированной на оформление платежей, в том числе, по дебетовым и кредитным картам. В качестве объекта взлома были выбраны дебетовые карты, привязанные к счетам, на которые выполнялось перечисление заработной платы работодателями сотрудникам. В течение четырех дней преступниками (гражданами Эстонии, Молдовы и России) выполнялся взлом компьютеров PBS и хищение из ее баз данных номеров дебетовых карт с их пин-кодами. После этого номера и коды похищенных 48 карт были сообщены подельникам, которые осуществили изготовление фальшивых карт и нанесение на них похищенных данных. Спустя короткий срок времени, сообщниками была выполнена попытка снятия денег из банкоматов в Эстонии, в результате чего через несколько часов была похищена сумма в размере 293 тыс. долларов. Так как на счетах истинных держателей карт находились небольшие суммы, злоумышленники через компьютеры PBS выполнили повышение кредитного лимита, иногда до нескольких сотен тысяч долларов. В течение следующих суток из более чем 2000 банкоматов в 273 городах мира было снято около 10 млн. долларов. При этом у себя злоумышленники оставляли от 35% до 50% украденной суммы, остаток же отправлялся хакерам через фирмы WebMoney и Western Union;
• мошенничество с применением поддельных карт. Следует привести иллюстративный пример. Сотрудники Управления «К» МВД России в 2018 г. пресекли деятельность участников организованной преступной группы, занимавшейся на протяжении нескольких лет производством поддельных пластиковых карт и хищением денежных средств со счетов законных владельцев. Жертвами такого незаконного бизнеса стали как банки Российской Федерации, так и восемь крупных банков Германии, Франции, США, Бразилии. Каждый из участников преступной организации являлся пользователем сети Интернет и пользователем одного из сайтов, осуществлявшего продажу данных о реквизитах действующих карт (номерах действующих карт, сроках их действия, Card Verification Value (Card Validation Code, CVC)). Местоположением сайта являлись Кокосовые острова. Одним из участников осуществлялся доступ неправомерного характера к серверам процессинговых центров банковских предприятий и копирование информации, касающейся держателей пластиковых карт. После этого обеспечивалось поступление данных к организатору, который, с помощью термо-сублимационного принтера, выполнял изготовление пластиковых карт с магнитной полосой и логотипами банков. Далее, с помощью специального устройства «энкодера» производилась запись похищенной банковской информации на пластиковые карты. Применяя подобные подделки, члены организованной преступной группы осуществляли в крупных торговых сетях покупки дорогостоящих товаров с последующей их реализацией. Весь доход собирался в «бюджете» преступной группы. В течение периода с февраля по апрель 2018 г. было выявлено 365 финансовых операций, которые были проведены злоумышленниками. Размер общего ущерба, нанесенного действиями злоумышленников, составил 127 миллионов рублей.

Преступления, использующие несанкционированное проникновение в хранилища данных или внедрение в различные устройства можно разделить на следующие группы:

