Фотоны против мошенников
Будущее защиты данных и денег — за квантовыми методами и поведенческим анализом. Но и сейчас, даже если ваши данные оказались «слиты» банком, бдительность защитит вас от потерь.
Не проходит и недели, чтобы в СМИ не появилось сообщения о мошенничестве, в результате которого люди лишились денег со своего счета в банке, с банковской карты или из электронного кошелька. Чаще всего основную роль в этом процессе играет так называемая социальная инженерия, а технические методы взлома вторичны. Часто они применяются, если вообще применяются, только на одном из этапов мошенничества. Потеря банками наших данных для доступа к совершению транзакций, то есть нашего логина и пароля, чрезвычайно редкое явление. А вот утечки персональных данных — наших паспортных данных, номера счета или карты, номера транзакций и счетов, СНИЛС и прочего — случаются.
Все, что может быть использовано
Сейчас для большинства людей уже очевидно, что потеря персональных данных — это не только утрата конфиденциальности личной жизни, но и облегчение жизни мошенникам, применяющим методы социальной инженерии. Чем больше мошенник о вас знает, тем проще ему сфабриковать ситуацию, в которую вы поверите. «Перефразируя американских стражей порядка, можно с уверенностью утверждать, что “все ваши данные в случае утечки будут использованы против вас”, — рассказывает технический директор Qrator Labs Артем Гавриченков. — Единственным препятствием к этому является физическая невозможность использования каких-то данных в пользу злоумышленника». Поясним: банки хранят наши паспортные данные, но это не настолько опасно с финансовой точки зрения, как кажется. Ведь практически для всех юридически значимых операций, где используется наш паспорт, требуется его оригинал и личное присутствие владельца. Лазейки появляются — например, нашумевшая недавно серия сделок с квартирами с поддельными электронно-цифровыми подписями: в прошлом году был зафиксирован первый случай в России кражи квартиры с помощью сфальсифицированной электронной цифровой подписи (ЭЦП). Москвич Роман обнаружил, что в очередной квитанции за коммунальные услуги у его квартиры на Тверской улице указан уже новый владелец. После обращения в Росреестр выяснилось, что злоумышленники дистанционно подарили квартиру некоему жителю Уфы, подписав электронные документы ЭЦП. Роман же никогда ЭЦП не оформлял.
«Довольно опасным и актуальным в последнее время становится вектор с незаконным получением квалифицированной электронной подписи, которую можно использовать для получения ряда госуслуг, включая подписание договора купли-продажи или дарения квартиры без ведома собственника, — говорит директор FBK CyberSecurity Александр Черненко. — Помимо этого встречаются и более экзотические сценарии, когда целью злоумышленников становится получение доступа к разнообразным сервисам, не только финансовым, где удаленная идентификация часто проводится по дате рождения и паспортным данным, а не по кодовому слову». Речь идет о соцсетях, бонусных программах, платных онлайн-сервисах, в том числе игровых. Недавно в СМИ был описан случай взлома аккаунта в каршеринге — злоумышленник арендовал дорогую машину, а заплатил за это владелец аккаунта.
К счастью, количество персональных данных пользователей, доступных банкам, пока не слишком велико, однако банки довольно много знают о предпочтениях своих клиентов — чем эти люди живут, как ведут свой бизнес, сколько получают и тратят денег. «Так, банк точно знает уровень дохода пользователя, поскольку все поступления на зарплатную карту четко фиксируются в истории движения денежных средств. Помимо этого финансовые организации хранят историю покупок и транзакций по карте, поскольку на сегодняшний день большинство людей расплачивается везде, как правило, пластиковой картой», — напоминает Артем Гавриченков.
Согласитесь, одно дело, когда вам на телефон приходит звонок с незнакомого номера и человек представляется сотрудником банка, в котором у вас даже нет счета. И совсем другое, когда он не только «угадал» банк, но и знает ваши личные данные, в каком отделении у вас открыт счет, ваши последние операции и так далее. «Чтобы войти в доверие к жертве, злодеи меньше спрашивают, а больше говорят сами — дают реальную информацию о клиенте: ФИО, паспортные данные, номер карты и даже остаток на счете», — добавляет заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин.
