Вячеслав Касимов о видах мошенничества и безопасных покупках в интернете

ЭкспертРепортаж

«Они не верили звонкам из банка»

Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов — о различных видах мошенничества, о надежности банковской инфраструктуры для удаленки и о безопасных покупках в интернете. 

Евгений Огородников

Директор департамента информационной безопасности МКБ Вячеслав Касимов. Предоставлено пресс-службой МКБ

Режим самоизоляции заставил весь мир перейти не только на онлайн-работу, но и на онлайн-покупки. Однако рост числа онлайн-трансакций — это не только нагрузка на банковскую инфраструктуру, но и возможности, которыми могут воспользоваться мошенники для кражи данных и средств. Об основных правилах цифровой безопасности, о том, как свести к минимуму риски кражи ваших денег с банковских счетов, а также о том, как выстроена в МКБ защита против фишеров, хакеров и других нечистых на руку деятелей, «Эксперту» рассказал директор департамента информационной безопасности банка Вячеслав Касимов.

— Статистика краж с банковских карт разнится. У Центробанка одни цифры, у МВД — другие, в два раза большие. Кому верить?

— Банк России основывается на отчетности, которую представляют банки, регулятор также самостоятельно оценивает рынок. Статистика МВД основана на заявлениях, которые подают граждане. Источники у ведомств разные, можно даже сказать, что обращения зачастую поступают на разных этапах. Для пользователей передать информацию в ЦБ просто: есть форма на сайте, это удобный способ. Подача заявления в полицию происходит по другому алгоритму.

Регулятора интересуют компьютерные атаки. Поэтому сравнение статистики не вполне корректно, так как в ее основе разные данные и разные механики. Необходимо учитывать и механику реализации потенциального вреда.

Социальная инженерия и фишинговые кражи, которые рассматривает МВД, — атаки иного рода. Они не парализуют весь банк, но этот «сегмент» мошенничества растет, «конкурирует» с компьютерными за счет частоты атак и их количества. Напомню, социальная инженерия — мошенничество, основанное на прямом контакте с клиентом и выманивании у него данных; контакт, например телефонный.

— То есть фишинговых краж средств в разы больше, чем краж с участием хакеров и компьютерных атак?

— Да, перелома тренда, к сожалению, не видно. Если сравнивать с классической преступностью, хакерская атака похожа на искусного карманника где-нибудь в трамвае: бумажник аккуратно достал, и никто ничего не заметил. Фишинг же — это прийти домой к бабушке и продать ей чудо препарат от радикулита, коронавируса и проказы.

Не уменьшая опасности компьютерных атак, необходимо помнить, что половина всего объема мошеннических действий по отношению к клиентам банков на рынке — инциденты социальной инженерии. Остальное делят «физики» и «юрики», когда у них воруют с использованием подложных программ или через доступ к их компьютерам, используемым для работы с системами дистанционного банковского обслуживания.

— Если произошла кража денег со счета, чьи это убытки — клиента или банка?

— Если брать чисто юридическую сторону вопроса, в случае социальной инженерии клиент своими руками что-то сделал и отправил свои деньги куда-то. Бывают случаи, показывающие, насколько «проработаны» мошенниками клиенты: они не верили звонкам из банка, когда мониторинг пытается остановить трансакцию, понимая, что происходит что-то плохое.

Тем не менее основа взаимодействия между клиентом и банком — это договорные отношения. В них всегда определено: для того чтобы появился перевод, клиент сам, своими руками должен заполнить поручение.

— А если взломано устройство у клиента?

— Ответственность за состояние и безопасность устройства, используемого для дистанционного банковского обслуживания, всегда лежит на клиенте. Потому что, как бы банк ни выстраивал свою инфраструктуру, он никогда не сможет гарантировать безопасность клиентского компьютера или смартфона. Допустим, у клиента заражено устройство и там есть вирус. Этот вирус может подменять отправляемые клиентом платежи. Поэтому недооценивать необходимость соблюдения цифровой гигиены нельзя. С точки зрения возврата средств это решение уже отдельно взятой кредитной организации.

Но есть и обратная ситуация: когда происходит атака на банк и хакеры находят уязвимость в системах дистанционного банковского обслуживания, которая позволяет злоумышленникам вообще без всякого участия клиента отправлять платежи, то здесь, конечно, вина банка. И банк должен возвращать денежные средства клиенту. Потому что ошибка на его стороне.

