Алексей Голенищев: Андрей, в той ситуации, которая складывается вокруг цифрового банковского рынка, включающего в себя ДБО, банкоматы, а также различные платежные сервисы, основное зло я вижу даже не в уязвимости банковских технологий, а в «уязвимости» самих клиентов — в социальной инженерии.

Бороться с ней достаточно сложно. Финансовые продукты и цифровые каналы по их дистанционной доставке достаточно хорошо защищены. Но ни один банк не может защитить каждую «голову» своего клиента. Стандартные средства безопасности — решения для аутентификации, идентификации или, скажем, защите каналов — не в состоянии ей противостоять. Это происходит потому, что мошенники добираются до клиентов по номерам их персональных телефонов, sms, почтовым адресам, которые те считают доверенными каналами. А потом в ход идут отточенные и выверенные схемотехники социальной инженерии. Благодаря им люди «добровольно» расстаются со своей персональной информацией, данными пластиковых карт, одноразовыми паролями и т.д. Поэтому, повторю, с такими атаками бороться сложно с помощью тех решений, которые есть в банках. Эти решения, конечно, можно сделать более защищенными, например, путем применения дополнительных средств аутентификации и т.п., но тогда банковские продукты и сервисы станут более тяжелыми и неудобными для клиента, что в итоге может привести к отказу клиента от них. Поэтому здесь важна разумная середина между безопасностью и бизнесом. А прекрасным дополнением к безопасности всегда является современный и эффективный онлайн-мониторинг рисковых операций, работу которого, в том числе в Альфа-Банке, курирую я.

Тем не менее мы стараемся идти в ногу со временем, добавляем в арсенал возможностей службы ИБ новые сервисы — от геолокации до поддержки технологии finger print для идентификации клиентских устройств, с которых идут запросы в банк. Когда у клиента украдены данные карты или счета, перехвачен одноразовый пароль для аутентификации операции, банку сложно определять ее несанкционированный характер, потому что для него транзакция визуально выглядит, как нормальная, законная операция. Здесь могут помочь для интеллектуального анализа указанные выше возможности. Также эффективен анализ профиля клиента для выявления нетипичных для него операций.

Андрей Бухтияров: Наверное, нужно начать с портрета атакующего. Много лет назад считалось, что атакующий — это своеобразный Робин Гуд, окруженный романтикой хакер, который сидит где-то и что-то там один доказывает всему миру, крадя деньги у злодеев. С тех пор все изменилось. Сегодня «хакеры» — это большие криминальные группы, в которых налажено разделение труда: одни исполняют роль разведчиков, другие заражают компьютеры, а третьи выводят и обналичивают деньги.

В результате мы говорим об организованной киберпреступности, группах по 50–60 человек, которые готовят атаку на банк либо на его клиента, а потом ее реализуют достаточно долгое время. Иными словами, любая атака, как правило, неслучайна, имеет свой сценарий и индивидуальный характер. Группа, анализирующая конкретный банк, ищет в нем требуемые данные, в итоге находит и нужную уязвимость, чтобы их похитить.

По нашим наблюдениям, на Россию сейчас «смотрят» несколько агрегаторов. В их числе видео-, порно- и игровые агрегаторы. В чем их роль? Покупая у них контент либо пользуясь ими бесплатно, каждый из этих субъектов что-то добавляет от себя в браузер пользователя: либо это какой-то плагин, либо в обвязку браузера подгружается кодек, либо какая-то иная «софтинка» для конспирации от начальства или членов семьи.

Эти «софтинки» и т.д. не несут никакой опасности, они только анализируют, что, например, еще есть в обвязке этого браузера. Таким образом, ПО собирает нужные данные и отправляет их злоумышленникам. А вот этот трафик не может пока «детектить» ни один интернет-банк, потому что данные отправляются, как правило, в потоке, когда подключается видео или еще что-то. Вот этим сбором пар логин-пароль от интернет-банка и занимается первая часть криминальных группировок, используя агрегаторы.

