Эксперт: если хакеры решат украсть ваши деньги - они это сделают
Проверка безопасности интернет-, мобильного и прочих видов дистанционного банкинга начнется в 2017 году. Качество платежных сервисов банков будут проверять с точки зрения защищенности от киберугроз, говорится в «Обзоре финансовой стабильности», опубликованном Центробанком.
Хотя дистанционный банкинг в России существует давно, до сих пор эта сфера никак госорганами не контролировалась. Каждый банк обеспечивал (если вообще обеспечивал) безопасность клиентских операций по дистанционным каналам так, как считал нужным.
Желание ЦБ взять под контроль дистанционное банковское обслуживание инициировано резким ростом числа инцидентов, когда в результате действий мошенников происходит списание средств клиентов через дистанционные каналы.
ЦБ признаёт, что эффективность борьбы с растущим числом таких мошенничеств низка и растут такие попытки взрывным темпом.
В январе—сентябре 2016 года хакеры пытались совершить почти 103 тыс. несанкционированных операций со счетами физлиц, тогда как за аналогичный период 2015 года таких попыток было всего 16 тыс. Ущерб частным клиентам от действий мошенников за три квартала 2016 года составил 1,25 млрд руб.
Названная ЦБ цифра успешности взломов счетов физлиц в самом деле запредельно велика, но это проблема в первую очередь со стороны клиента, а не со стороны банков, «успокаивает» эксперт по кибербезопасности Российской Ассоциации электронных коммуникаций Карен Казярян.
«Сами банки — особенно из числа top-10 — делают многослойную систему защиты счетов своих клиентов. Но подавляющее большинство попыток несанкционированного доступа к счетам на самом деле являются санкционированными… самими же клиентами», — выливает ушат холодной воды эксперт.
Основным инструментов для получения «санкционированного несанкционированого» доступа к счетам физлиц является так называемый фишинг (дословно — рыбалка), когда мошенники наугад обзванивают мобильные номера, представляясь сотрудниками служб безопасности банка.
Разумные люди вычисляют такие попытки в первые 30 секунд разговора, но мошенники особо не расстраиваются — ведь они «бьют по площадям», атакуя одновременно десятки, а то и сотни тысяч целей.
«Те 1,25 млрд рублей, что россияне потеряли в текущем году в результате таких прозвонов — это и есть улов мошенников. Банк в такой ситуации ничего сделать не может, ведь он в данном случае — третья сторона. Любой клиент имеет право передать свою банковскую информацию кому считает нужным, это не противоречит закону», — говорит Казарян.
Технологически, разумеется, можно выстраивать сколько угодно степеней защиты — например, улавливая нетипичный для клиента алгоритм поведения или проверяя совпадение локализации его телефона с местом проведения трансакции, продолжает эксперт. Но на сколько замков не запирай дверь, толку от них будет ноль, если сам же владелец добровольно отдает ключи мошенникам.
«Все банки при каждой трансакции присылают клиенту предупреждение: никому не сообщать номера карточек, пароли, явки… Тем не менее, немалое число людей, особенно если вас застали врасплох звонком о том, что с вашего счета списали все деньги, рефлекторно выдают всю запрашиваемую информацию. Банк при этом бессилен предотвратить преступление», — указывает эксперт.
Более того, сами клиенты часто раздражаются усилиями банков выстроить многоуровневую систему защиты счетов, воспринимая эти усилия как «медвежью услугу». В соцсетях постоянно размещают триллеры о том, как автор оказался без денег на чужбине из-за того, что банк посчитал трансакцию «нетипичной».
Позвонить же в банк до вылета в какую-нибудь Индонезию и предупредить, чтобы там не поднимали тревогу из-за трансакции, совершенной на Бали, клиентам, разумеется, лень.
«Выход есть, но он небыстрый. Это образование и самообразование россиян в том, что касается безопасной жизни в киберпространстве. Никакая система не защитит ваши деньги лучше, чем вы сами», — полагает Казарян.
Вернуться назад