Но если используется массовый взлом, значит, возникает большое количество клиентов, которые жалуются в банк о незаконном списании. Представим себе, что банк оказался нечестным и говорит клиентам: «Это ваша вина». В итоге это выплескивается в интернет, а учитывая количество пострадавших людей, дело получает резонанс. После этого банк под нажимом клиентов или ЦБ не только возвращает деньги, но и теряет репутацию. Альтернатива — признались, «Вина наша, деньги — ваши».

Поэтому совершенствовать банковскую защиту не только правильно и разумно, но и в конечном счете выгодно.

И именно поэтому социальная регуляция выходит на первый план. Маловероятно, что банк будет пытаться скрыть факт взлома за счет клиентов. Мне такие прецеденты неизвестны. Прецеденты, когда ломали банки, — известны. Прецеденты, когда банки пытались перевесить на клиентов свои потери, — нет, не знаю.

Храните данные

— Есть проблема кражи данных банковских карт. Специалисты признают, что, если есть хранилище, из него, естественно, возможна утечка. Как банки хранят эти данные?

— Это двоякая история. Источником утечки может быть как банк, так и сторонняя организация, например интернет-магазин. И утечка данных с куда большей вероятностью происходит из интернет-магазинов. Когда клиент делает покупку через интернет, он вводит данные карты и они вполне легитимным образом попадают в интернет-магазин, чтобы он, в свою очередь, мог отправить трансакцию в банк.

Такие данные могут накапливаться в магазинах. Например, чтобы при очередной покупке не вводить номер карты, потому что так удобно. Если злоумышленник получает доступ к интернет-магазину, он может получить доступ к этим данным и пользоваться ими как угодно.

Отрицать не буду, такая угроза есть, и клиенты могут потерять деньги. Но обычно такие ворованные базы быстро устаревают и теряют актуальность, так как и международные платежные системы, и банки очень быстро замечают аномалии и закрывают возможности для таких мошенников

— Как может клиент предотвратить утечку данных банковской карты?

— Самое правильное для защиты своих средств — завести отдельную карту для покупок в интернет-магазинах и переводить туда нужную сумму, необходимую для покупки. Как правило, банки позволяют выпустить бесплатную виртуальную карту. В итоге риски, что хоть сколько-нибудь украдут, будут минимальны. В крайнем случае украдут какой-нибудь небольшой остаток по этой карте.

— Почему вы считаете, что банки менее подвержены утечкам?

— Во-первых, у всех банков есть жесткие требования международных платежных систем. Выполнение этих требований ежегодно аудируются, а инфраструктура тестируется, когда эмулируется работа, по сути, хакера, который может что-то украсть.

Во-вторых, априори банки тратят больше ресурсов на защиту данных, чем интернет-магазины. Поэтому если утечки случаются, в основном это происходит на стороне мерчантов, а не на стороне банков.

— Что делает банк, чтобы предотвратить утечки?

Мы выстроили внутреннюю систему аудита, которая следит за тем, кто получал доступ, в какой момент и к каким именно данным. Если сотрудник получил доступ и что-то куда-то себе скопировал, то все это автоматически детектируется и предотвращается. Для этого используется DLPсистема (Data Link Prevention — предотвращение утечки данных. — «Эксперт»).

Такая система постоянно развивается. Например, последние дополнения: если доступ к базе происходит в какое-то неожиданное время и или с неожиданной частотой — запрашивается не один клиент, как обычно, а пятнадцать клиентов подряд, — то мы начинаем это расследовать.

Предусмотреть все возможные виды атак нельзя, но ведется постоянная работа, направленная на выявление необычного, аномального или просто несвойственного. Правильный мониторинг должен основываться на подобных статистических вещах.

Спецоперация «Удаленка»

— Не повысилась ли уязвимость инфраструктуры банка с переводом работников на удаленную работу?

— Для любого IT-подразделения перевод работников на удаленку — это настоящая спецоперация. Мы перевели на удаленную работу около 80 процентов сотрудников из числа тех, кого в принципе возможно было перевести. Нагрузка, естественно, сильно выросла. То есть было необходимо за считанные дни масштабировать инфраструктуру для удаленного доступа.