Вторая группа может заниматься выводом и угадывать sms с кодом подтверждения карточных транзакций в ДБО. Предварительно собрав через агрегаторы множество пар логин-пароль и установив какое-то гигантское количество соединений, можно начинать перевод денег и отсылать эти sms. С вероятностью 3% нужная sms угадывается, потому что длина сообщения, как правило, шесть символов и в нем только цифры. На этой статистике основано сейчас значительное количество атак.

Существует еще третья группа злоумышленников — дропперы, которые обналичивают похищенные денежные средства и запутывают следы, ведущие к организаторам. Для пресечения их деятельности делается многое, тем не менее они есть.

Надо отметить, долгое время считалось, что мы имеем дело с атакующими таким образом иностранными группировками. Позже выяснилось: тенденция такова, что происходит «импортозамещение» и появляются отечественные незаконные формирования, основанные на криминальных группировках из прошлого. О них мы слышали ранее, но занимались они тогда иными видами «бизнеса», которые наш ЦБ в свое время благополучно перекрыл. Теперь они повысили свою квалификацию и занялись более высокоуровневыми атаками: нанимают некие группы, которые исследуют наличие уязвимостей в IT-инфраструктуре и часто под предлогом анализа безопасности банков попадают внутрь и начинают по-тихому воровать. И никакие это не романтические хакеры, а организованная преступность.

Последний тренд атак — это кража номеров телефонов. В части интернет-банков злоумышленник не сможет найти номер телефона клиента, соответственно и подменить его он не в состоянии. Но в некоторых решениях хранится конфигурация клиентского окружения. Найдя номер телефона, его можно прямо онлайн и сменить. Мы видим эти атаки и наблюдаем активность соответствующего программного обеспечения. Поэтому с высокой долей вероятности можно ожидать атак подобного рода на интернет-банки, где пара логин-пароль статическая и не меняется от сессии к сессии.

Мы в этой ситуации берем количеством элементов безопасности. Понимаем, что подписи только на основании sms явно недостаточно, потому что ее злоумышленник может угадать. Это теория вероятности — и ничего более. Поэтому мы добавляем и пароль, и кодирование того, что пользователь вводит, и обратную sms, которую рассматриваем как второй фундаментальный канал соединения, благодаря которому удается перекрыть практически любую атаку.

На практике это означает, что, когда клиент заполнил нужные поля и готов к переводу денег, ему необходимо отправить в свой банк команду «провести». Не по интернет-каналу, которым он подключен к своей финансовой организации, а по sms. Пока такую схему ни один злоумышленник не смог обойти.

Андрей Бухтияров (Совкомбанк), Алексей Голенищев (Альфа-Банк) и Яна Шишкина («Б.О»)

Алексей Голенищев: Мое мнение — от sms вообще надо уходить. Это сделать сложно, потому что на такой технологии выстроено множество решений: карточные продукты с 3D-Secure, аутентификация по одноразовым паролям для интернет- и мобильных банков и т.д. Но появляются новые подходы, и они уже внедряются в некоторых отечественных банках. Часть из них основана на использовании токенов в мобильных приложениях и нового функционала стандарта 3D-Secure 2.0. Здесь клиент платежного приложения вообще не использует sms, не видит ни кодов, ни паролей, вообще ничего. Поэтому и социальная инженерия на этом участке фронта бессильна, а то, о чем говорили ранее, разделение финансовых и аутентификационных каналов, возможно, станет следующим шагом.

Андрей Бухтияров: К сожалению, пока нет провайдера, который позволял бы работать по двум каналам сразу. Кое-где вообще нет интернет-каналов.

Алексей Голенищев: В принципе, для начала движения банка в сторону повышения уровня ИБ можно стартовать с рассмотренных технологий, а дальше двигаться в направлениях, которые еще «не заняты» мошенниками. Иначе получается, что мы хронически оказываемся на шаг позади них.

Что касается вопроса обоснования бюджетов на ИБ, во многих банках, когда соответствующий менеджер выходит с предложением потратить столько-то на такую-то систему, его, как правило, спрашивают: «А сколько вы уже потеряли в этом канале?». Но в том-то и проблема, что потерь пока нет, но потом они могут стать очень большими. Об это мы говорили выше. Поэтому готовиться надо заранее, чтобы к моменту, когда мошенники будут готовы к атаке, банк уже был подготовлен и защищен.

