Текст книги "Кибербезопасность в условиях электронного банкинга. Практическое пособие"

Разумеется, у широкого применения «облаков» есть свои недостатки, связанные прежде всего с безопасностью и защитой данных. Небольшим банкам крупные информационные центры, созданные такими компаниями, как Amazon и Microsoft, обеспечивают более высокий уровень безопасности, чем они сами могут себе позволить. Крупные банки, имеющие собственные вычислительные центры, опасаются передавать клиентскую информацию в посторонние руки. Кроме того, кража информации или сбой в работе банка, пользующегося «облаком», вызовет жесткую реакцию регулирующих органов. Некоторые страны настаивают на том, чтобы данные клиентов хранились в пределах национальных границ. Компании, предоставляющие облачные услуги, будут вынуждены строить небольшие информационные центры, снижая тем самым издержки. При этом такие компании из соображений безопасности стремятся не раскрывать местонахождение своих «облаков».

Впрочем, возможность повышения рентабельности делает переход банков на облачные технологии неизбежным, а указанные выше проблемы могут повлиять лишь на скорость данного процесса.

1.2. Основные виды мошенничества в интернете

Во всех странах железные дороги для передвижения служат, а у нас сверх того и для воровства.

Михаил Евграфович Салтыков-Щедрин, русский писатель

Благодаря развитию интернета появилась возможность совершения покупок, банковских переводов и платежей в режиме реального времени (онлайн). Несомненно, это позволило улучшить жизнь граждан, предоставив им новые, более современные сервисы. Однако вместе с ними возникли и новые способы мошенничества.

Наиболее активно мошенничество в интернете осуществляется в кредитно-финансовой сфере и сфере ритейла. Это обусловлено прежде всего тем, что в указанных сферах злоумышленники могут получить наибольшую материальную выгоду.

Самым распространенным способом совершения мошенничества в интернете является фишинг (phishing). Понимание данного явления постоянно изменяется, что усложняет процесс выявления и раскрытия правонарушений.

Так, можно привести несколько распространенных и широко используемых понятий:

1. Фишинг – способ мошеннических действий, при котором злоумышленник рассылает множество сообщений по электронной почте с целью получения личной и финансовой информации о потенциальных жертвах (для дальнейшего доступа к их банковским счетам и другим важным ресурсам).

2. Фишинг – информационная система, применяемая для получения от третьих лиц (пользователей системы) конфиденциальных сведений за счет введения этих лиц в заблуждение относительно ее принадлежности (подлинности) вследствие сходства доменных имен, оформления или содержания информации[13]13
  Правила регистрации доменных имен в доменных зонах. RU и. РФ. URL: https: / / cctld.ru/ru/docs/project/algoritm/rules_draft.pdf.


[Закрыть].

3. Фишинг – разновидность попыток несанкционированного доступа, когда жертву провоцируют на разглашение информации, посылая ей фальсифицированное электронное письмо с приглашением посетить веб-сайт, который на первый взгляд связан с законным источником[14]14
  ГОСТ Р 56205-2014/IEC/TS 62443-1-1:2009. Национальный стандарт Российской Федерации. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1–1. Терминология, концептуальные положения и модели (утв. и введен в действие Приказом Росстандарта от 10.11.2014 № 1493-ст).


[Закрыть].

4. Фишинг – мошеннические веб-сайты, веб-сайты, навязывающие платные услуги на базе SMS-платежей, веб-сайты, обманным путем собирающие личную информацию[15]15
  Письмо Минобрнауки России от 28.04.2014 № ДЛ-115/03 «О направлении методических материалов для обеспечения информационной безопасности детей при использовании ресурсов сети Интернет».


[Закрыть].

При анализе данного понятия можно заметить изменения в самом понимании процедуры фишинга.

Так, при применении первого понятия следует исходить из того, что фишинг осуществляется в виде сообщений, которые приходят якобы от банков, платежных систем, онлайн-аукционов, крупных и широко известных интернет-магазинов. Письмо создается, форматируется и оформляется таким образом, чтобы выглядеть как отправленное из легального источника. Причем подделываются заголовки письма, его внешний вид (включая графические и текстовые элементы), а также ссылки на реальный веб-сайт. В случае с интернет-банкингом письмо, как правило, содержит информацию о внезапно возникших технических проблемах на веб-сайте банка, в связи с чем необходима проверка учетных записей и регистрационных данных пользователей. Далее жертве предлагается открыть «регистрационную форму» и ввести интересующие мошенника данные. Так как эта регистрационная форма загружается не с веб-сайта банка, вся личная информация жертвы отправляется мошеннику (рис. 1).

