Екатерина Глухарева: «Банки видят уязвимости бизнеса и помогают их исправлять»
По данным Банка России, в прошлом году общий объем хищений на финансовом рынке РФ достиг 15 млрд руб. – и это только та сумма, по которой собственники средств обратились с претензиями. При этом ежегодно отмечается рост как по числу незаконных операций, так и по их объему. Об основных видах атак мошенников на малый бизнес и способах противодействия им рассказала директор по рискам «Точка банк» Екатерина Глухарева.
«Для малых предприятий ресурсы в соцсетях зачастую основной капитал»
– В последние несколько лет статистика Банка России показывает устойчивый рост случаев мошенничества в финансовой сфере. Банки предпринимают значительные усилия для борьбы с этим. А что происходит в нефинансовой сфере, насколько часто подвергаются атакам злоумышленников юридические лица?
– Довольно часто. Хотя корректнее говорить об атаках не на юридических лиц, а на физических лиц, которые имеют отношение к бизнесу. Атакуют всех – учредителей, топ-менеджеров, рядовых работников, пытаются взломать корпоративную почту и добраться до систем управления счетами. В целом методы злоумышленников очень похожи на те, что используются при попытках обмана физических лиц: в первую очередь это социальная инженерия. То есть психологическое воздействие на людей с использованием собранных из открытых источников или украденных баз данных сведений о них и организациях, в которых они работают. Также распространены подмена аккаунтов и фродовые транзакции, которые пытаются совершить с использованием, например, «Госуслуг». И еще из трендов – поддельные QR-коды, когда человек оплачивает услугу, а деньги уходят не продавцу, а на счет мошенника, подменившего код.
– Как это выглядит с точки зрения организации коммуникации?
– Технологически чаще всего это звонки и сообщения по электронной почте, sms либо в мессенджерах. В последнее время также стали распространены аудио- и даже визуальные дипфейки – когда звонит как будто реальный человек, например начальник, и просит совершить определенные действия. Например, напомнить пароль, перевести деньги на определенный счет, предоставить какую-либо документацию или инсайдерскую информацию и т. п. Все это позволяет, например, похитить средства компании или увести у нее клиентов.
– Фиксируете ли вы рост числа подобных инцидентов?
– Да, в плане динамики, как и в случае с попытками обмана физических лиц, количество атак на организации растет. Причина банальна: мошенничество – это бизнес, причем легко масштабируемый. И с очень низким порогом входа, поскольку социальная инженерия очень дешева в построении схем и достаточно легко найти людей, которые будут непосредственными исполнителями, скажем сотрудниками колл-центра, если уместно так называть подобную структуру.
– Насколько успешны подобные атаки?
– Если говорить о проценте успешных афер, он не особо велик – меньше, чем в сегменте физлиц. Во многом это связано с особенностью социальных страт. Сотрудники и учредители компаний все же обычно более финансово грамотны. Проблема, однако, в другом. Во-первых, даже если вы умеете отличать фейки и выявлять неадекватные сообщения, отсеивать спам, это все равно трудозатраты. И, как следствие, снижение эффективности: сотрудники компании должны исполнять свои обязанности, а не тратить время на вопросы информбезопасности.
Во-вторых, если говорить о потенциальном размере ущерба, для малых предприятий и индивидуальных предпринимателей подобные атаки порой бывают фатальными. Это как игра в русскую рулетку. Если в барабане вашего револьвера тысяча мест для патронов, а патрон вставлен только один, кажется, что риск невысок. Но если этот патрон выстрелит – ситуация необратима.