Внешним хакерам будет все сложнее попасть в банк

Внешним хакерам будет все сложнее попасть в банк

С первого января 2022 года Банк России начнет требовать от банков лучше защищать платежи. Вступит в силу Положение 719 П, которое обязывает финансовые организации проходить проверку систем на соответствие определенным требованиям безопасности. На практике это означает сокращение доли хищений, осуществляемых через взлом, c 15% в настоящее время до минимального значения (менее 3%). Большая часть угроз, включая широко обсуждаемую уязвимость Log4Shell, опасную в том числе и для мобильных банковских приложений, потеряет актуальность. Однако, мошенники продолжат атаковать россиян, используя для этого все новые инструменты. Ниже — самые актуальные тренды и знаковые законопроекты в сфере банковской безопасности, которые нас ждут в будущем году.

Прежде всего, об идентификации клиентов банка через Единую биометрическую систему (ЕБС). Облачные решения, межведомственная передача данных и, главное, отсутствие полноценного тестирования содержат в себе немало угроз. Одна из них – создание и использование дипфейков (поддельных фото, аудио и видео) — уже опробована мошенниками в рамках социальной инженерии, но в новом году возможен переход в плоскость списания денег.

Начнется применение качественно новых инструментов по созданию дипфейков. Злоумышленники активизируются, как только появится возможность дистанционной аутентификации по биопризнакам. Тогда банковскую систему ждет наплыв смоделированных голосовых сообщений, созданных в процессе общения с мошенниками по телефону, и синтезированных компьютером изображений конкретных людей (например, по данным из социальных сетей). Видео, аудио и фотографии будут настолько качественными, что подделки не смогут определять даже специальные системы. Мы ожидаем не менее одного процента ложных (в том числе некорректных) срабатываний, и не менее 0.01% мошеннических операций при совершении платежей через ЕБС.

В наступающем году сохранится и большое количество атак с применением социальной инженерии. Сегодня на них приходится не менее 70% всех хищений у физических лиц (в целом, в этом секторе происходит более 90% хищений в стране). На первый план выйдут смешанные атаки (прогнозируем, что они будут занимать более 80% от всех атак с применением социальной инженерии), при которых задействуется несколько каналов взаимодействия с жертвой (например, письмо по электронной почте в сочетании со звонком, опрос в соцсетях в сочетании со звонком, автодозвон плюс СМС полюс сообщения в мессенджерах). Наиболее актуальными останутся атаки, связанные с инструктированием жертвы по телефону. Основа схемы – звонок от официального представителя (в том числе, «робота-дозвонщика») финансовой или другой организации (МВД, ФСБ и т.д.), который начинает общение, вынуждает жертву к действиям. В результате их выполнения со счета (счетов) списываются деньги, в ряде случаев еще берётся кредит. Основная особенность этой схемы – все действия выполняются гражданами добровольно, взлом как таковой отсутствует, а значит, и рассчитывать на возмещение от банка не стоит.

Банк России усилит свою деятельность по борьбе с мошенниками, атакующими финансовые организации. Одна из главных ожидаемых инициатив здесь – создание закона о возмещении банками ущерба, причиненного злоумышленниками. Детали пока неясны, но документ должен быть принят в ближайшие месяцы. Мы ожидаем, что на банки будет частично переложена ответственность за хищения, в том числе материальная. Наверняка будет определена конкретная сумма возмещения или процент, который финансовые организации обяжут выплачивать жертвам. Это может привести к определенным последствиям.

Скорее всего (это зависит от формулировок документа) появятся случаи мошенничества, направленного непосредственно на финансовые организации – когда хищения как такового не было, но клиент будет настаивать на получении компенсации. Вероятно, будет использоваться сценарий, аналогичный тому, что работает со страховым мошенничеством по угонам автомобилей.

Благодаря этому возможно, что банки, желая снизить свои риски, переведут часть банковских сервисов в офлайн. Например, могут оставить для управления в онлайн карточные счета клиентов, на которых обычно не хранятся очень крупные суммы, а для операций по вкладам (где обычно лежат более серьёзные объемы средств) нужно будет идти в отделение.
Также должна быть внесена ясность по ответственности за нарушение безопасности внутри самих банков. Если ЦБ определит жесткие санкции за подобные инциденты, это снизит количество утечек данных клиентов из банков, и, следовательно, уменьшит целевую аудиторию мошеннических call-центров.
Более половины банков, не имевших к началу 2020 года систем по предотвращению утечек и мониторингу событий безопасности, внедрили их к концу 2021 года. В перспективе это говорит о том, что даже небольшие финансовые организации будут лучше защищать клиентские данные и деньги. Это приведет к тому, что число проникновений в банки снизится, по сравнению с 2020 годом минимум на 75%, и актуальными останутся только описанные выше методы социальной инженерии и внутренние нарушения в банках.
При этом, если социальная инженерия будет актуальна, в первую очередь, для клиентов банка, то доля инсайдеров повысится с 70% минимум до 90%. Внешним хакерам будет всё сложнее попасть в банк.

Автор – Евгений Царев, управляющий RTM Group