«Кибербезопасность — это гонка вооружений»: интервью с топ-менеджером Group-IB Павлом Крыловым

Во время пандемии активизировались мошенники, увеличился объем хищений денег, появились новые способы кибератак. Bloomchain пообщался с руководителем направления по противодействию онлайн-мошенничеству Group-IB Павлом Крыловым и узнал, с какими новыми киберугрозами столкнулись россияне, кто чаще всего становится «передаточным звеном» при утечке данных и как уберечь себя от злоумышленников.

— Сколько мошенники похищают с помощью кибератак?

По данным российского ЦБ, в третьем квартале 2020 года мошенники похитили 2,5 млрд рублей со счетов граждан. Годом ранее этот показатель был равен 1,9 млрд рублей. Количество операций без согласия клиентов возросло на 10%, до 180 тысяч. Доля социальной инженерии среди таких операций снизилась на 10 п.п., до 64%.

По всем видам хищений у физических лиц за год выросла частота проведения атак и итоговый ущерб. У юрлиц, наоборот, был спад по объему потерь и частоте хищений — но это, кажется, кратковременное явление. 

— С какими киберугрозами столкнулись банки и компании финансового сектора в 2020 году?

Во-первых, появились партнерские программы, которые позволяют включиться в мошеннические схемы рядовому пользователю. 

Например, самая распространённая схема: мошенники создают вредоносное ПО, а потом предлагают желающим его распространять. Каждому партнёру выдают ID, особую версию вредоносной программы и Landing-page. Потом уже сам партнёр как-то «нагоняет» трафик, пользователи скачивают вредоносное оборудование, и с их телефонов рассылаются платные SMS. Часть от заработанной таким образом суммы выплачивают партнёру, который помог заразить устройства.

Во-вторых, гораздо чаще использовались старые способы хищения: прозвоны от мошеннических колл-центров разрослись до угрожающих размеров, увеличилось число фишинговых атак.

В-третьих, нередко использовался «фиктивный мерчант» — когда мошенники уводили пользователей со страниц оплаты, манипулировали их данными и направляли платёж к себе на счета. Злоумышленники используют архитектурные ошибки протокола 3DS, который отвечает за безопасность онлайн переводов. Этот протокол добавляет к онлайн-транзакциям ещё один уровень безопасности — запрашивает подтверждение платежа у пользователя по SMS или через приложение банка.

«Фиктивный мерчант» можно использовать только со старой версией 3DS от 2001 года, в ближайшем будущем она начнёт уходить с рынка. Но некоторое время эта стратегия еще будет работать. 

 А какие киберугрозы теряют актуальность?

В России сильно снизилось число целенаправленных атак: были единичные случаи в 2020 году, но это масштабы далеки, от, например, 2018 года. Значительно упало количество вредоносного кода, особенно направленного на юрлиц — ПО сейчас в нашей стране не в тренде, потому что есть более простые и эффективные методы похищения денег. 

 Есть ли отличия между российскими и зарубежными киберпреступлениями?

Да, есть. Например, вредоносное ПО, которое — мы только что обсудили — у нас не в тренде, на западе работает очень эффективно. Некоторое время назад Интерпол заявил, что около 80% случаев мошенничества связаны с «отечественным» вредоносным кодом или хакерской группировкой из СНГ. Буквально это значит, что сначала мошенники разработали технологии здесь, а когда банки на постсоветском пространстве научились с этим бороться, хакеры унесли ПО на запад, и теперь мошенничают там.

Также активизировались злоумышленники из стран Латинской Америки, хотя по объемам хищений им пока далеко до русскоязычных. Например, латиноамериканская «новинка»: человек заходит на сайт банка, окно браузера закрывается, и тут же автоматически открывается новое окно с поддельным фишинговым сайтом. Если пользователь невнимательный, он может эту подмену не заметить и зайти на фишинговый ресурс, как на банковский сайт, введя свои данные. Получит их, ясное дело, не банк.

— Кто чаще всего становится «передаточным звеном» при утечке данных или хакерских атаках?

Сам держатель счета. Его обманывают, а он верит: сливает реквизиты доступа или передаёт информацию о себе. Дальше мошенникам уже проще: они знают конфиденциальные подробности о пользователе — например, где он живёт — и могут произвести впечатление сотрудника банка. 

Но и пользователи понемногу учатся. Иногда бывает: человеку на самом деле звонит банк, а он ему не верит — думает, что это мошенники.

Банки тоже стараются противостоять: запрашивают подтверждение странных платежей у клиентов, прозванивают, если подозревают случаи мошенничества. Но на такие приёмы у злоумышленников также есть ответ: теперь они не просто переводят деньги со счетов пользователей, а перенаправляют все звонки на их телефоны к себе. Звонит банк, чтобы разобраться с подозрительным платежом от мошенников, а ему сам мошенник и отвечает: «всё в порядке, я действительно хочу осуществить этот перевод».

В общем, кибербезопасность — это своего рода гонка вооружений. Что бы не придумали мошенники, банки всё равно найдут, чем ответить. И наоборот.

— Где пользователи могут найти информацию, чтобы защититься от мошенников?