Из последних новинок в сфере мошенничества можно упомянуть использование программ для удаленного управления, таких как Team Viewer. Многие в крупных компаниях сталкивались с такими программами, когда айтишники компании удаленно решали возникшую у них на рабочем компьютере проблему. Мошенник с помощью методов социальной инженерии убеждает пользователя установить такую программу к себе на телефон, а потом дать к ней доступ. Это чрезвычайно опасная ситуация для жертвы, так как мошенник может совершать любые действия, и они будут выглядеть как действия владельца телефона. Более того, доказать что-то в суде будет очень сложно. Раньше похожие программы применялись для взлома компьютеров, но тогда это делалось без применения методов социальной инженерии.
Человеческий фактор
По данным ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) Банка России, в 2018 году 97% несанкционированных операций с использованием платежных карт было совершено с использованием методов социальной инженерии и только два процента — с помощью применения вредоносного кода. Впрочем, объем несанкционированных операций составил в 2018 году всего 0,0018% (в 2017-м — 0,0016%) от общего объема операций. Показатель несанкционированных операций, осуществленных в магазинах и через банкоматы, в 2018 году составил 307,0 млн рублей, что на 31,9% больше аналогичного показателя в 2017 году. Показатель объема несанкционированных операций без предъявления карты вырос на 48,3% в 2018 году, достигнув 1077,5 млн рублей. Однако это чисто технические данные. Они говорят, скорее, о росте охвата населения России безналичным обслуживанием и дистанционными услугами.
Ситуация с личными данными понятна, их основная опасность — использование в социальной инженерии, но есть ведь и другие типы данных. «Первый тип — данные о движениях денежных средств. Для физических лиц в случае утечки будет нарушена конфиденциальность личной жизни субъекта. Для коммерческих компаний может произойти раскрытие деталей их хозяйственной деятельности, что даст преимущество конкурентам. Для государственных ведомств, в особенности в части платежей по секретным статьям бюджета, утечка может привести к нарушению государственной тайны и, в самом тяжелом случае, угрозе национальной безопасности», — рассказывает старший менеджер по развитию бизнеса компании QRate Олег Гурин.
Второй тип — аутентификационные данные клиентов, те самые логины и пароли. Тут все ясно: завладев ими, злоумышленник сможет осуществлять финансовые операции от лица клиента. Третий тип — ключи шифрования. Вот здесь могут быть самые тяжелые последствия, так как будет скомпрометирован инфраструктурный уровень банка, то есть злоумышленник получит доступ ко всем внутренним операциям банка, а значит, и к клиентским счетам. Хуже того, действия такого злоумышленника могут долго оставаться незамеченными.
Как данные могут «утекать» из банков? По словам Сергея Никитина, «слив» базы данных клиентов или продажа в третьи руки может быть следствием как целевой атаки на инфраструктуру компании, так и утечки. «В России базы данных клиентов часто утекают в результате действий инсайдеров, то есть самих операторов данных. Инсайд и утечки — это весьма опасные и действенные инструменты, которые используют киберпреступники для подготовки и проведения атак. Как правило, эти данные также можно приобрести в андеграунде, на хакерских форумах, заказать такой “пробив” в телеграм-каналах и так далее. Бывает, что и сами пользователи оставляют слишком много следов в интернете, например сканы паспорта или банковской карты. В большинстве случаев утекает та информация, которую пользователи сами охотно о себе распространяют в интернете (номера телефонов, адреса электронной почты, логины или имена пользователей). Куда опаснее, когда в руки злоумышленников попадает информация в виде номеров банковских карт, сканов ID, паспортов или страховых полисов», — заключает Сергей Никитин.
Возникает закономерный вопрос: как защитить свои личные данные? Иногда можно даже услышать предложения переходить обратно на бумажный документооборот. Впрочем, помимо того что это создаст серьезные неудобства для всех участников процесса, включая нас самих, замедлит проведение транзакций, самое главное, это не гарантирует, что риски потери денег снизятся. Да, это снизит большую часть киберугроз, но мошенники существовали еще до изобретения компьютеров и даже телефонов, а бумажные документы подделывают столько же, сколько существует бумага.
Наши данные не в нашей власти
На самом деле, когда наши данные уже хранятся в финансовой организации, сам человек может сделать не так много. «Повлиять на вероятность утечки персональных данных из финансовой организации вряд ли удастся, поэтому следует обращать больше внимания на дополнительные меры безопасности. Там, где это возможно, следует использовать двухфакторную аутентификацию, лимиты, ограничение операций без личного присутствия и прочее, — перечисляет Александр Черненко. — Хорошей практикой также является периодический контроль своей кредитной истории, реестра должников ФССП, перечня оказанных медицинских услуг и так далее — иногда это помогает если не предотвратить, то своевременно выявить мошенничество с персональными данными и отреагировать на него».