• использование фальшивых банкоматов. Вставив карту и набрав пин-код пользователь обычно видит на дисплее фальшивого банкомата сообщение об отсутствии денег в банкомате или о неисправности банкомата. За это время мошенниками выполняется копирование данных с магнитной полосы карты и ее пин-кода
• взлом баз данных платежных систем и торговых точек. Так например, гражданином США с помощью хакерских атак с 2016 по 2018 годы было похищено данных 140 млн. карт путем взлома платежной системы Heartland Payment Systems, кроме того данных 3,7 млн. карт путем взлома данных супермаркетов Hannaford Brothers Co, а также данных трех торговых сетей. Совместно с другим злоумышленником хакером устанавливалось на взломанных компьютерах программное обеспечение, обеспечивающее им многоразовый доступ в систему. Атаки осуществлялись с серверов, расположенных в Калифорнии, Иллинойсе, Нью-Джерси, Голландии, Латвии, на Украине. На серверах находились вредоносные программы, а также украденные данные, касающиеся пластиковых карт и их держателей. В соответствии с предварительными данными, сумма ущерба превысила 420 млн. долларов. Также в 2019 г. был произведен арест гражданина Украины, который в течение трех лет (2014-2016 гг.) присвоил около 12 млн. долларов путем совершения мошеннических операций, связанных с продажей данных похищенных кредитных и дебетовых карт, большей частью принадлежащих гражданам США;
• внедрение вредоносного программного обеспечения. Согласно информации Федерального бюро расследований США, осенью 2019 года на серверы, принадлежащие финансовой компании Citigroup, была осуществлена хакерская атака. Следователями было установлено, что похищение паролей клиентов банка выполнялось с помощью программы Black Energy, автором которой являлся российский хакер с ником Cr4sh. Продажа программного обеспечения, содержащего Black Energy, осуществлялась в сети Интернет по цене 700 долларов. В соответствии с данными Wall Street Journal, общий объем потерь клиентов Citibank может составлять десятки миллионов долларов. В частности, у совладельца компании Bridge Metal Industries, Роберта Бланчарда преступниками могло быть похищено и переведено на счета в Латвии и на Украине не менее одного миллиона долларов. Показателен еще один пример. В 2019 году сотрудники отдела «К» УВД по Курганской области пресекли деятельность организованной преступной группы, члены которой в течение двух лет занимались подделкой пластиковых карт и хищением денежных средств с банковских счетов. Для этого использовался неправомерный доступ к счету через сеть Интернет. Злоумышленники осуществляли с помощью вредоносных программ хищение ключей электронно-цифровой подписи для получения доступа к банковским счетам, а также данные пластиковых карт частных лиц. После этого выполнялась регистрация фиктивных предприятий и оформление расчетных карт для обналичивания украденных денежных средств. Размер ущерба, нанесенного злоумышленниками, оценивается 11 млн. рублей;
• применение в банкоматах так называемой «ливанской петли», то есть пластиковых конвертов, немного превышающих своими размерами стандартные пластиковые карты, закладываемые в банкоматы. Попытка снятия наличных средств в банкомате вызовет невозможность считывания устройством данных с магнитной полосы и невозможность извлечения карты владельцем. В это время следует совет от злоумышленника, находящегося рядом, о необходимости ввода пин-кода. После его ввода карта все так же не извлекается и владелец покидает место для связи с сотрудниками банка. Далее злоумышленник производит извлечение карты, которая затем может быть использована для снятия наличных денег в банкомате, поскольку ее пин-код уже известен.

 

1.4. Алгоритмы эксплуатации угроз и уязвимостей банковских систем. Социальная инженерия и обратная социальная инженерия

 

Под термином «социальная инженерия» понимается методика получения злоумышленником требуемой информации или управления действиями человека без применения технических средств. Другими словами, социальная инженерия представляет собой использование исключительно методов воздействия на людей психологического характера, среди которых, убеждение, хитрость, внушение доверия. За основу в методах социальной инженерии всегда берется манипуляция такими базовыми основополагающими человеческими эмоциями, как жадность, страх, эмпатия. Главной задачей социального инженера можно считать «подбор ключа» к каждому конкретному человеку с последующей игрой на его эмоциях и чувствах таким образом, чтобы он не думал об осторожности и совершал требуемые злоумышленнику действия.

Итогом успешных атак с использованием методов социальной инженерии является предоставление жертвой (часто добровольно и без особых подозрений) важных данных (логинов и паролей учетных записей, реквизитов банковских карт), либо необходимых возможностей, связанных с получением доступа к целевой системе в обход ограничений безопасности.

В качестве типичного примера атаки социального инженера можно упомянуть о звонке или рассылке сообщений клиенту банка от лица сотрудника данного банка. Клиенту поступает сообщение о блокировке его карты и под предлогом восстановления карты предлагается предоставление реквизитов и кодового слова.

Методы социальной инженерии используются следующими категориями:

• blackhat-хакеры: имеют мощную развитую техническую базу, продвинутые навыки социальной инженерии и взлома информационных систем. Данная категория, чаще всего, преследует исключительно собственные корыстные интересы;
• промышленные шпионы: осуществляют ведение незаконной деятельности, ориентированную на хищение информации конфиденциального характера, принадлежащей конкурентам заказчика;
• частные детективы: выполняют легальный поиск информации для заказчика;
• whitehat-хакеры (пентестеры): сотрудники предприятий, осуществляющих свою деятельность в области информационной безопасности, а также независимые исследователи. Деятельность этой категории направлена на тестирование информационной системы заказчика на наличие различных уязвимостей.

Атака социального инженера обычно включает в себя следующие этапы:

1. Сбор как можно более полной информации о целевом объекте.
2. Подготовка сценария действий и наиболее эффективных средств для атаки (вредоносные вложения, фишинговые ресурсы и т.п.).
3. Установка связей и получение доверия со стороны жертвы.
4. Достижение цели, для которой совершалась атака (получение требуемой информации).

