Мошенничество в платежной сфере. Бизнес-энциклопедия
Шрифт:
Можно было бы также привести десятки подобных примеров и данные о тысячах ежегодных целенаправленных атак на клиентов ДБО высокотехнологичных банков (и на сами банки с проникновениями в их сетевые структуры), при этом за счет низкой компьютерной грамотности клиентов и нередко безразличной позиции банков клиенты терпят убытки и потом предъявляют претензии тем же банкам [69] . Ситуация может существенно осложниться, если «крот» заводится в самом банке или в организации-провайдере, через которую проходят «чувствительные» данные (о чем клиент обычно не знает, поскольку очень слабо представляет собой используемую ТЭБ и ИКБД).
69
Детальный анализ карточных мошенничеств здесь не проводится, поскольку существует полноценная литература по данной проблематике, см., например: «Безопасность карточного
Вместе с тем следует отметить нередко возникающую «солидарность» клиентов, которые, заподозрив, что в их отношении имеет место попытка совершения мошенничества, обращаются в так называемые колл-центры [70] (или сервис-центры, горячие линии и т. п.) и сообщают о таких фактах, предлагая сотрудникам банка уведомлять других клиентов о подобных мошеннических приемах. Учитывая массовость случаев мошенничеств, можно было бы предположить, что колл-центры и службы безопасности банков, к которым за последние три года все чаще обращаются с подобной информацией клиенты ДБО, вполне могли бы разработать и критериальную базу для выявления попыток мошенничеств, и типовые схемы их предупреждения. В их число могли бы (должны бы!) входить и такие схемы, которые были бы направлены на оперативное пресечение очевидных «необдуманных» действий клиентов, которые они совершают по указаниям мошенников, представляющихся сотрудниками «их» банков. Вместе с тем следует отметить, что наилучшим способом противодействия социальному инжинирингу является все же осведомленность как клиентов, так и персонала банков.
70
От англ, call-center — центр телефонного обслуживания, центр обработки вызовов.
Терминальное обслуживание с использованием пластиковых карт давно привлекло внимание криминальных сообществ, и в этом направлении тоже существует своего рода «технический прогресс». Все, вероятно, наслышаны о так называемом скимминге (skimming), однако люди продолжают попадаться даже на нехитрые приемы, и автору множество раз приходилось наблюдать за поведением людей, которые снимали деньги в банкоматах, но перед тем не проводили даже элементарного осмотра устройства, которым пользовались. Казалось бы, нетрудно осмотреть хотя бы «рабочую зону» с клавиатурой и провести пальцами под нависающей над клавиатурой панелью (или заглянуть под нее, да и просто оглядеться полезно), чтобы убедиться в отсутствии глазка миниатюрной видеокамеры, однако кредитные организации явно не учат своих клиентов мерам предосторожности при пользовании банкоматами. В результате известно множество случаев, когда на одни и те же банкоматы в течение суток неоднократно устанавливались и через некоторое время снимались скиммеры, «ворующие» данные персональной идентификации владельцев пластиковых карт, и продолжается это нередко длительное время.
Конечно, некоторые виды банкоматных мошенничеств постепенно уходят в прошлое, как, например, применение накладных клавиатур или использование так называемой ливанской петли (хотя отдельные случаи еще имеют место), но дополнением скимминга стал так называемый шимминг [71] — технология, позволяющая считывать и передавать по радиоканалу данные с банковских карт. Считывающее устройство — плата (шиммер) вставляется в приемный слот (кардридер) с помощью пластиковой опоры, имеющей такие же размеры, как у обычной банковской карты. После его размещения пластиковая опора извлекается, вследствие чего при поверхностном осмотре терминала ничего подозрительного не видно, хотя в принципе подложку шиммера можно увидеть как очень тонкую полоску; иногда на терминале остаются царапины или следы клея, но многие ли клиенты обращают внимание на такие «мелочи»? Похищенные данные передаются преступнику, находящемуся в зоне распространения радиосигнала с приемно-записывающим устройством, поэтому он может не «дежурить» около «заряженного» объекта атаки.
71
От англ, shim — тонкая прокладка, прослойка.