Еще одна проблема, которую учитывают не все, — сервис удаленного доступа работников становится критически важным, от него сильно зависит работоспособность организации в целом. И не нужно забывать, например, про защиту от DDoS-атак.

Самое страшное при организации удаленного доступа — логистика. Всем пользователям при использовании стандартного подхода обычно нужно что-то выдать, например доставить USB-токен. Но мы эту проблему решили уже достаточно давно. И концептуально выбрали для себя путь отказа от логистических проблем. То есть физически мы нашим работникам ничего не доставляли. Для идентификации у нас используются одноразовые пароли, а их генератор стоит на смартфоне.

Когда наступила коронавирусная пора, еще до того, как был объявлен режим самоизоляции, банк заранее смог очень быстро львиную долю своих сотрудников перевести на удаленный режим. Мы действовали на опережение. В нашей концепции пользователю, по сути, выдается экран, и он может делать то же самое, что делает в офисе, но что-то скопировать на свой личный компьютер он не может. Это принципиальный момент, так как часть компьютеров были оперативно закуплены, а часть людей работает на домашних компьютерах, в которых мы не можем быть вполне уверены, и цена ошибки высока. С учетом высокой скорости перевода, даже с учетом того, что мы ее начали до официальных указаний, это оптимальное с точки зрения удобства и безопасности решение.

— Популярным направлением в области IT-инфраструктуры в последнее время становятся открытые API, когда, используя уже имеющееся ПО банка, различные компании могут создавать свои сервисы, встраивая в их в банковский сервис. Насколько безопасны такие решения для банков и их клиентов?

— Людей пугает терминология, сразу возникают ассоциации с тем, что открытые двери менее безопасны, чем закрытые. Открытые API — это просто некоторая терминология, которая подразумевает, что процедуры доступа упрощены. Хотите с нами взаимодействовать? Вот, пожалуйста, примите описание интерфейса, разработайте программное обеспечение у себя для работы с ним, цепляйтесь к нам, и будем работать в рамках договора. Но это вовсе не означает, что банки, реализующие открытые API, ничего не делают для защищенности. Безусловно, проводят и проверку партнеров, и заключенных договоров, и тестируют сами сервисы, предоставляемые партнерам, анализируют их на наличие уязвимостей. В случае, если эти уязвимости есть, то их устраняют перед тем, как запускать сервис или вносить в него изменения.

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Новые войны памяти Новые войны памяти

Европа пытается принизить роль СССР во Второй мировой войне

Эксперт
14 киноляпов из голливудских блокбастеров 14 киноляпов из голливудских блокбастеров

Ляпы в известных голливудских фильмах

Maxim
Солнце снижает активность Солнце снижает активность

Ближайшие 11 лет пройдут при еще более низкой солнечной активности, чем раньше

Эксперт
Приснился будущий сын - удивительная судьба Натальи Белохвостиковой Приснился будущий сын - удивительная судьба Натальи Белохвостиковой

Её благородную красоту зрители впервые увидели на экране в картине «У озера»

Cosmopolitan
«Остров дядюшки Сэма» «Остров дядюшки Сэма»

Слава Алькатраса вышла далеко за пределы США

Дилетант
Банки начали снижать стоимость обмена валюты после девальвации Банки начали снижать стоимость обмена валюты после девальвации

После девальвации рубля несколько банков улучшили условия по конвертации валют

Forbes
Молодым ученым в России комфортнее Молодым ученым в России комфортнее

Евгений Хайдуков — о том, как сейчас работается молодым ученым в стране

Эксперт
Звезда родилась Звезда родилась

Тима Белорусских и его продюсер о том, как становятся популярными музыкантами

Cosmopolitan
Последователи Кондо: сколько зарабатывают российские консультанты по порядку Последователи Кондо: сколько зарабатывают российские консультанты по порядку

За чем обращаются к организаторам пространства, что ожидать от консультации

VC.RU
Что, если бы Ан-225 “Мрия” был пассажирским: A380 на зависть Что, если бы Ан-225 “Мрия” был пассажирским: A380 на зависть

Ан-225 “Мрия” - самый большой и грузоподъемный самолет в мире

Популярная механика
В России открыли новый способ поиска сверхпроводников В России открыли новый способ поиска сверхпроводников

Положение элемента в Периодической таблице связано со сверхпроводниками

Популярная механика
Россия минус нефть. Что в итоге останется? Россия минус нефть. Что в итоге останется?