Как уже было сказано, начало атаки заключается в сборе информации о целевом объекте (в данном случае, будет идти речь об атаке не на физическое, а на юридическое лицо). Для этого желательной будет следующая информация:

• перечень имен и занимаемых должностей сотрудников;
• организационная структура предприятия;
• применяемые на предприятии технические средства и установленное программно-аппаратное обеспечение;
• любые данные о конкурентах, партнерах и контрагентах предприятия;
• принятый на предприятии жаргон и терминология;
• архитектура корпоративной вычислительной сети предприятия;
• адреса электронной почты, внутренние телефонные номера, номера мобильных телефонов сотрудников предприятия.

Очевидно, что больший собранный злоумышленником объем информации повышает вероятность успеха. Для добычи первичной информации чаще всего используется разведка из открытых источников (OSINT – Open Source Intelligence). Адреса электронной почты и номера мобильных телефонов часто можно взять с сайта предприятия или из рекламных проспектов. Для получения необходимых сведений можно осуществить их покупку у информационных брокеров, которые представлены в даркнете, либо в сообществах криминального характера. К сожалению, сами сотрудники нередко предоставляют требуемую информацию, которая не относится к конфиденциальной, например в ходе телефонного разговора с атакующим, представляющимся коллегой из другого департамента, клиентом, подрядчиком предприятия.

После сбора информации социальным инженером осуществляется разработка сценария действий. При этом им заранее определяется:

• с кем будет производиться общение (сведения о конкретном человеке могут быть легко найдены, например, в социальных сетях);
• какие именно средства наиболее целесообразны для установки контакта (телефонный звонок, личный разговор, переписка по электронной почте);
• кем лучше всего представиться;
• какие темы должны быть затронуты в процессе общения;
• пути входа в доверие;
• получение какой информации или выполнение какого действия будет являться конечной целью общения.

В качестве жертвы атаки с применением социальной инженерии может быть выбран любой человек. К сожалению, универсальное средство защиты от них отсутствует. Вопрос состоит только в степени изощренности и достоверности схемы обмана, придуманной социальным инженером, для входа в доверие и побуждения своей жертвы к совершению требуемых и заранее спрогнозированных действий.

Целью атак социальных инженеров могут стать как обычные пользователи, так и сотрудники различных предприятий и банков. В первом случае ключевым мотивом злоумышленника почти всегда является корысть, во втором мотивов может быть несколько: получение доступа в корпоративную сеть с целью хищения данных, нарушение полноценного функционирования информационных систем, конкурентная разведка. Следует отметить, что даже наличие надежной защиты с помощью актуальных технических и аппаратных средств и изоляция от сети Интернет информационной системы не является гарантом отсутствия ее уязвимости к атакам такого рода. Причина этого заключается в действии «человеческого фактора».

Социальную инженерию можно рассматривать как один из этапов заранее спланированной компьютерной атаки. Действительно, для преступника более легким представляется начальный «взлом» человека и получение доступа к системе, либо убеждение жертвы в необходимости самостоятельного запуска на компьютере вредоносного файла, нежели поиск и эксплуатация технических уязвимостей.

В соответствии с информацией, предоставленной институтом InfoSec в 2020 г., следующие методы относятся к наиболее частым атакам социальной инженерии:

