1 января 2022 года вступит в силу положение Банка России 719-П, которое обяжет финансовые организации проходить проверку информационных систем на соответствие определенным требованиям безопасности. По прогнозам специалистов, это приведет к сокращению доли хищений, осуществляемых через взлом, c актуальных 15% до 3% от числа всех мошенничеств с деньгами клиентов банков. Большая часть угроз, скорее всего, потеряет актуальность. Включая широко обсуждаемую сегодня проблему Log4Shell (обнаруженная в декабре уязвимость, которая затрагивает большую часть программ, написанных на языке программирования Java. — «Известия»), опасную в том числе и для мобильных банковских приложений. Однако это не значит, что злоумышленники перестанут атаковать россиян, пытаясь украсть их деньги. Наоборот — в их арсенале появятся новые инструменты.
Прежде всего, злоумышленники постараются совладать с идентификацией клиентов банка через Единую биометрическую систему (ЕБС). Облачные решения, межведомственная передача данных и, главное, отсутствие полноценного тестирования содержат в себе немало угроз. Одна из них — создание и использование дипфейков (поддельных фото, аудио и видео) — уже опробована мошенниками в рамках социальной инженерии. Но в новом году, вероятно, начнется применение качественно новых инструментов по созданию дипфейков.
Преступники активизируются, как только появится возможность дистанционной аутентификации по биопризнакам. Тогда банковскую систему ждет наплыв смоделированных голосовых сообщений, созданных в процессе общения с мошенниками по телефону, и синтезированных компьютером изображений конкретных людей (например, по данным из социальных сетей). Видео, аудио и фотографии будут настолько качественными, что подделки не смогут определять даже специальные системы. Мы ожидаем не менее 0,01% мошеннических операций при совершении платежей через ЕБС.
В наступающем году сохранится и большое количество атак с применением социальной инженерии. Сегодня на них приходится не менее 70% всех хищений у физических лиц. На первый план выйдут смешанные атаки, при которых задействуется несколько каналов взаимодействия с жертвой. Например, письмо по электронной почте в сочетании со звонком, опрос в соцсетях в сочетании со звонком, автодозвон плюс СМС, плюс сообщения в мессенджерах.
Наиболее актуальными останутся атаки, связанные с инструктированием жертвы по телефону. Основа схемы — звонок от якобы официального представителя банка, МВД, ФСБ и т.д., который начинает общение и вынуждает человека к действиям. Если жертва их выполняет, со счета списываются деньги, в ряде случаев еще берется кредит. Основная особенность этой схемы — все действия выполняются гражданами добровольно, взлом как таковой отсутствует, а значит, и рассчитывать на возмещение от банка не стоит.
Одна из главных ожидаемых инициатив Банка России в следующем году — создание закона о возмещении банками ущерба, причиненного злоумышленниками. Детали пока неясны, но документ должен быть принят в ближайшие месяцы. Мы ожидаем, что на банки частично переложат ответственность за хищения, в том числе материальную. Наверняка будет определена конкретная сумма возмещения или процент, который финансовые организации обяжут выплачивать жертвам. Это может привести к определенным последствиям.
Скорее всего, появятся случаи мошенничества, направленного непосредственно на финансовые организации, — когда хищения как такового не было, но клиент будет настаивать на получении компенсации. Вероятно, будет использоваться сценарий, аналогичный тому, что работает со страховым мошенничеством по угонам автомобилей.
В результате банки, желая снизить свои риски, могут перевести часть банковских сервисов в офлайн. Например, оставить для управления в онлайн карточные счета клиентов, на которых обычно не хранятся очень крупные суммы, а для операций по вкладам (где обычно лежат более серьезные средства) придется идти в отделение.
Также должна быть внесена ясность в вопрос ответственности за нарушение безопасности внутри самих банков. Если ЦБ определит жесткие санкции за подобные инциденты, это снизит количество утечек данных клиентов из банков и, следовательно, уменьшит целевую аудиторию мошеннических call-центров.
Более половины банков, не имевших к началу 2020 года систем по предотвращению утечек и мониторингу событий безопасности, внедрили их к концу 2021 года. В перспективе это позволит даже небольшим финансовым организациям лучше защищать клиентские данные и деньги. Внешним хакерам будет всё сложнее попасть в банк, число проникновений снизится по сравнению с 2020 годом минимум на 75%, и актуальными останутся только описанные выше методы социальной инженерии и внутренние нарушения в банках.
Автор — управляющий RTM Group
Позиция редакции может не совпадать с мнением автора