Олег Гурин добавляет, что нужно аккуратно выбирать банк, смотреть в открытых источниках, какие инциденты в сфере безопасности были у него в прошлом и как он на них отреагировал. По его мнению, нужно также обращать внимание на детали: например, с какого адреса пришло SMS или не выглядит ли картоприемник на банкомате странно. Неплохой совет дает руководитель направления по развитию продуктов Group-IB Павел Крылов: он рекомендует уточнить, что будет делать ваш банк в случае перевыпуска сим-карты — приостановит отправку кодов подтверждения или не обратит внимания (второй вариант открывает возможности для хищения средств с помощью сим-свопинга — см. «Ключ к чужим деньгам», «Эксперт» № 8 за этот год). Не будет лишним и написать заявление в салоне сотовой связи, запретив перевыпуск сим-карты без вашего личного присутствия.
Самое же главное, как считает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов, — включать скепсис и помнить, что социальная инженерия, применяемая злоумышленниками, работает, потому что она выглядит и звучит достоверно. Если вам кто-то звонит по поводу вашего банковского счета, надо ставить этот звонок под сомнение. Прекращайте разговор и сами перезванивайте в банк по известным вам номерам (не по номеру звонящего!). «Угрозы, что в случае прерывания соединения заблокируется карта или счет клиента, в абсолютном большинстве случаев свидетельствуют о том, что звонит мошенник. Поэтому при любом взаимодействии, в ходе которого затрагиваются какие-либо данные счетов пользователя или его персональные данные, инициатива общения должна исходить исключительно от самого клиента», — добавляет Артем Гавриченков.
Последний, уже традиционный, совет: никогда не сообщайте по телефону пароли/логины от личного кабинета в банке, коды с обратной стороны банковской карты и коды из уведомлений и СМС. Банковские работники никогда этого не спросят. Кодовое же слово у вас могут спросить, только если вы сами звоните в банк, а не когда звонят вам.
Люди — самое уязвимое место в банке
О безопасности заботятся не только рядовые банки, но и Банк России, который занимается надзором за ними. Недавно он выпустил новое положение о безопасности данных. В принципе, в нем нет каких-то особых новых требований. «Данное положение консолидирует в одном документе требования из множества источников. Здесь Банк России ведет себя как ответственный регулятор финансовой отрасли, снимая часть аналитической и юридической нагрузки со своих подопечных, что особенно важно для малых банков, которым тяжело содержать большое подразделение мониторинга соответствия требованиям, — рассказывает Олег Гурин. — В новом положении четко прописана обязанность банков информировать ЦБ об инцидентах и согласовывать публичное раскрытие таких фактов. Уделено также значительное внимание безопасности ключей шифрования, поскольку последствия их компрометации могут быть колоссальными».
Весь вопрос в том, во сколько банкам обойдется безопасность наших данных. В ответ на этот вопрос Александр Черненко говорит: несмотря на то что кредитные организации давно ожидали этих изменений, фактическое соответствие ряду требований, в том числе связанных с сертификацией, потребует от банков миллионов, а в некоторых случаях и десятков миллионов рублей. В свою очередь заместитель генерального директора компании EPAM Артак Оганесян уверен, что крупные банки практически готовы к выполнению всех требований или близки к их покрытию, но оценить стоимость реализации сложно, поскольку надо анализировать комплекс уже внедренных и требующих внедрения средств и мер для каждого банка в отдельности.
Большая часть банков не разрабатывает системы защиты данных самостоятельно, хотя есть и такие банки среди крупнейших. Основная масса приобретает решение у компаний, специализирующихся на защите данных.
Артак Оганесян объясняет, что на сегодняшний день защита данных в банках представляет собой эшелонированный комплекс организационных мер, технических средств и специального программного обеспечения. «Эшелонированный» означает, что каждый уровень защиты делается так, как будто он последний, а если он все же взломан, всегда есть возможность отойти на более глубокие уровни обороны. «Как всегда, наиболее уязвимым местом во всех системах являются люди — сотрудники банка, обладающие административными правами доступа, — рассказывает Артак Оганесян. — Но и здесь, даже если невозможно полностью предотвратить злонамеренные действия, есть механизмы протоколирования для последующего расследования. Кроме того, все больше применяются алгоритмы, в том числе на базе машинного обучения, которые помогают выявить сомнительные и подозрительные отклонения и действия».