Наконец, возможно, наиболее серьезной проблемой современности, которая связана со всеобщей компьютеризацией, стало шпионское программное обеспечение (SpyWare). Оно ориентировано на поиск и хищение персональной информации пользователей, начиная с их веб-серфинга и заканчивая паролями и банковскими счетами. В отсутствие должных мер обеспечения информационной безопасности персональная информация похищается незаметно для пользователя, даже если никаких внешних изменений в работе его компьютера может не быть (хотя отдельные признаки таких изменений иногда все же бывают заметны). Поэтому необходимо, в частности, объяснять клиентам ДБО, что не следует путать SpyWare с компьютерными вирусами. Программы антивирусной защиты не выявляют шпионские программы, поскольку это совершенно иной вид угроз, реализуемых через недостатки в системном программном обеспечении (например, операционных системах
72
Автоматическая переориентация клиента, который намерен зайти на официальный веб-сайт кредитной организации, с помощью атаки на сервер доменных имен или веб-сайты, которые посещают клиенты; в этом случае активно атакуются автоматизированные системы провайдеров.
Дополнительным стимулом для быстрого расширения комбинированных атак через виртуальное пространство на клиентов ДБО кредитных организаций за последние два года стало повсеместное распространение смартфонов и компьютерных планшетов, оснащенных мобильными клиентскими компонентами ДБО. Открытость таких операционных систем, как Android, наряду со встроенными возможностями управления информационной безопасностью непосредственно клиентами-пользователями, сформировали дополнительную почву для компьютерных сетевых мошенничеств. Приемы здесь используются те же самые, что и в отношении клиентов интернет-банкинга, тем не менее клиенты охотно покупаются на обещания выигрышей или подарков, расставаясь с данными своей персональной идентификации, «впускают» в свои портативные устройства программы-трояны [73] и другое SpyWare, вынуждая банки проводить все новые расследования и в ряде случаев компенсировать потери. Однако везет таким образом далеко не всем клиентам, так что суммарный счет потерь, связанных с этой частью киберпространства, тоже идет уже на сотни миллионов долларов (по данным СМИ).
73
Trojan — от «троянского коня» из мифов Древней Греции.
Наблюдаемый в современном мире массовый характер мошенничеств такого рода должен был бы, по идее, подталкивать руководство банков к активизации разъяснительно-предупредительной работы с клиентами ДБО, что, естественно, затруднительно при массовом обслуживании, когда счет числа клиентов идет на сотни тысяч и миллионы. Тем не менее это представляется в любом случае желательным, если банки не намерены наращивать свои затраты на судебные издержки, компенсационные выплаты и вообще расходовать свои ресурсы на разбор конфликтных ситуаций с клиентами и контрагентами. В итоге данная проблематика оказывается тесно связанной с недостатками в организации и осуществлении договорной работы с клиентами ДБО и оформлении контрактов с провайдерами, от которых оказывается зависимой надежность банковской деятельности.
Впрочем, самих клиентов ДБО это беспокоит нечасто, потому что интерес к содержанию договорных документов на ДБО проявляет не более 25 % клиентов банков, о чем свидетельствуют опросы населения. В этом проявляется невысокая правовая культура и сохранившиеся до сих пор у значительной части населения надежды на «государство, которое всегда защитит», и эту ситуацию банкам следовало бы учитывать, детально разъясняя клиентам ДБО содержание подписываемых ими договорных документов и те гарантии, которые им предоставляются (или не предоставляются). Причем желательно также убеждаться в том, что клиент правильно понял содержание договора, особенно если в нем активно используется специальная терминология из математического аппарата теории кодирования.
Банк России давно уже обратил внимание на рассматриваемые проблемы и инициировал разработку целого ряда рекомендаций для кредитных организаций (законодательные ограничения не позволяют, к сожалению, разрабатывать нормативные правовые документы, ориентированные на повышение эффективности и надежности применения ИТ и организации ДБО), имея в виду в том числе их работу с клиентурой. В качестве некоторых примеров таких документов [74] можно упомянуть следующие письма Банка России:
74
Разработка таких «предупреждений» продолжается и в настоящее время.
— от 07.12.2007 № 197-Т «О рисках при дистанционном банковском обслуживании»;
— от 31.03.2008 № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга» (далее — 36-Т);
— от 30.01.2009 № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга»;
— от 02.10.2009 № 120-Т «О памятке “О мерах безопасного использования банковских карт”»;