Рис. 1. Регистрационная форма на веб-сайте лжебанка

Получив эти данные, мошенник распоряжается банковским счетом жертвы и кредитной картой, привязанной к этому счету, по своему усмотрению (рис. 2).

Приведем основные рекомендации для клиентов систем интернет-банкинга, помогающие определить действия интернет-мошенников[16]16
  Эти же рекомендации должны знать и специалисты кредитной организации, отвечающие за бесперебойное и безопасное функционирование веб-сайта, чтобы без промедления пресекать подобные мошеннические действия.


[Закрыть]:

Рис. 2. Использование фальшивого веб-сайта для выманивания данных по кредитным картам

Данные по кредитным картам

– никогда не отвечать на запросы по электронной почте, касающиеся личной информации, данных банковских счетов, кредитных карт и паролей доступа;

– не переходить по ссылкам на интернет-ресурсы, присланным в сообщениях по электронной почте, а вводить ссылки в адресную строку веб-браузера самостоятельно;

– убеждаться, что при работе с веб-сайтом кредитной организации информация передается в кодированном (шифрованном) виде[17]17
  Речь идет об адресной строке. Для проверки наличия кодированного (шифрованного) вида пользователю необходимо обращать внимание на конфигурацию ссылки веб-сайта банковского учреждения. Кодированным (шифрованным) и безопасным соединением считается ссылка, в начале которой указывается аббревиатура https.


[Закрыть];

– регулярно проверять состояние баланса банковского счета (кредитной карты);

– немедленно сообщать уполномоченным сотрудникам кредитной организации о всех подозрениях на несанкционированный доступ к личной информации и злоупотребление ею.

Далее представлены несколько признаков, по которым можно определить, что произошло соединение с фальшивым веб-сайтом:

– невозможно просмотреть исходный текст веб-сайта[18]18
  Самостоятельно получить сведения о веб-сайте можно на следующих сетевых ресурсах: www.dnsdtuff.com,www.geobytes.com,www.nextwebsecuritj.com, www.do-maintools.com и др.


[Закрыть];

– при использовании другого веб-браузера место адресной строки заметно отличается от привычного;

– при сворачивании окна веб-браузера на панель задач окно с адресом не сворачивается, а «зависает» в нижней части экрана;

– окно с адресной строкой ведет себя как самостоятельное окно Windows-задачи с возможностью перемещения по экрану монитора, но с тенденцией занять определенное место;

– адресную строку невозможно редактировать.

Второе же понимание термина «фишинг» значительно отличается от ранее рассмотренного.

При применении второго определения следует исходить из того, что данное противоправное деяние совершается с использованием домена (веб-сайта). Злоумышленник создает в интернете ресурс, который ввиду сходства информации или интерфейса должен создать у потребителя ложное представление о нахождении на легальном ресурсе. Противоправные деяния с использованием указанной схемы можно формально разделить на несколько категорий. Рассмотрим самые распространенные из них.

Это одна из самых распространенных категорий фишинговых ресурсов. Недобросовестное лицо создает ресурс фиктивного банка и начинает привлекать денежные средства граждан и юридических лиц во вклады. Пользователь не задумывается о правомерности деятельности данного лица, поскольку интерфейс иногда схож с интерфейсом ресурса, принадлежащего реально существующему банку. Представленные фиктивные документы на ресурсы, такие как сканы лицензий и доверенностей, создают у потребителя впечатление, что банк является легальным (рис. 3).

На рис. 3–7 приведены примеры фиктивных банков[19]19
  Автор сознательно приводит не один, а несколько однотипных примеров вебсайтов, чтобы показать разнообразие уловок кибермошенников.


[Закрыть].

В рамках проекта «Лжебанк» злоумышленники готовы предоставлять «лжекредиты». Потребитель обращается в фиктивный банк с просьбой предоставить ему кредит, псевдобанк якобы одобряет заявку и просит потребителя оплатить курьерскую доставку договора и перечислить страховую сумму. После внесения потребителем оплаты лжебанк, как правило, прекращает контакты с ним.

Рис. 3. Веб-сайт фиктивного банка (1)

Рис. 4. Веб-сайт фиктивного банка (2)

Рис. 5. Веб-сайт фиктивного банка (3)

Рис. 6. Веб-сайт фиктивного банка (4)

Рис. 7. Веб-сайт фиктивного банка (5)

Согласно статистике ФинЦЕРТ Банка России[20]20
  ФинЦЕРТ, или Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, входит в состав Департамента информационной безопасности Банка России.


