Вячеслав Касимов о видах мошенничества и безопасных покупках в интернете

ЭкспертРепортаж

«Они не верили звонкам из банка»

Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов — о различных видах мошенничества, о надежности банковской инфраструктуры для удаленки и о безопасных покупках в интернете. 

Евгений Огородников

Директор департамента информационной безопасности МКБ Вячеслав Касимов. Предоставлено пресс-службой МКБ

Режим самоизоляции заставил весь мир перейти не только на онлайн-работу, но и на онлайн-покупки. Однако рост числа онлайн-трансакций — это не только нагрузка на банковскую инфраструктуру, но и возможности, которыми могут воспользоваться мошенники для кражи данных и средств. Об основных правилах цифровой безопасности, о том, как свести к минимуму риски кражи ваших денег с банковских счетов, а также о том, как выстроена в МКБ защита против фишеров, хакеров и других нечистых на руку деятелей, «Эксперту» рассказал директор департамента информационной безопасности банка Вячеслав Касимов.

— Статистика краж с банковских карт разнится. У Центробанка одни цифры, у МВД — другие, в два раза большие. Кому верить?

— Банк России основывается на отчетности, которую представляют банки, регулятор также самостоятельно оценивает рынок. Статистика МВД основана на заявлениях, которые подают граждане. Источники у ведомств разные, можно даже сказать, что обращения зачастую поступают на разных этапах. Для пользователей передать информацию в ЦБ просто: есть форма на сайте, это удобный способ. Подача заявления в полицию происходит по другому алгоритму.

Регулятора интересуют компьютерные атаки. Поэтому сравнение статистики не вполне корректно, так как в ее основе разные данные и разные механики. Необходимо учитывать и механику реализации потенциального вреда.

Социальная инженерия и фишинговые кражи, которые рассматривает МВД, — атаки иного рода. Они не парализуют весь банк, но этот «сегмент» мошенничества растет, «конкурирует» с компьютерными за счет частоты атак и их количества. Напомню, социальная инженерия — мошенничество, основанное на прямом контакте с клиентом и выманивании у него данных; контакт, например телефонный.

— То есть фишинговых краж средств в разы больше, чем краж с участием хакеров и компьютерных атак?

— Да, перелома тренда, к сожалению, не видно. Если сравнивать с классической преступностью, хакерская атака похожа на искусного карманника где-нибудь в трамвае: бумажник аккуратно достал, и никто ничего не заметил. Фишинг же — это прийти домой к бабушке и продать ей чудо препарат от радикулита, коронавируса и проказы.

Не уменьшая опасности компьютерных атак, необходимо помнить, что половина всего объема мошеннических действий по отношению к клиентам банков на рынке — инциденты социальной инженерии. Остальное делят «физики» и «юрики», когда у них воруют с использованием подложных программ или через доступ к их компьютерам, используемым для работы с системами дистанционного банковского обслуживания.

— Если произошла кража денег со счета, чьи это убытки — клиента или банка?

— Если брать чисто юридическую сторону вопроса, в случае социальной инженерии клиент своими руками что-то сделал и отправил свои деньги куда-то. Бывают случаи, показывающие, насколько «проработаны» мошенниками клиенты: они не верили звонкам из банка, когда мониторинг пытается остановить трансакцию, понимая, что происходит что-то плохое.

Тем не менее основа взаимодействия между клиентом и банком — это договорные отношения. В них всегда определено: для того чтобы появился перевод, клиент сам, своими руками должен заполнить поручение.

— А если взломано устройство у клиента?

— Ответственность за состояние и безопасность устройства, используемого для дистанционного банковского обслуживания, всегда лежит на клиенте. Потому что, как бы банк ни выстраивал свою инфраструктуру, он никогда не сможет гарантировать безопасность клиентского компьютера или смартфона. Допустим, у клиента заражено устройство и там есть вирус. Этот вирус может подменять отправляемые клиентом платежи. Поэтому недооценивать необходимость соблюдения цифровой гигиены нельзя. С точки зрения возврата средств это решение уже отдельно взятой кредитной организации.

