Как обезопасить платежи в интернете

Насколько тот или иной банк страдает от мошенничества, зависит от различных факторов: от общего количества клиентов банка до уровня защищенности его систем ДБО. С уверенность можно сказать одно – сегодня просто не существует банков, которые никогда бы не сталкивались с актами мошенничества в процессе своей деятельности.

Мошенничеством признается хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием (статья 159 Уголовного кодекса Российской Федерации). Согласно постановлению Пленума Верховного суда Российской Федерации от 27 декабря 2007 года №51, мошенничеством признается обращение лицом в свою пользу или в пользу других лиц денежных средств, находящихся на счетах в банках, совершенное с корыстной целью путем обмана или злоупотребления доверием. Мошенник при совершении киберпреступления, обманывая свою жертву, получает ее логины, пароли и закрытые ключи, а затем от ее лица совершает денежные операции в свою пользу. После того как счетчик финансовых средств пользователя банковской карты упадет до нуля, делая карточку бесценным куском пластика, преступление можно считать завершенным.

Для того чтобы начать расследование киберпреступления материалы доследственной проверки по обращению пострадавшего в правоохранительные органы должны быть переданы в территориальное подразделение, по месту которого произошло получение преступником незаконно нажитых финансовых средств.

Чтобы не привлекать к себе внимания, преступники все чаще стали выводить финансовые средства по частям, а не сразу всю сумму целиком. Причиной данного поведения стало внедрение в ведущих российских банках в 2010-2011 годах систем мониторинга подозрительных операций в ДБО, а также введение лимитов на дневные и единовременные переводы. Такой тип мошеннического поведения создает проблемы правоохранительным органам при проведении расследования, так как усложняет определение места окончания преступления, увеличивая время, затраченное на передачу материалов из одного подразделения МВД в другое.

В 2010 году похищенные злоумышленниками средства «задерживались» на безналичных транзитных и конечных счетах на 18-24 часов, в 2011 – до 12 – 18 часов, сегодня некоторые эксперты утверждают, что это время не превышает 4-8 часов. Поэтому даже незначительное промедление со стороны жертвы или банка с оформлением обращения в правоохранительные органы, приведет к тому, что деньги будут обналичены преступником.

Классическая схема такого преступления состоит из следующих шагов: получение информации для доступа в систему ДБО, осуществление финансовых операций и обналичивание украденных средств. Собственно, поговорим о каждом из этих шагов отдельно.

Этап первый: хищение информации для доступа в систему ДБО

Для доступа к финансовым средствам жертвы мошеннику для начала необходимо узнать ее персональные банковские данные. Зачастую сделать это позволяет вредоносное программное обеспечение, среди которого наиболее популярным сегодня является нашумевший троян Zeus и его разновидности.

Заражение машины жертвы чаще всего происходит при посещении пользователем скомпрометированного веб-сайта, который содержит код. Этот код позволяет определить уязвимости в браузере пользователя и его модулях, а затем загрузить вредоносное программное обеспечение, которое определяет следы работы с системами ДБО или системами электронных платежей. Если же такие следы обнаруживаются, то на компьютер загружаются модули, предназначенные для кражи персональных данных пользователя.

Как только троян собрал необходимую информацию о жертве, он передает ее на контроллер ботнета, где она обрабатывается злоумышленниками. На ботнет-контроллер обычно передаются: пары логин/пароль, ключи ЭП, информация о носителе ключей ЭП (токен, флешка, дискета).

После того, как злоумышленники завладели персональными данными пользователя, им открывается возможность получения доступа к его финансовым средствам.

Этап второй: мошеннические операции

 Однако наличие у мошенника персональных данных жертвы еще не означает, что он без труда сможет осуществлять незаконные финансовые операции от его лица. Препятствием для него становятся средства защиты, применяемые банком и его клиентом. Контроль IP-адресов, наличие токенов или одноразовых паролей создают злоумышленнику ряд проблем на пути к цели. Однако если ключи ЭП хранятся на незащищенном носителе (жестком диске компьютера, флешке, дискете и т.д.), а на ДБО-сервере банка отсутствует контроль IP-адресов клиентов, то злоумышленник может отправить платежное поручение с любого внешнего IP-адреса, что значительно упрощает его задачу.

Однако банковские системы безопасности совершенствуются, как и подходы злоумышленников к их взломам. На каждое банковское нововведение преступник находит «контрмеры»: 

• Использование одноразовых паролей и скретч-карт, собственно как и использование CAPTCHA, можно обойти методами социальной инженерии, а также фишинговыми страницами;
• SMS-информирование можно обойти не только изменением номера для SMS информирования до совершения преступных действий, но и DDoS-атакой на телефон жертвы;
• Поддержку токенов для хранения закрытых ключей и сертификатов обходят с помощью инструментов удаленного администрирования рабочей станции жертвы в ее отсутствие. RDP, VNC, Radmin, TeamViewer – самые популярные из них.

Установка лимитов, использование «черных» и «белых» списков контрагентов на стороне банка, фильтрация на стороне банка обращений клиентов по статистическому IP-адресу: все эти технологии опытные злоумышленники могут обойти. Однако ошибочно думать, что средства, вложенные в обеспечение безопасности со стороны банков, напрасны. Ведь чем больше преград на пути злоумышленника к хищению средств клиента банка, тем сложнее ему с этим справиться.

Этап третий: обналичивание похищенных средств

После того, как мошеннические операции с денежными средствами жертвы завершены, злоумышленник спешит их обналичить. С начала 2011 года возросло количество случаев, когда злоумышленники используют в качестве промежуточных элементов цепи обналичивание транзитных счетов подставных лиц, зарегистрированных в отдаленных городах страны. Часто мошенники дробят похищенные деньги на неравные доли, что позволяет им переводить произвольные суммы на транзитные счета сторонних банков, после чего они стекаются на счет физического лица. Затем эти деньги обналичиваются в ближайшем банкомате. По статистике, на первом этапе мошенники предпочитают вывод средств через счет физических лиц, так как открыть его на подставное лицо просто. Другой вариант – купить контроль над счетом, который потерял свою актуальность для настоящего владельца.

Резюмируя вышесказанное, хотелось бы отметить, что проблем в системах ДБО много, но найти для них одно универсальное и эффективное решение невозможно. Развитие банковских систем безопасности эволюционирует вместе с развитием преступной мысли, а значит попытки злоумышленников «обчистить» карманы невинных клиентов никуда не исчезнут. Количество же хищений денежных средств в банках можно уменьшить, однако для этого потребуется не волшебство, а грамотно разработанный комплекс мер, направленный на защиту клиента. В целом же снизить количество хищений в банковском секторе невозможно, так как система, если верить апологету системного мышления Донелле Медоуз, живет по своим внутренним законам, которые никаким «волевым решением» не изменишь.

Далее читайте:

Киберпреступность: стремительно растущий бизнес