[Закрыть], за 2017–2018 гг. сняты с делегирования 489 веб-сайтов, которые выдавали себя за банки[21]21
  Подробнее см.: Отчет центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России. URL: www.cbr.ru/fincert.


[Закрыть]. Количество ресурсов в данной категории позволяет сделать вывод, что злоумышленники активно используют наименования реальных банков и создают интерфейсы веб-сайтов, сходные с интерфейсами вебсайтов данных финансовых институтов. Необходимо отметить, что злоумышленники также активно создают сайты-клоны или сайты-двойники, что позволяет ввести пользователя в заблуждение.

Приведем перечень признаков фишинговых ресурсов данной категории:

1. Информация об организации отсутствует в справочниках/реестрах Банка России, размещенных на официальном веб-сайте Банка России.

На официальном веб-сайте Банка России (www.cbr.ru) размещены следующие информационные ресурсы, позволяющие уточнить наличие или отсутствие лицензии у банка:

– Книга государственной регистрации кредитных организаций;

– Справочник по кредитным организациям (http://www.cbr.ru/credit/main.asp).

2. Информация об организации отсутствует в соответствующих реестрах ФНС России и Роскомнадзора России.

Информацию об организации, представленной на веб-сайте, также возможно проверить в следующих реестрах:

– Едином государственном реестре юридических лиц, размещенном на официальном веб-сайте ФНС России;

– Реестре операторов, осуществляющих обработку персональных данных, размещенном на официальном веб-сайте Роскомнадзора России.

3. Веб-сайт не является официальным и не имеет никакого отношения к организации.

Третий признак – один из сложнейших. Вместе с тем данную информацию можно проверить на официальном веб-сайте Банка России с использованием Сведений об адресах веб-сайтов кредитных организаций Российской Федерации. Также отметим, что на сегодняшний день благодаря взаимодействию Банка России и «Яндекса» появилась маркировка банков и кредитных организаций, имеющих лицензию Банка России[22]22
  Маркировка осуществляется в виде зеленой галочки, которая устанавливается рядом с адресной строкой и наименованием веб-сайта при поиске ресурса в поисковой системе «Яндекс».


[Закрыть].

Создание веб-сайтов лжебанков стало одним из самых распространенных способов мошенничества на территории России, поскольку злоумышленникам не приходится точно копировать ресурсы реально действующих кредитных организаций: достаточно оформить на вебсайте вкладки с названиями «Кредит», «Вклады» и т. д. Данные наименования позволяют ввести пользователя в заблуждение и создать у него иллюзию, что он находится на веб-сайте действующего банка.

Потребителям необходимо обращать внимание на оформление ресурса: лжебанки, как правило, не утруждают себя размещением на официальном веб-сайте соответствующей документации, в некоторых случаях даже не указывают номер лицензии на осуществление операций. Указанные обстоятельства должны насторожить потребителя и заставить его проверить данную организацию. Фиктивные банки также активно привлекают людей с помощью почтовых рассылок или звонков на номера мобильных телефонов. В данном случае потребители должны быть бдительными и не разглашать свои конфиденциальные данные, которые могут быть использованы для хищения денежных средств.

Появление возможности оформлять электронные полисы ОСАГО с использованием интернета не только облегчило жизнь автолюбителям, но и спровоцировало рост мошенничества в данной сфере.

Злоумышленник в рамках рассматриваемой категории действует различными способами:

– создает копию ресурса реально действующей страховой компании с предложением оформления электронных полисов ОСАГО;

– предлагает фальшивые или необеспеченные бланки страховых организаций.

Потребитель либо оплачивает лжеполис ОСАГО, либо оплачивает доставку и покупает фальшивые бланки.

Согласно статистике ФинЦЕРТ Банка России[23]23
  Подробнее см.: Отчет центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России. URL: www.cbr.ru/fincert.


[Закрыть], за 2017–2018 гг. сняты с делегирования 164 веб-сайта, которые выдавали себя за субъекты страхового рынка.

Веб-сайт фиктивной страховой организации позволяет создать у потребителя иллюзию, что покупка бланка не влечет за собой негативных последствий. Вместе с тем, приобретая заведомо фальшивые, пустые и недействительные бланки, потребитель теряет возможность претендовать на страховое возмещение при наступлении страхового случая.

Фиктивная страховая компания привлекает потребителей стоимостью бланков: как правило, она на 60–70 % меньше, нежели стоимость действующего полиса реально зарегистрированной страховой компании.

Вместе с тем в данной категории мошенничества активно используется метод социальной инженерии, помогающий получить доверие потребителя.

На веб-сайты лжестраховщиков потребителей завлекают различными способами, такими как:

– всплывающая реклама в поисковых системах;

– SMS-рассылки и звонки на абонентские номера клиентов различных страховых компаний;

– запросы в поисковых системах.

Псевдостраховые компании становятся достаточно распространенными в России, поскольку потребитель старается сэкономить время и денежные средства при оформлении страхового полиса в надежде на то, что страховой случай не наступит.

Также на практике встречаются случаи, когда потребитель заказывает ту или иную страховую услугу, оплачивая ее переводом на карту лжестраховщика или на его счет. Лжестраховщик обязуется передать страховой полис или предоставить иную услугу в определенное время, но потребитель так и не получает полис или услугу.

В связи с этим потребитель должен не только обращать внимание на оформление и содержание ресурса страховой компании, но и проверять данную организацию в соответствующих справочниках и реестрах (Справочнике участников финансового рынка Банка России, перечне Российского союза автостраховщиков).

Отметим, что в соответствии с перечнем Российского союза автостраховщиков и информацией, размещенной на его официальном вебсайте, не все страховые организации уполномочены на оформление электронных полисов ОСАГО. Потребитель при переходе на веб-сайт страховой компании должен проверить следующее:

– наличие организации в Справочнике участников финансового рынка Банка России (http://www.cbr.ru/finmarket/nfo/cat_ufr/);

– присутствие веб-адреса в перечне Российского союза автостраховщиков (https://www.autoins.ru/e-osago/chleny-rsa-osushchestvlyayushchie-oformlenie-elektronnykh-polisov/).

На рис. 8-10 приведены примеры веб-сайтов фиктивных страховых компаний.

Рис. 8. Веб-сайт фиктивной страховой организации (1)

Рис. 9. Веб-сайт фиктивной страховой организации (2)

Рис. 10. Веб-сайт фиктивной страховой организации (3)

Данная категория является одной из самых привлекательных для злоумышленников. Согласно статистике ФинЦЕРТ Банка России, за 20172018 гг. сняты с делегирования 209 веб-сайтов, которые выдавали себя за ресурсы, предоставляющие услуги по переводу денежных средств с карты на карту[24]24
  Подробнее см.: Отчет центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России. URL: www.cbr.ru/fincert.


[Закрыть].

Привлекательность этой категории обусловлена простотой оформления информационного ресурса для хищения денежных средств. Злоумышленники получают конфиденциальные данные как платежной карточки, так и самого потребителя.

Простота оформления информационных ресурсов, предоставляющих услуги P2P-переводов, позволяет мошенникам достаточно легко их подделывать: оформляется изображение пластиковых карт, указываются эмблемы и наименования платежных систем или кредитной организации. Данные атрибуты позволяют сформировать у потребителя ложное представление, что он находится на веб-сайте реально действующей организации.

Интересным представляется тот факт, что пользователь передает злоумышленникам не только свои персональные данные, но и данные платежной карты третьего лица, которому он осуществляет перевод.

Данные ресурсы очень заманчивы для потребителей, поскольку предлагают услуги беспроцентного перевода или перевода с низким процентом между платежными картами разных банков или платежных систем.

Чтобы не допустить использование недобросовестных ресурсов, пользователь должен проанализировать следующие критерии применительно к веб-сайту:

– наличие на веб-сайте информации об операторе платежной системы;

– наличие организации в Реестре операторов платежных систем Банка России;

– использование защищенного соединения при осуществлении перевода[25]25
  Более подробно процедуру выявления фиктивных кредитных организаций мы рассматривали в разделе 1.2.1 «Лжебанки». Потребителю необходимо быть бдительным и проверять не только сам веб-сайт, но и информацию об организации, предоставляющей на нем платежные услуги.


[Закрыть].

При этом если на ресурсе указано, что услуги предоставляются какой-либо кредитной организацией, то необходимо проверить ее наличие в соответствующем перечне Банка России.

Также можно убедиться в достоверности партнерских (договорных) отношений данного ресурса и кредитных организаций или платежных систем, позвонив на официальный контактный номер платежной системы или кредитной организации с просьбой подтвердить сотрудничество с ресурсом.

Проверка ресурсов потребителем позволит обеспечить безопасность его персональных и платежных данных.

На рис. 11 и 12 приведены примеры веб-сайтов мошеннических организаций, которые предоставляют услуги по осуществлению псевдоР2Р-переводов.

Рис. 11. Веб-сайт мошеннической организации, осуществляющей фиктивные P2P-переводы (1)

Рис. 12. Веб-сайт мошеннической организации, осуществляющей фиктивные Р2Р-переводы (2)

В рамках этой категории мошенничества можно выделить два подвида:

– организация проводит псевдоопросы, за которые якобы полагается выплата денежных средств;

– организация предлагает выплату несуществующей компенсации.

В первом случае пользователь проходит опрос на веб-сайте. Как правило, опрос состоит из семи-десяти простых вопросов. После прохождения опроса ресурс якобы генерирует выигрыш и предлагает пользователю перевести денежные средства на его платежную карту. Вместе с тем с целью сохранения денежных средств и оформления их вывода ресурс предлагает пользователю заплатить закрепительный платеж. Сумма платежа обычно незначительна и составляет от 250 до 1000 руб. Пользователь, воодушевленный возможностью получить крупный выигрыш, соглашается на оплату небольшой, по его мнению, суммы и переходит на страницу оплаты.

Пользователь предоставляет злоумышленникам данные карт и персональные данные, что позволяет списать денежные средства с его платежной карты.

Вместе с тем мошенники развиваются и совершенствуются. Более изощренным является второй способ мошенничества: предоставление возможности получить якобы от государства неиспользованные страховые платежи за медицинские услуги. Как правило, на ресурсе размещается фальшивая документация Правительства Российской Федерации, якобы позволяющая осуществить возврат и выплатить компенсацию населению.

На данную категорию ресурсов пользователей активно завлекают за счет звонков и SMS-рассылок, в которых граждан убеждают в том, что компенсация предоставляется в рамках одной из федеральных программ и что она не подлежит огласке общественности, поскольку существует лимит по выплатам. Злоумышленникам необходимо привлечь потребителя и убедить его зайти на ресурс. На ресурсе предлагается заполнить специальную форму якобы для определения количества денежных средств и срока уплаты в соответствующий государственный фонд. В рамках данной формы пользователь передает мошенникам свои персональные данные, в том числе иногда скан паспорта. Веб-сайт якобы генерирует компенсацию, положенную пользователю, и так же, как в ситуации с опросами, предлагает оплатить страховой (закрепительный) платеж.

На рис. 13 и 14 приведены примеры веб-сайтов организаций, которые осуществляют описанную мошенническую деятельность.

Рис. 13. Веб-сайт организации, осуществляющей псевдоопросы, за которые якобы полагается выплата денежных средств

Рис. 14. Веб-сайт организации, предлагающей выплату несуществующей компенсации

Вместе с тем необходимо обратить внимание, что опросы могут проводиться и компенсации могут выплачиваться реально действующими организациями и государственными службами. Чтобы не стать жертвой мошенников, пользователь должен обратить внимание на следующие признаки, которые чаще всего указывают на мошеннический характер ресурса данной категории:

– перечисление денежных средств третьим лицам в счет оплаты;

– отсутствие организации в Едином государственном реестре юридических лиц;

– осуществление деятельности, не предусмотренной лицензией, разрешением.

Поиск данных признаков при обращении к различным ресурсам позволит снизить риски мошеннических действий в отношении потребителей. Пользователи того или иного ресурса должны быть осмотрительными и проверять размещенную на нем информацию.

Речь идет о всевозможных пирамидах. Как правило, все начинается с того, что на электронный адрес потенциальной жертвы приходит письмо с предложением заработать большие деньги, участвуя в игре. Например, перечислив 100 руб. (такое предложение было в игре «Золотой поток»), можно заработать 1 млн руб. всего за 90 дней[26]26
  Все эти махинации носят название MLM-схем (Multi-Level Marketing – многоуровневый маркетинг).


[Закрыть]. В ответ на пересылку 100 руб. жертва получает какую-нибудь дополнительную информацию или программу. Далее, как обещают организаторы, все зависит только от активности игрока: чтобы заработать свой миллион, он должен искать новых «участников», и чем быстрее, тем лучше.

Вариантов писем, которые начинаются с просьбы обязательно дочитать до конца и не сравнивать эту игру с другими, много. Однако принцип во всех этих схемах один: в начале игры жертва теряет некоторую сумму денег и все дальнейшие усилия тратит на компенсацию своих потерь, подыскивая новых «участников».