• фишинг (phishing). Атака подобного рода заключается в использовании злоумышленником сообщения, отправляемого по электронной почте, SMS, клиенте для обмена мгновенными сообщениями, в социальных сетях для получения конфиденциальной информации от жертвы или обманным путем вынудить ее перейти по ссылке, которая ведет на веб-сайт вредоносного характера. Цель фишинговых сообщений – привлечение внимания жертвы и призыв к действию путем возбуждения любопытства, просьб о помощи или вызова других эмоциональных спусковых механизмов. В них часто находят свое отражение логотипы, стили текста, изображения для подделки личности, путем создания впечатления, что источником сообщения является коллега по работе, банк жертвы или другой официальный канал. Кроме того, большая часть фишинговых сообщений спекулирует на факторе срочности, возбуждая в жертве впечатление, что промедление в передаче информации конфиденциального характера неизбежно приведет к негативным последствиям;
• атака китобоя (whaling attack). Данная атака представляет собой тип фишинговой атаки, ориентированной на определенных пользователей, имеющих привилегированный доступ к системам или доступ к конфиденциальной информации повышенной ценности. Например, целью атаки китобоя могут являться старшие руководители, состоятельные люди или сетевые администраторы. Сложность атаки китобоя выше, чем у обычной фишинговой атаки. Преступники осуществляют тщательную разработку для создания сообщения, которое принудит определенные цели дать ответ и выполнить требуемое действие. Письма подобного рода нередко маскируются под критически важные деловые письма, отправленные коллегой, ведущим менеджером, сотрудником, нуждающимися в срочном вмешательстве со стороны жертвы;
• атаки «приманка» и «услуга за услугу» (baiting and quid pro quo). В атаке «приманка» злоумышленниками предоставляется то, что жертва относит к полезному. В этом качестве может выступать предполагаемое обновление программного обеспечения, являющееся, фактически, вредоносным файлом, зараженным USB-токеном с меткой, которая указывает, что в нем находится ценная информация, а также другие методы. Атака «услуга за услугу» (quid pro quo) аналогична атаке «приманка», но вместо обещания предоставления чего-либо полезного от злоумышленников поступает обещание выполнения действия, полезного для жертвы, но требующего от нее действия в обмен. Например, злоумышленником могут быть вызваны случайные внутренние телефонные номера на предприятии под видом перезвона по запросу службы технической поддержки. При ответе человека, у которого действительно существует проблема, делается вид оказания помощи, однако при этом жертва инструктируется к выполнению действий, ставящих под угрозу ее компьютер;
• предлог (pretexting). Атака «под предлогом» заключается в создании злоумышленником поддельной личности и использовании ее для манипуляции своими жертвами и предоставлении информации личного характера. Например, злоумышленник может представиться внешним поставщиком IT-услуг и сделать запрос данных учетной записи пользователя и паролей для помощи им в решении проблемы. Другой вариант – притвориться финансовым учреждением жертвы, чтобы запросить подтверждение номера их банковского счета, либо учетных данных веб-сайта жертв;
• водопой (watering hole). Данный вид атаки состоит из запуска или загрузки вредоносного кода со вполне легального и легитимного веб-сайта, посетителями которого являются цели атаки. Например, злоумышленниками может быть скомпрометирован сайт новостей финансовой индустрии, если у них есть информация, подтверждающая возможность его посещения людьми, работающими в сфере финансов и, таким образом, представляющими привлекательную цель. Взломанный сайт, чаще всего, осуществляет установку трояна-бэкдора, дающего преступнику возможность взлома и дистанционного управления устройством жертвы. Атаки «водопой» обычно используются опытными злоумышленниками, которые обнаружили эксплойт нулевого дня. Может быть сделана пауза перед атакой в несколько месяцев для сохранения ценности найденного ими эксплойта. Иногда запуск атаки «водопой» осуществляется не против веб-сайта, а непосредственно против уязвимого программного обеспечения.

Среди других атак социальной инженерии (потенциально, ставящих под угрозу системы и конфиденциальные данные жертв):

• vishing – голосовой фишинг. Как следует из названия, аналогичен фишингу, однако для его осуществления требуется звонок жертве по телефону;
• кража при переадресации – выполняет перенаправление доставщика или посыльного в неправильное место, после чего занимает их место для овладения конфиденциальной посылкой;
• задняя дверь – злоумышленник проникает в охраняемый объект, двигаясь за кем-то, обладающим санкционированным доступом, после чего обращается к нему с просьбой «просто придержать дверь», чтобы он так же мог войти;
• медовая ловушка – злоумышленник изображает привлекательного человека и выполняет фальсификацию онлайн-отношений для получения информации конфиденциального характера от своей жертвы;
• scareware – осуществление отображения на устройстве пользователя уведомлений, которые дают им основания думать, что они заражены вредоносным программным обеспечением и требуют установки программного обеспечения (вредоносных программ злоумышленника) для лечения своей системы.

Кроме того существует, так называемая обратная социальная инженерия. Это методика, при которой жертва в результате действий злоумышленника вынуждена сама просить у него помощи. Такой метод характерен для преступников, которые представляются сотрудниками технической поддержки. Такая атака выполняется в несколько этапов. Например, сначала злоумышленником осуществляется создание на компьютере жертвы обратимой неполадки. После этого каким-то образом отправляет сообщение пользователю о своей готовности решить подобные технические проблемы (осуществляет размещение объявления или собственных контактов рядом с рабочим местом пользователя или там, где он их точно увидит). Далее, пользователь сам обращается к злоумышленнику за помощью, а тот выполняет решение проблемы, попутно получая требуемый для своих целей доступ к компьютеру.

---

1   2   3