Неудачная попытка остановить обвал цен на нефть

СНОБ
Татьяна Колганова: «Я — персонаж мультфильма «Пластилиновая ворона» Татьяна Колганова: «Я — персонаж мультфильма «Пластилиновая ворона»

Интервью с актрисой Татьяной Колгановой

Караван историй
«Мы думали, что это всё чепуха»: как выживает в кризис русский малый бизнес за границей «Мы думали, что это всё чепуха»: как выживает в кризис русский малый бизнес за границей

Как владельцы малого бизнеса за границей выживают в условиях жесткого карантина

Forbes
Лучшие песни про апокалипсис и конец света (плейлист) Лучшие песни про апокалипсис и конец света (плейлист)

Написание песен про окончательный конец всегда было особенным видом искусства

Maxim
Властелин земли: самый тяжелый бульдозер Властелин земли: самый тяжелый бульдозер

"Четра" Т40 — самый тяжелый, серийно выпускаемый в России, гусеничный трактор

Популярная механика
С винтовкой и алебардой: насколько грозна швейцарская армия С винтовкой и алебардой: насколько грозна швейцарская армия

Слова «Швейцария» и «нейтралитет» звучат почти как синонимы

Популярная механика
Фото, наркотики, рок-н-ролл: каким вышел документальный фильм о Джиме Маршалле — фотографе Джимми Моррисона, Джонни Кэша и не только Фото, наркотики, рок-н-ролл: каким вышел документальный фильм о Джиме Маршалле — фотографе Джимми Моррисона, Джонни Кэша и не только

Фильм о фотографе, которому удалось сделать удивительные снимки рок-звезд 1960-х

Esquire
От робота до утюга: 5 самых странных высотных здания мира От робота до утюга: 5 самых странных высотных здания мира

Что будет, если к Останкинской башне прикрутить пару высотных зданий

Популярная механика
Дальнозоркость и близорукость: отличие двух проблем со зрением простыми словами Дальнозоркость и близорукость: отличие двух проблем со зрением простыми словами

Чем отличается близорукость от дальнозоркости?

Playboy
Главный редактор издательства БОМБОРА Рамиль Фасхутдинов: Мы стоим перед угрозой потери всего книжного рынка Главный редактор издательства БОМБОРА Рамиль Фасхутдинов: Мы стоим перед угрозой потери всего книжного рынка

Что происходит на книжном рынке и как выживают книжные магазины

СНОБ
В России создали нанопокрытие, защищающее от коррозии В России создали нанопокрытие, защищающее от коррозии

Создана технология, защищающая инструменты от действия коррозии, ударов и тепла

Популярная механика
Полезные эко-привычки, которые изменят мир и помогут сэкономить деньги Полезные эко-привычки, которые изменят мир и помогут сэкономить деньги

Рассказываем, какие эко-привычки точно стоит внедрить в свою жизнь

Cosmopolitan
Нобель Арустамян: «Мы можем потерять футбол, к которому привыкли» Нобель Арустамян: «Мы можем потерять футбол, к которому привыкли»

Нобель Арустамян об ужине с Марадоной, о любви к Италии и будущем футбола

GQ
Есть как минимум три причины посмотреть «Тайлер Рейк» Есть как минимум три причины посмотреть «Тайлер Рейк»

Почему стоит посмотреть «Тайлер Рейк» на Netflix

GQ
Уроки химии Уроки химии

Так ли вредны парабены, сульфаты и силиконы?

Лиза
Лет ми спик фром май харт! Лет ми спик фром май харт!

Интервью с Екатериной Смольниковой о ее коллекции и духовных поисках

Собака.ru
Три способа купить счастье — за деньги и без Три способа купить счастье — за деньги и без

Как правильно распорядиться деньгами, чтобы почувствовать себя лучше?

Psychologies
Не только ретроградный: что о тебе может рассказать твой Меркурий? Не только ретроградный: что о тебе может рассказать твой Меркурий?

В каком знаке зодиака твой Меркурий и как это можно использовать во благо

Cosmopolitan
Летучие мыши ни при чем: в Китае нашли нулевую пациентку, с которой началась эпидемия Летучие мыши ни при чем: в Китае нашли нулевую пациентку, с которой началась эпидемия

Расследование пути передачи инфекции в Китае привело к женщине

Домашний Очаг
Открыть в приложении