Артем Гавриченков согласен с тем, что важны не отдельные решения, а построение эффективных процессов хранения и доступа к данным. Ситуацию с защитой данных он сравнивает с ремнями безопасности в машине. За неиспользование ремней штрафуют уже лет двадцать, и все равно многие люди не пристегиваются сзади. Конечно, за время существования автомобиля человечество придумало подушки безопасности и многие другие системы защиты, но все эти механизмы не работают, если человек не пристегнут ремнем. В данном случае ремнями безопасности является человеческий фактор.
Один из методов борьбы с человеческим фактором в самих финансовых учреждениях, как отмечает Сергей Голованов, — системы, разграничивающие права доступа к информации. Это означает, что сотрудникам банка дают доступ к минимуму информации, и только к той, которая им действительно нужна для операции, причем без возможности ее скопировать.
Можно бороться с человеческим фактором и на стороне клиента. Например, работая над созданием и развитием системы защиты мобильного банкинга, компания Group-IB не только выявляет мобильные трояны, но и анализирует поведение пользователей, чтобы пресечь действия мошенников.
Однако помимо борьбы с человеческим фактором необходимы и традиционные средства защиты. Над ними работает большая часть ИТ-компаний — разработанные ими механизмы защиты встраиваются в определенный потенциально уязвимый процесс. Новое веяние — применение облачной квалифицированной электронной подписи со смартфона (вместо использования СМС-кодов и push-уведомлений) при проведении платежей. Сюда же можно отнести развитие биометрической идентификации в целом и Единую биометрическую систему в частности.
Недавно «Ростелеком» вместе с компанией «Криптософт» завершил тестовые испытания прототипа первого облачного сервиса сверхзащищенных каналов передачи данных с использованием квантового распределения ключей шифрования. Испытания показали высочайший уровень защиты при передаче данных.
В свою очередь, компания QRate совместно с Российским квантовым центром разработала уже упомянутую систему квантового распределения ключей. «Это технически сложное устройство, однако суть его работы довольно проста. На одной стороне генерируется ключ, каждым битом которого кодируется одиночный фотон и отправляется получателю. Фотон — квантовый объект, любая попытка измерения приведет к изменению его состояния, что будет замечено применяемым алгоритмом. Невозможно также “изготовить” точную копию фотона, чтобы осуществить атаку “перехват — перепосыл”. Таким образом, фотоны — это надежные курьеры доставки ключа, с которыми нельзя вступить в сговор или склонить к сотрудничеству иным способом», — объясняет Олег Гурин.
Мир без людей
Напоследок хочется немного заглянуть в будущее и узнать, какими же методами банки собираются защищать наши данные через пять-десять лет. Олег Гурин — сторонник технологий распределенного реестра и блокчейна. «Децентрализованная среда без единой точки отказа позволяет через смарт-контракты предоставлять только те данные, которые необходимы, с надежным логированием операций. Очевидно, что создавать такую систему нужно с заделом в несколько десятилетий, — говорит он. — Существующие платформы используют для подтверждения операций традиционную криптографию, которая может быть уязвима перед лицом мощного квантового компьютера, появление которого прогнозируется через пять-десять лет. И здесь снова могут найти применение методы квантовой криптографии, которые при правильном применении неуязвимы ни перед мощью квантового компьютера, ни какого-либо другого, так как используют фундаментальные свойства материи».
Поскольку скорость выполнения банковских операций сократилась до долей секунды и люди практически полностью выведены из процесса обработки операций, Артак Оганесян видит будущее таким: «Всю работу по выявлению мошенничества, отмыванию денег и других проверок на банковские риски выполняют либо алгоритмы, либо искусственный интеллект. Сбор большего объема данных и построение не просто хранилищ, а реально систем класса “Большие данные” станет тенденцией на ближайшие годы. На базе накопленных данных и машинного обучения будут строиться системы защиты персональных данных. Соответственно, со стороны взломщиков будут попытки проводить ложное обучение движков искусственного интеллекта в банковских системах или искать пути обхода».
Довольно мрачная картина, в которой, казалось бы, нет места человеку. Однако на самом деле на человека завязано все, ведь технические средства всего лишь помогают мошенникам добыть наши личные данные — деньги мы отдаем им сами.
Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl