«Управление “К” предупреждает: будьте осторожны и внимательны!» — так называется специальная брошюра соответствующего управления МВД России. В ней даются очевидные, в общем-то, советы, как не стать жертвой мошенничества: никому не сообщать PIN-код от карты, кодовое слово, пароль от онлайн-банка или CVV код (три цифры на обратной стороне карты). Проверять адрес сайта в адресной строке браузера при вводе платежных реквизитов, не хранить PIN-код вместе с картой — все это говорят нам в банках, в СМИ, теперь еще и в управлении «К», однако не все это соблюдают. Поэтому киберпреступникам, специализирующимся на воровстве денге с банковских счетов, пока не нужны высокие технологии. Максимум, что им нужно, — знать своего клиента.
Традиции надежности
Тема киберпреступности становится с каждым годом все более актуальной. Недавно «Эксперт» уже писал об ущербе для мировой экономики и об атаках на крупные компании и банки (см. «Идет кибервойна народная», № 5 за 2017 год), но от хакеров страдают и обычные граждане. По данным Банка России, в 2016 году в отношении клиентов банков — физических лиц и держателей платежных карт было совершено покушений на хищения на общую сумму более 1,65 млрд рублей.
Стоит отметить, что Россия занимает одно из первых мест в мире по внедрению новых финансовых технологий, и стандарты безопасности в сфере платежей у нас в стране достаточно высоки. «На российском рынке в течение нескольких последних лет уровень защищенности операций растет, — утверждает вице-президент MasterСard в России по безопасности Евгений Балезин. — В целом российский рынок находится в числе достаточно благополучных, и это связано, в числе прочего, с внедрением бесконтактной технологии и современных чиповых технологий».
Так почему же мы все чаще читаем истории о пропаже денег с банковских карт? Заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев категоричен: в большинстве случаях причина потери денег — нарушение правил использования электронных средств платежа, утрата или кража карт, а также социальная инженерия (когда злоумышленники обманным путем узнают у держателей карт персональные данные, после чего и выводят деньги со счета). Это мнение разделяют и большинство экспертов отрасли.
Новейшая тенденция — мошенничество с применением IP-телефонии. Номер мошенника высвечивается в телефоне как номер банка. Появились также приложения для телефонов, дающие мошенникам доступ к платежным данным жертвы. Собственно, социальная инженерия становится доминирующим способом кражи денег с банковских счетов. «В последнее время наметился заметный переход от скимминга (копирования данных карты для последующего создания дубликата) к CNP-фроду (операции без предъявления карты, в основном в интернете), а самый свежий тренд — социальная инженерия, когда мошенники контактируют с держателем карты и получают данные обманным путем, — говорит начальник отдела риск-менеджмента компании Pay-Me Татьяна Афанасьева. — Этот вид мошенничества вышел на первое место в течение последних года-двух».
Хорошая новость: даже в случае с приложениями для телефонов человеческий фактор играет решающую роль. Иными словами, каждый может обеспечить своим деньгам безопасность — нужно только быть бдительным.
Сейчас россияне в основном оплачивают покупки пластиковыми картами с чипом, вводя PIN-код. Татьяна Афанасьева отмечает, что это наиболее безопасные операции. «Достоверных фактов подделки именно чипов и чиповых карт пока нет, — подтверждает директор по мониторингу электронного бизнеса Альфа-банка Алексей Голенищев. — Есть отдельные публикации, но это по большей части научно-лабораторные изыскания без практического использования». Информация обнадеживающая: не теряйте свою карту, не «светите» PIN, и вы в безопасности.
Вместе с тем не стоит забывать, что в некоторых торговых точках (уже редких, надо признать) установлены терминалы, не поддерживающие операции с чипом, и в таких случаях даже по карте с чипом возможна оплата с помощью магнитной полосы и подделанной подписи. Кроме того, карта все еще может быть использована для оплаты в интернете даже без PIN-кода, но об этом ниже.
Нет контакта
В последнее время все большую популярность набирают бесконтактные платежи. По данным Артема Сычева, случаев мошенничества, связанных с применением бесконтактной технологии, пока не зафиксировано. Но теоретически в толпе злоумышленник может инициировать трансакцию с карты, оснащенной бесконтактной технологией, прислонив считыватель или POS-терминал к карманам одежды и сумкам. «Чтобы обезопасить себя, рекомендуется хранить карты с технологией бесконтактной оплаты в экранированных отсеках кошелька или сумки», — говорит представитель Банка России.
В то же время Майя Глотова, исполнительный директор процессингового центра «КартСтандарт» (группа компаний «Центр финансовых технологий» — ЦФТ), отмечает, что оплата картой через бесконтактный интерфейс и оплата чиповой картой отличаются только в части операций на сумму менее 1000 рублей без введения PIN-кода. При операциях на более крупные суммы с точки зрения безопасности отличий нет.
