Мошенничество в платежной сфере. Бизнес-энциклопедия
Шрифт:
Предисловие
Платежная сфера — важнейшая область экономики и жизни социума в целом. А поскольку современная социальная жизнь во всех ее проявлениях — и бизнес, и личный план, и медийное пространство — все более базируется на информационных технологиях, вполне ожидаемо в сторону ИТ мутировали и способы мошенничества и его инструменты. Эволюционировало и само преступное сообщество, создавшее настоящую мошенническую индустрию, собственный рынок, на котором можно купить не только специальный инструментарий, но и заказать взлом любой системы или массированную атаку на тот или иной информационный ресурс. Поэтому информационная безопасность, защита информации
Представляем авторский коллектив книги с указанием наименований разделов, написанных каждым из авторов:
• Леонид Лямин (начальник отдела электронных банковских технологий департамента банковского надзора Банка России) — «Использование современных форм платежей для легализации преступных доходов и организация противодействия»;
• Николай Пятиизбянцев (начальник отдела по управлению инцидентами департамента защиты информации Газпромбанка) — «Уголовно-правовые аспекты борьбы с противоправными деяниями в сфере банковских карт», «Гражданско-правовые вопросы в случае несанкционированного использования платежных карт», «Безопасность банкоматов»;
• Антон Пухов (директор по развитию Центра исследований платежных систем и расчетов) — «Процедуры минимизации рисков при работе с платежными картами»;
• Павел Ревенков (д.э.н., профессор кафедры экономического анализа и бухгалтерского учета Одинцовского гуманитарного университета) — «Электронные платежи: риск возможного использования для легализации преступных доходов»;
• Илья Сачков (генеральный директор Group-IB), Валерий Баулин (руководитель лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB), Дмитрий Волков (руководитель отдела расследования инцидентов информационной безопасности Group-IB) — «Практика мошенничества в системах ДБО», «Распространенные виды мошенничества в сфере электронных денег» (в соавторстве);
• Максим Кузин (главный архитектор продукта БПЦ) — «Методы и инструменты оценки рисков на базе мониторинга карточных транзакций»;
• Ирина Лобанова (руководитель департамента исследований банковского сектора Национального агентства финансовых исследований) — «Исследование опыта и осведомленности населения по мошенничеству в сфере платежных карт».
Глава 1
Мошенничество в системах дистанционного банковского обслуживания (ДБО) и электронных денег
1.1. Практика мошенничества в системах ДБО
Рост количества и сумм безналичных операций естественно привлек внимание сначала компьютерной, а потом уже организованной преступности к этому рынку.
Первые масштабные хищения начались в России в 2007 г. Когда суммы хищений стали достигать миллионов долларов, участники преступных групп, которые занимались обналичиваем денежных средств, привлекли внимание организованной преступности, так как на «обнал» уходили очень крупные суммы и процент за вывод денежных средств мог достигать 50 %.
Анализ работы больших преступных групп, задержанных в 2011–2013 гг., показывает, что это большие, хорошо организованные формирования, которым сложно противостоять даже юридически-уголовным путем. Такие факторы, как огромные доходы, несовершенство законодательства и возможности обналичивания денежных средств привели к росту на 100–200 % в год этого типа преступлений. Анализ технических и организационных методов данных преступлений является первостепенной необходимостью для борьбы с этим явлением.
В данной главе представлена необходимая информация, позволяющая специалистам в области безопасности финансовых операций получить основной набор знаний для противодействия подобным типам инцидентов. Глава написана ведущими экспертами-криминалистами Group-IB, которые принимали участия в большинстве резонансных расследований в РФ и СНГ.
В цивилизованном мире регулятором прав и обязанностей, ограничений и мер принуждения является закон. Однако появление и активное развитие информационно-коммуникационных технологий и сферы компьютерной информации доказали обществу, насколько рабочим может быть принцип ubi jus incertum, ibi nullum («если закон не определен — закона нет»).
Этот принцип можно применить к ситуации с разделом законодательства, регулирующим сферу компьютерной информации в РФ: пробелы в действующих законах, отсутствие понятийного аппарата или его некорректное обозначение препятствуют должному применению закона или не допускают его вовсе.
Используя пробелы в законодательстве, ошибки в реализации программного обеспечения и применяя простейшие способы социальной инженерии, мошенникам удалось украсть в сфере интернет-банкинга $ 446 млн (результаты получены из ежегодного отчета компании Group-IB за 2013 г.). Общее количество похищенных денежных средств за 2013 г. представлено на рисунке 1.1.
Рис. 1.1. Оценка объемов рынка киберпреступности в РФ, категория «интернет-мошенничество»
Мошенничество в системах дистанционного банковского обслуживания основано на получении несанкционированного доступа к пользовательской информации, необходимой для работы и авторизации.
Принципиально методы совершения хищения денежных средств различаются способом получения доступа к ключам электронно-цифровой подписи (ЭЦП) для авторизации в системе ДБО: инсайд или злонамеренные действия третьих лиц (внешнего злоумышленника).
Остановимся более подробно на наиболее распространенных методах совершения преступлений, связанных с системами ДБО.
Инсайд. В случае сговора сотрудников, имеющих доступ к системе ДБО, или по инициативе одного сотрудника, проводятся операции, как правило платежи с использованием легитимных ключей и аутентификационных данных. Также инсайдер может завладеть ключами ЭЦП и логином/паролем как физически, например в случае несоблюдения сотрудниками компании правил политики парольной защиты, так и с помощью применения специализированного программного обеспечения для слежки за действиями пользователей (кейлоггер) на автоматизированном рабочем месте.