Но есть и обратная ситуация: когда происходит атака на банк и хакеры находят уязвимость в системах дистанционного банковского обслуживания, которая позволяет злоумышленникам вообще без всякого участия клиента отправлять платежи, то здесь, конечно, вина банка. И банк должен возвращать денежные средства клиенту. Потому что ошибка на его стороне.

Но если используется массовый взлом, значит, возникает большое количество клиентов, которые жалуются в банк о незаконном списании. Представим себе, что банк оказался нечестным и говорит клиентам: «Это ваша вина». В итоге это выплескивается в интернет, а учитывая количество пострадавших людей, дело получает резонанс. После этого банк под нажимом клиентов или ЦБ не только возвращает деньги, но и теряет репутацию. Альтернатива — признались, «Вина наша, деньги — ваши».

Поэтому совершенствовать банковскую защиту не только правильно и разумно, но и в конечном счете выгодно.

И именно поэтому социальная регуляция выходит на первый план. Маловероятно, что банк будет пытаться скрыть факт взлома за счет клиентов. Мне такие прецеденты неизвестны. Прецеденты, когда ломали банки, — известны. Прецеденты, когда банки пытались перевесить на клиентов свои потери, — нет, не знаю.

Храните данные

— Есть проблема кражи данных банковских карт. Специалисты признают, что, если есть хранилище, из него, естественно, возможна утечка. Как банки хранят эти данные?

— Это двоякая история. Источником утечки может быть как банк, так и сторонняя организация, например интернет-магазин. И утечка данных с куда большей вероятностью происходит из интернет-магазинов. Когда клиент делает покупку через интернет, он вводит данные карты и они вполне легитимным образом попадают в интернет-магазин, чтобы он, в свою очередь, мог отправить трансакцию в банк.

Такие данные могут накапливаться в магазинах. Например, чтобы при очередной покупке не вводить номер карты, потому что так удобно. Если злоумышленник получает доступ к интернет-магазину, он может получить доступ к этим данным и пользоваться ими как угодно.

Отрицать не буду, такая угроза есть, и клиенты могут потерять деньги. Но обычно такие ворованные базы быстро устаревают и теряют актуальность, так как и международные платежные системы, и банки очень быстро замечают аномалии и закрывают возможности для таких мошенников

— Как может клиент предотвратить утечку данных банковской карты?

— Самое правильное для защиты своих средств — завести отдельную карту для покупок в интернет-магазинах и переводить туда нужную сумму, необходимую для покупки. Как правило, банки позволяют выпустить бесплатную виртуальную карту. В итоге риски, что хоть сколько-нибудь украдут, будут минимальны. В крайнем случае украдут какой-нибудь небольшой остаток по этой карте.

— Почему вы считаете, что банки менее подвержены утечкам?

— Во-первых, у всех банков есть жесткие требования международных платежных систем. Выполнение этих требований ежегодно аудируются, а инфраструктура тестируется, когда эмулируется работа, по сути, хакера, который может что-то украсть.

Во-вторых, априори банки тратят больше ресурсов на защиту данных, чем интернет-магазины. Поэтому если утечки случаются, в основном это происходит на стороне мерчантов, а не на стороне банков.

— Что делает банк, чтобы предотвратить утечки?

Мы выстроили внутреннюю систему аудита, которая следит за тем, кто получал доступ, в какой момент и к каким именно данным. Если сотрудник получил доступ и что-то куда-то себе скопировал, то все это автоматически детектируется и предотвращается. Для этого используется DLPсистема (Data Link Prevention — предотвращение утечки данных. — «Эксперт»).

Такая система постоянно развивается. Например, последние дополнения: если доступ к базе происходит в какое-то неожиданное время и или с неожиданной частотой — запрашивается не один клиент, как обычно, а пятнадцать клиентов подряд, — то мы начинаем это расследовать.

Предусмотреть все возможные виды атак нельзя, но ведется постоянная работа, направленная на выявление необычного, аномального или просто несвойственного. Правильный мониторинг должен основываться на подобных статистических вещах.

Спецоперация «Удаленка»

— Не повысилась ли уязвимость инфраструктуры банка с переводом работников на удаленную работу?

— Для любого IT-подразделения перевод работников на удаленку — это настоящая спецоперация. Мы перевели на удаленную работу около 80 процентов сотрудников из числа тех, кого в принципе возможно было перевести. Нагрузка, естественно, сильно выросла. То есть было необходимо за считанные дни масштабировать инфраструктуру для удаленного доступа.