«Платежные карты Visa payWave не содержат информации о персональных данных и иной личной информации — паспортных данных держателя, его адреса, номера банковского счета или объема доступных средств на нем, — разъясняет директор департамента новых продуктов и инноваций Visa в России Андрей Лупаев. — Незаметно считать данные с карты Visa payWave не так уж и просто — необходимо приблизиться к карте на расстояние до четырех сантиметров, а обмен данными между терминалом и картой еще не означает списания денежных средств. Но даже если после массы усилий злоумышленник сможет получить данные с карты Visa payWave, использовать их для извлечения прибыли будет практически невозможно. Для подтверждения каждой операции бесконтактные карты Visa payWave используют уникальный код, который не может быть использован для подтверждения других трансакций. А данные на карте не содержат коды CVV и CVV2, используемые для подтверждения операций по магнитной полосе или в интернете».
Токен на страже
Популярнейшая новинка в сфере бесконтактных платежей — системы Apple Pay, Samsung Pay и Android Pay. Безопасность в них обеспечивается за счет так называемой токенизации. «Токенизация позволяет не хранить номер карты на устройстве, которым вы совершаете оплату, — объясняют в Mastercard. — При трансакции номер заменяется на специальный шестнадцатизначный шифр — токен. Он уникален, не повторяет номер карты и привязан к определенному устройству. При этом токен никак нельзя использовать в других устройствах». Что интересно, с помощью технологической платформы MDES, которую использует MasterCard, функцию оплаты может поддерживать не только телефон, но и любой привычный предмет — аксессуар, предмет одежды или бытовой техники, достаточно встроить туда соответствующий чип.
Звучит очень обнадеживающе. И до момента потери или кражи телефона вы действительно в безопасности, но данные для проведения платежа все еще остаются в нем, и для подтверждения платежа нужен будет только ваш отпечаток пальца — а их в большом количестве вы сами и оставили на экране и корпусе телефона. На ежегодном Всемирном конгрессе хакеров (Chaos Communication Congress) в Германии еще в 2014 году было продемонстрировано считывание отпечатка пальца с высококачественной фотографии. Но все подобные технологии являются либо лабораторными образцами, либо принадлежат спецслужбам, так что вероятность, что они попадут к обычным мошенникам, не говоря уже о карманниках, ничтожно мала. И тем не менее телефон, ставший средством платежа, как и карту, лучше не терять.
Не разговаривайте о деньгах с неизвестными
Самым распространенным способом «отъема» денег в настоящий момент является социальная инженерия, в которую включают и все возможные формы фишинга. Часто целями такого рода мошенничеств становятся люди, продающие что-то дорогое в интернете: им приходится частично раскрывать информацию о себе, что облегчает задачу мошенникам. Нововведение в этой области — использование IP-телефонии, когда номер мошенника высвечивается как номер банка, и приложения для телефонов, в которые мошенники «подсадили» возможность получения доступа к платежным данным пользователя. «Никогда не сообщайте незнакомцам данные своей карты (ее номер, PIN-код, кодовое слово и так далее), даже если они представляются работниками банка или госструктур! — напоминает Артем Сычев из Банка России. — Если речь заходит о деньгах, например, вам предлагают какие-то призы, выплаты, компенсации, сообщают (обычно путем рассылки SMS) о блокировке карты или списании денег с нее и предлагают перезвонить по указанному в сообщении номеру — проигнорируйте это сообщение или звоните в свой банк по телефону, указанному на банковской карте или на официальном сайте банка».
Возможно, через какое-то время сотовые операторы запретят возможность IP-телефонной подстановки определенных групп и номеров телефонов. Но пока держателям карт нельзя расслабляться. «Необходимо понимать: какой бы номер телефона ни высвечивался, нельзя доверять и выдавать любые конфиденциальные данные! — напоминает Алексей Голенищев. — Хорошо подготовленные мошенники могут знать отдельные ваши данные и ввести в заблуждение, что “звонят из банка”, но основная их цель — логины, пароли, кодовые слова и тому подобное. Ни один настоящий сотрудник банка их спрашивать не будет».
Директор управления противодействия кибермошенничеству Сбербанка России Сергей Велигодский добавляет, что в подавляющем большинстве случаев мошенники вообще не утруждают себя сложными манипуляциями. Так, при SMS-мошенничестве (рассылка ложных СМС сообщений о блокировке карты или якобы совершенном переводе средств) клиенты сами выходят на контакт с мошенниками по указанному в сообщении телефону. Этот телефон может напоминать телефон банка (например, начинаться на 900). Перезвонившему по указанному в SMS телефону мошенники представляются сотрудниками службы безопасности банка или контактного центра и в убедительной форме предлагают срочно провести операции по разблокировке карты, отмене перевода и т. п. Для этого жертве предлагают подойти к ближайшему банкомату и перезвонить на указанный в SMS номер. Далее, слепо следуя получаемым по телефону инструкциям, люди сами переводят средства на электронные кошельки, банковские карты или телефоны мошенников. Сбербанк же при рассылке СМС по операциям всегда обращается адресно. А если в сообщении призывают связаться с банком, нужно звонить в контактный центр банка по телефонам, указанным на банковской карте клиента, а не в сообщении.
Плохое поведение
Что же касается приложений для телефонов, в которые мошенники подсадили возможность получения доступа к платежным данным, — то с ними работают традиционные способы обеспечения безопасности в интернете. Алексей Голенищев разъясняет, что эти приложения маскируются под приложения известных банков и сервисов — если такое приложение установить, доступ к конфиденциальным данным, хранящимся на телефоне, получат мошенники. Поэтому известные банки и поставщики финансовых приложений предлагают загружать новые версии непосредственно со своих мобильных и интернет-ресурсов. Ну и, конечно, на смартфоны тоже нужно ставить антивирус.
«При установке всегда есть возможность проверить права приложения, и уже исходя из этого принять решение, устанавливать его или нет, — говорит Алексей Леонов, руководитель дирекции информационной безопасности ГК ЦФТ (компания поставляет банкам программные комплексы). — Зачем неизвестным приложениям права в sms-трафике или в приложении интернет-банка? Общая рекомендация — не взламывать телефон для получения административных привилегий, устанавливать приложения только из официальных магазинов приложений. Даже в случае установки приложения из официального магазина внимательно читать предупреждения от операционной системы на запрашиваемые права. Согласитесь, что запрос приложением «Веселый фонарик» прав на отправку sms сообщений весьма подозрителен».
Евгений Балезин напоминает еще одно общее правило: при оплате товаров и услуг в интернете вводить данные карты только на защищенной странице. «По нашей статистике, узким местом является либо несоблюдение мер предосторожности пользователями, либо неосторожность или невнимательность при работе в интернете, например совершение операций на незащищенных или сомнительных сайтах», — подтверждает Алексей Леонов.
А как быть со случаями, когда деньги с карты похищены, но вы точно не передавали никому данных о карте, паролей, не совершали покупок на подозрительных сайтах в интернете? Таких случаев менее 10% от всех мошенничеств с банковскими счетами, но они все же есть. Тут следует знать, что в большинстве крупных банков сотрудники не имеют данных о ваших паролях и прочей подобной информации, то есть не могут сами совершить платежи и покупки. Максимум, что они могут сделать, — обеспечить злоумышленников информацией о тех, кто «в группе риска»: например, хранит на карте большую сумму. Заставить банк вернуть деньги можно лишь в случае, если у вас есть весомые доказательства, что платеж совершали не вы: например, покупка или платеж были проведены за границей, а вы были в России, или покупка прошла без подтверждения паролем из SMS и без введения PIN-кода. Именно поэтому так важно не давать злоумышленникам доступа к своему телефону и SMS.
Банки уже готовы более жестко контролировать трансакции своих клиентов. Так, ГК ЦФТ уже использует, помимо прочего, так называемую систему интеллектуального фрод-мониторинга, позволяющую оценивать поведенческие особенности клиентов. «Мы будем двигаться и в сторону усложнения и совершенствования технических мер и, конечно, в сторону большего акцента на анализ поведенческой составляющей, когда при каких-либо отклонениях от «платежной поведенческой нормы» конкретного пользователя система начинает реагировать», — предупреждают в ЦФТ.
«Для защиты наших клиентов от мошенничества мы ведем фрод-мониторинг всех транcакций, — говорит Татьяна Афанасьева из Pay-Me. — Все платежи анализируются и проверяются, а в случае подозрений или выявления мошенничества мы оперативно предоставляем нашим клиентам рекомендации по дальнейшим действиям. Уровень выявляемости подозрительных операций нашим фрод-мониторингом достигает практически 100 процентов. Используются как автоматическая система скоринга, так и проверка подозрительных операций аналитиком, что позволяет снизить коэффициент ложных срабатываний».
Сбербанк, к которому просто в силу его размера вопросов возникает больше всего, давно эмитирует только чиповые карты и полностью поддерживает спецификацию безопасных интернет платежей 3DSecure — это означает, что для подтверждения легитимности каждой операции в торговой сети используется стойкая криптография, которая не позволяет подделать операцию, а для операции в интернете используется дополнительная верификация клиента разовым SMS-паролем. Для ApplePay реализована более строгая аутентификация клиента при выпуске NFC-карты через мобильное приложение «Сбербанк Онлайн». А два года назад Сбербанк внедрил мобильное приложение для Android со встроенной, автоматически обновляемой и бесплатной антивирусной защитой. Альфа-банк тоже использует 3D Secure для интернет-платежей и готовит новый, более защищенный формат 3D Secure 2.0, который призван исключить человеческий фактор и риски социальной инженерии. Visa работает над созданием новых технологий в сфере безопасности, таких как биометрия, динамические пароли и распознавание устройства. И все — платежные системы и банки — надеются на благоразумие своих клиентов.
Майя Глотова видит будущее в улучшении контроля рисков и токенизации: «Существующие решения по контролю рисков в совокупности обеспечивают высокий уровень безопасности. Когда подавляющее большинство банков начнет использовать эти технологии по-максимуму, мошенникам придется искать способы их обхода, так что нас ждут принципиально новые инструменты сдерживания мошенничества. Я считаю, банкам стоит обратить больше внимания на обучение клиентов — если даже каждый сотый держатель карты будет сообщать мошеннику, представившемуся сотрудником банка, все данные, необходимые для совершения платежа, никакие средства безопасности нам не помогут».