Банки выпускают много материалов, чтобы предупредить клиентов, информацию можно найти у них на сайтах. Также о новых мошеннических схемах часто пишут в СМИ.

Но важно понимать, что банки и СМИ не могут предвидеть всего. Например, началась пандемия, и тут же расцвели новые лже-кампании вакцинации, «выдача» компенсаций гражданам — старые инструменты мошенничества, только инфоповод новый. Если пользователи не научатся самостоятельно изучать информацию и проверять факты, они постоянно будут попадаться на такие уловки. И тут никакой банк уже не поможет.

Людям надо обучаться, банкам — продолжать активно освещать эту тему.

— Сейчас часто обсуждают создание госорганов по устранению киберугроз. Например, киберполиции, подконтрольной МВД. Насколько они будут эффективны?

Четкой позиции по этому вопросу у меня нет. Все зависит от того, в каком формате будут создавать эту киберполицию. У нас уже были примеры создания подобных консолидирующих органов, но в итоге они вырождались, так как не были эффективными.

Если у органа нет своих специалистов, которые разбирают киберинциденты — аналитиков, криминалистов — если нет полного цикла обработки атаки: от мониторинга до предотвращения и реагирования, он становится секретариатом. Такой орган не наращивает компетенции и не понимает, как правильно координировать действия, с каким приоритетом и когда.

Если создадут орган, который будет способен наращивать компетенции, это может взлететь. Но даже если он появится в этом году, значительные изменения мы увидим только лет через пять.

— Какие киберугрозы существуют вокруг Open API?

У нас пока такие кибератаки не очень распространены. Но в перспективе OpenAPI — это точка, где в один узел завяжутся проблемы, которые сейчас решают разные банки. 

Например, с OpenAPI пользователи смогут обращаться к своему банку через сторонние приложения. Как банк поймёт, что это именно его клиент, а не мошенник? Возможно, в будущем мошенники начнут использовать эту лазейку.

Ещё одна проблема — концентрация данных со всех счетов на одном ресурсе. Если пользователь будет работать со всеми своими банками из единого приложения, это серьёзно упростит работу мошенникам. Им не нужно будет больше пробиваться в разные личные кабинеты пользователя — достаточно пробиться в один.

В общем-то, уже сейчас есть такие случаи. Мошенники звонят, говорят, что они из банка А. Человек отвечает: «У меня нет счетов в этом банке». Злоумышленник спрашивает: «А какие другие карты у вас есть?». «У меня есть карты банков В, С и т.д.». «Тогда мы вас переводим на сотрудника колл-центра банка В или С». 

На одном ресурсе будут сконцентрированы все счета. Пользователь будет работать с несколькими банками из единого личного кабинета. Естественно, это сильно упростит работу мошеннику. Ему не нужно делать какое-то количество попыток, чтобы получить доступ в каждый личный кабинет. Ему достаточно получить доступ в один.

Еще одна угроза для Open API — возможность использовать ботов для управления личным кабинетом. Это позволит злоумышленникам автоматизировать атаку.

 Какие инструменты кибербезопасности будут актуальны в этом году?

Старые инструменты защиты в прошлое точно не уйдут — кибербезопасность, наоборот, идёт по пути усложнения — поэтому имеет смысл ждать появления новых приёмов.

Например, стоит ожидать роста рынка киберразведки. Киберразведка — это превентивный анализ уязвимостей системы, который позволяет предупредить мошенничество. «Информационные шпионы» ищут данные об организации в интернете, притворяются мошенниками и проникают в сообщества, где злоумышленники делятся наработками.

Ещё один тренд из мира кибербезопасности — консолидация данных. Злоумышленникам гораздо проще взломать систему, когда информация сосредоточена в нескольких разных точках. Другое дело — если банки будут делиться сквозной аналитикой в едином центре об устройствах, счетах, получателях и отправителях. Взломать такой центр злоумышленникам будет на порядок сложнее.

Мы уже говорили об этом в контексте OpenAPI. Консолидация данных — хорошая идея, если есть возможность обеспечить высокий уровень безопасности. Но если собирать всю информацию в единой точке, не обеспечивая её высоким уровнем защиты, это только облегчит жизнь мошенникам.

← Назад Поделиться:

Рекомендации

Российская Group-IB планирует провести IPO на одной из международных бирж

Aртем Галунoв2 мин

Amazon заплатит своим клиентам за биометрические данные

Информация помогает идентифицировать пользователей в магазинах без традиционных кассовых зон.

Евгения Лиходей2 мин

«Дочка» Сбера купила контрольный пакет гейминг-стартапа Gosu Data Lab

Сумма сделка неизвестна.

Елена Семенова2 мин

Майнеры и децентрализованные биржи могут не попасть в закон о налогообложении криптовалют в США

Законопроект не приравнивает их к подотчетным организациям, но и прямо не исключает возможность их включения.

Елена Семенова2 мин

BIS: финансовые регуляторы должны взять бигтех под контроль

Сейчас регулирование не учитывает возможные побочные эффекты развития техгигантов в финансовом секторе.

Елена Семенова2 мин