Еще одна проблема, которую учитывают не все, — сервис удаленного доступа работников становится критически важным, от него сильно зависит работоспособность организации в целом. И не нужно забывать, например, про защиту от DDoS-атак.

Самое страшное при организации удаленного доступа — логистика. Всем пользователям при использовании стандартного подхода обычно нужно что-то выдать, например доставить USB-токен. Но мы эту проблему решили уже достаточно давно. И концептуально выбрали для себя путь отказа от логистических проблем. То есть физически мы нашим работникам ничего не доставляли. Для идентификации у нас используются одноразовые пароли, а их генератор стоит на смартфоне.

Когда наступила коронавирусная пора, еще до того, как был объявлен режим самоизоляции, банк заранее смог очень быстро львиную долю своих сотрудников перевести на удаленный режим. Мы действовали на опережение. В нашей концепции пользователю, по сути, выдается экран, и он может делать то же самое, что делает в офисе, но что-то скопировать на свой личный компьютер он не может. Это принципиальный момент, так как часть компьютеров были оперативно закуплены, а часть людей работает на домашних компьютерах, в которых мы не можем быть вполне уверены, и цена ошибки высока. С учетом высокой скорости перевода, даже с учетом того, что мы ее начали до официальных указаний, это оптимальное с точки зрения удобства и безопасности решение.

— Популярным направлением в области IT-инфраструктуры в последнее время становятся открытые API, когда, используя уже имеющееся ПО банка, различные компании могут создавать свои сервисы, встраивая в их в банковский сервис. Насколько безопасны такие решения для банков и их клиентов?

— Людей пугает терминология, сразу возникают ассоциации с тем, что открытые двери менее безопасны, чем закрытые. Открытые API — это просто некоторая терминология, которая подразумевает, что процедуры доступа упрощены. Хотите с нами взаимодействовать? Вот, пожалуйста, примите описание интерфейса, разработайте программное обеспечение у себя для работы с ним, цепляйтесь к нам, и будем работать в рамках договора. Но это вовсе не означает, что банки, реализующие открытые API, ничего не делают для защищенности. Безусловно, проводят и проверку партнеров, и заключенных договоров, и тестируют сами сервисы, предоставляемые партнерам, анализируют их на наличие уязвимостей. В случае, если эти уязвимости есть, то их устраняют перед тем, как запускать сервис или вносить в него изменения.

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Где Авель, брат твой? Где Авель, брат твой?

Мы в России чувствуем огромную опасность ревизии истории Второй мировой войны

Эксперт
История в обложках и платьях История в обложках и платьях

Елена Стафьева о выставке «Harper’s Bazaar. Первый журнал мод»

Weekend
Крестовый психоз бедноты Крестовый психоз бедноты

Крестовый поход бедноты запомнился грабежами и массовыми убийствами

Дилетант
«Сейчас у нас есть шанс изменить все», – директор AliExpress Россия о времени глобальных перемен «Сейчас у нас есть шанс изменить все», – директор AliExpress Россия о времени глобальных перемен

Директор AliExpress Лю Вэй о том, как мы будем совершать покупки в будущем

GQ
Авиадвижкам поддали тяги Авиадвижкам поддали тяги

На ПК «Салют» пущен в строй участок по производству деталей авиадвигателей

Эксперт
8 привычных продуктов, которые могут убить (а ты и не знал) 8 привычных продуктов, которые могут убить (а ты и не знал)

Продукты, от которых ты не ждал подвоха

Playboy
Спрос на убийства Спрос на убийства

С середины XVI до конца XVII века в Европе произошла подлинная научная революция

Дилетант
Как Миннесотский эксперимент по голоданию объясняет, почему мы скупаем гречку Как Миннесотский эксперимент по голоданию объясняет, почему мы скупаем гречку

Почему не нужно смеяться над теми, кто делает запасы

Maxim
Как уговорить бренд первой леди США сотрудничать с вашим стартапом Как уговорить бренд первой леди США сотрудничать с вашим стартапом

