Злоумышленники все больше будут использовать для своих дел захваченные смартфоны, а не компьютеры. Киберполиция прогнозирует, что количество вредоносного программного обеспечения на компьютерах постепенно будет уменьшаться, тогда как число троянов на платформе Android будет расти. Одновременно авторы вирусов для компьютеров будут все больше ориентироваться на западные банки и автоматизировать фишинговые атаки.
В большинстве случаев перечисленные атаки являются направленными (Advanced Persistent Threat, APT) – их целью становится конкретный интернет-банк, а иногда и конкретные клиенты. Злоумышленники с помощью различных методов устанавливают на компьютер клиента троян, который вместо клиента формирует платежные поручения или подменяет в нем реквизиты платежа.
Наиболее частый сценарий преступления состоит из трех основных этапов: получение информации для доступа в систему дистанционного банковского обслуживания (ДБО), проведения мошеннической операции, обналичивание денег.
Киберполиция советует, как противодействовать мошенничеству
Часто клиенты банков даже не знают о возможности контроля доступа к системе ДБО по IP-адресам или об использовании токенов для хранения ключей ЭЦП (электронная цифровая подпись). Другой проблемой является нежелание клиента платить за дополнительные средства обеспечения безопасности. Это происходит из-за отсутствия понимания критичности мошенничества. При возможности выбора банка стоит отдать предпочтение той кредитной организации, которая предлагает своим клиентам безопасный сервис по работе с системой ДБО: средства надежного хранения ключей, одноразовые пароли, систему противодействия мошенничеству, встроенную в ДБО.
В любом случае, наличие средств защиты на стороне банка не гарантирует абсолютной безопасности. В киберполиции говорят, что в 80% случаев причиной инцидента является несоблюдение требований безопасности на стороне клиента банка. При организации рабочего места, на котором будут работать с системой «Банк-Клиент» или «Интернет-банк», необходимо предусмотреть возможные пути компрометации данных авторизации и обеспечить их надежную защиту. Идеальным вариантом является выделенная рабочая станция, предназначенная исключительно для работы с банком, считает киберполиция. На ней необходимо ограничить сетевые взаимодействия списку IP-адресов и доменных имен доверенных узлов: сервер ДБО банка, корпоративный сервер, сервер налоговой инспекции. Данная машина должна иметь обновленный антивирус и установленные обновления безопасности программного обеспечения.
Также киберполиция говорит, что организационные мероприятия в большинстве случаев гораздо более эффективны технических мероприятий. Необходимо регулярно менять пароли во всех системах, предоставлять пользователю только необходимые для работы права, уделять внимание хранения ключей ЭЦП. Наличие хорошо налаженных схем своевременной реакции на события, позволит снизить убытки в случае мошенничества и предотвратить хищение. Своевременное обнаружение факта преступления и оперативное реагирование в течение 4 часов с момента отправки платежного поручения гарантируют возврат денежных средств на счет в 80% случаев.
Признаками подготовки кибермошенничества являются:
-нестабильное функционирование ПК, на котором работают с системой ДБО (медленная работа, произвольная перезагрузка, другие неполадки);
-выход из строя ПК, на котором работают ДБО;
-перебои с доступом в систему ДБО;
-невозможность авторизации в системе ДБО;
-DDoS-атака на IT-инфраструктуру;
-несоответствие порядковых номеров платежных поручений;
-попытки авторизации в ДБО с других IP-адресов или в нерабочее время.
При выявлении мошенничества необходимо максимально быстро сообщить о происшествии в банк, чтобы остановить платеж и заблокировать доступ к системе ДБО со скомпрометированными ключами и паролем. Также следует немедленно обесточить ПК, с которого предположительно были похищены ключи и данные для авторизации в системе ДБО. Обязательно надо написать заявление о случившемся в Департамент киберполиции, по возможности дополнив ее результатами самостоятельного расследования инцидента. Даже если мошенничество не было завершено, и вы успели его остановить, инцидент остается уголовным преступлением, которое подпадает под несколько статей, начиная от создания и распространения вредоносного программного обеспечения и заканчивая попыткой хищения денежных средств в особо крупном размере.