Андрей Бухтияров: Я могу добавить, что рост роли информационной безопасности в банке очевиден, и эта роль будет только усиливаться. Причина тому — миграция классических финансовых услуг в «диджитал», вплоть до того, что через какое-то время останутся только цифровые банки с минимальным физическим присутствием. В этих отделениях будут проводиться идентификация клиентов и обмен физическими носителями (ценными и деловыми бумагами или наличными деньгами). Таким образом, «не совсем безопасный» онлайн-банк станет абсолютно проигрышным бизнес-вариантом.

Алексей Голенищев: Соглашусь с тем, что бумажные операции в каком-то объеме все равно останутся, потому что достаточно большие слои населения не пользуются Интернетом и гаджетами, они будут ходить в банк, а не входить в него.

Этот факт, естественно, должен найти свое отражение в централизованной архитектуре банковских IT и ИБ, которые должны поддерживать омниканальность. В Альфа-Банке, например, вся система мониторинга теперь завязана на один движок (ядро), в котором помимо цифровых транзакций осуществляется мониторинг «бумажных» операций. В их число, к примеру, входят операции с депозитами, закрытием счетов, заказами больших сумм наличности, переводами по распоряжению и т.д.

К сожалению, не везде антифродовые решения «затачиваются» именно на развитие систем кросс-канального мониторинга, потому что в последнее время перестали воровать в каком-то одном конкретном месте, часто мошенничество затрагивает несколько банковских каналов, например хищение в интернет-банке с переводом на карту, а потом обналичивание в банкомате.

Таким образом, слабым звеном могут стать связка карты и интернет-банка, переводы между счетами в разных банках. Именно из этой паутины технологий и транзакций сейчас приходится выявлять мошеннический характер операций. Только комплексный анализ дает понимание, фрод это или нет. По одной-единственной карточной транзакции вычислить мошенника в такой «схемотехнике» невозможно, поэтому нужны анализ клиентского досье, анализ его активности, определение поведенческого профиля и т.д.

Андрей Бухтияров: Соглашусь, у нас в банке около двух тысяч филиалов, услугами которых активно пользуется очень много пенсионеров, наших клиентов. Этот сегмент людей мошенникам легче ввести в заблуждение. Безопасность — превалирующий фактор в работе с ними, ведь защитить их никто другой, кроме нас, не сможет. Поэтому мы используем чуть более сложные технологии, например электронную подпись. Но зато мы гарантируем, что в агрессивной и недоверенной интернет-среде, например где-то в отеле в Турции при работе в публичной Wi-Fi-сети или интернет-кафе, деньги с его счета точно не украдут. Множество наших защищающих факторов этого не позволит.

Алексей Голенищев: Не могу с вами не согласиться. Банковская ИБ — сложная вещь, ведь противостоит финансистам организованное сообщество, вовсе не воришки типа хакера-одиночки или студентов, которые считают себя крупными компьютерным гениями. А сами атаки стали организованнее и сложнее. Но плюсом для нас является то, что множество преступников использует для атак цифровое пространство, а оно дает множество дополнительных данных для анализа и успешного расследования.

Но кое к чему я отношусь с определенным скепсисом, например к попыткам полностью перенести ИБ на плечи искусственного интеллекта, нейронных сетей и т.д. Проблема заключается в том, что, для того чтобы эффективно работать с такими системами, нужно иметь огромную лабораторию, укомплектованную дорогостоящими аналитиками для отработки сложных кейсов и операторами этих систем, чтобы обрабатывать эти сложные кейсы, а также сложную настройку и сопровождение таких сетей. Однако статистика говорит, что примерно 90% фрода ловится по заранее настроенным статическим правилам. Окупятся ли эти data-scientists? Деньги нужно считать!

Беседа состоялась 29 июня 2017 года в кулуарах II Практической конференции «Информационная безопасность в финансах: регулирование, экспертиза, кейсы»