Будьте настойчивы и прозрачны, и вам откроются двери компаний

Forbes
История джемпера: от формы легкоатлетов и символа студенчества до одежды для любых домашних дел История джемпера: от формы легкоатлетов и символа студенчества до одежды для любых домашних дел

Рассматриваем в деталях классический предмет гардероба, выясняем его особенности

Esquire
Шкала кошачьих гримас показала эффективность в реальном времени Шкала кошачьих гримас показала эффективность в реальном времени

Уровень боли у кошек можно определить по гримасам

N+1
Развод в эпоху карантина Развод в эпоху карантина

Что делать, если карантин застал врасплох в момент развода

Psychologies
Их свела профессия: 10 актрис, которые вышли замуж за режиссеров Их свела профессия: 10 актрис, которые вышли замуж за режиссеров

Эти люди полюбили друг друга благодаря профессии

Cosmopolitan
Абсолютный карантин: зачем нефтяник-миллиардер строит крупнейшую в мире яхту за $350 млн Абсолютный карантин: зачем нефтяник-миллиардер строит крупнейшую в мире яхту за $350 млн

Зачем Кьелль Инге Рекке строит самую большую в мире яхту с вертолетной площадкой

Forbes
Ученые предрекли почти полное летнее таяние морского льда в Арктике к 2050 году Ученые предрекли почти полное летнее таяние морского льда в Арктике к 2050 году

Начиная с 2050 года на Северном полюсе в период летнего таяния не будет льда

N+1
Агата Муцениеце: «Преодолев трудности, можно ощутить счастье в полной мере» Агата Муцениеце: «Преодолев трудности, можно ощутить счастье в полной мере»

Агата Муцениеце рассказала, как проходит её самоизоляция

Здоровье
7 самых интересных фильмов, снятых по видеоиграм 7 самых интересных фильмов, снятых по видеоиграм

Звездные актерские составы, эффектные трюки, юмор и отличные саундтреки

РБК
Инопланетяне среди нас: мог ли Марс быть колыбелью земной жизни Инопланетяне среди нас: мог ли Марс быть колыбелью земной жизни

Гипотезу о том, что жизнь зародилась на Марсе, можно назвать необычной

Популярная механика
Воспитание — это не управление ребенком Воспитание — это не управление ребенком

Воспитывая, вы устанавливаете правила и требуете их соблюдения

Psychologies
Для рывка: все о пользе и вреде пива Для рывка: все о пользе и вреде пива

Чего в пиве хорошего, а чего плохого, и вообще — вредно пиво в итоге или полезно

Популярная механика
10 редчайших моделей АвтоВАЗа 10 редчайших моделей АвтоВАЗа

Об этих моделях АвтоВАЗа вы могли даже и не знать

Популярная механика
Домашняя работа Домашняя работа

Алексей Воробьёв рассказал, как он переживает пандемию в Америке

OK!
Предметы интерьера для тех, кто любит спорт (или хочет делать вид) Предметы интерьера для тех, кто любит спорт (или хочет делать вид)

Внимание: после увиденного даже элитный фитнес-клуб покажется вам клоакой

GQ
5 неочевидных сервисов для работы из дома 5 неочевидных сервисов для работы из дома

Эти сервисы и приложения помогут оптимизировать время и силы

Популярная механика
Все, что вам нужно знать о часовой студии MAD Paris Все, что вам нужно знать о часовой студии MAD Paris

Парижане создают безумно красивые и дорогие кастомные версии люксовых часов

GQ
Петровский пассаж Петровский пассаж

Александр Петров — живой человек, который устает и злится

GQ
Не надо стесняться Не надо стесняться

Кто они? Активистки движения «акне-позитив». Чего они хотят?

Glamour
Все, что вам нужно знать о Фриде Кало Все, что вам нужно знать о Фриде Кало

Яркие свидетельства биографии художницы, которые хранит ее дом-музей в Мехико

GQ
Онлайн-протесты — проявление кризиса коммуникации Онлайн-протесты — проявление кризиса коммуникации

С чем связан рост протестной активности, рассуждает политолог Дмитрий Орешкин

СНОБ
Декоративный кустарник с витаминными плодами Декоративный кустарник с витаминными плодами

Хеномелес японский давно известен многим садоводам под названием «японская айва»

Наука и жизнь
Открыть в приложении