Про биометрию и Аль-Каиду

Тема краж методами социальной инженерии (СИ) стоит сегодня остро – более 90% хищений со счетов физических лиц совершаются талантливыми психологами, способными уговорить клиента совершить платеж в своих корыстных интересах. Шифрование, двухфакторная аутентификация, иные технические преграды помешать этому, увы, не в состоянии. Клиент своими руками выполняет перевод или же дает злоумышленнику возможность его совершить, сообщая коды подтверждения операции. Бороться с СИ бесполезно – таково мнение большинства специалистов в сфере информационной безопасности. Но стоит ли опускать руки?

Существует два вида атак методами социальной инженерии (СИ), далее будем их различать. В первом случае (назовем схему атаки «СИ1») клиента уговаривают совершить перевод на счета злоумышленников и эту процедуру клиент совершает добровольно. В другой ситуации (атака по схеме «СИ2») клиент передает ключи, пароли и иной инструментарий дистанционного банковского обслуживания злоумышленникам, будучи введенным в заблуждение. Важное отличие СИ1 от СИ2 в том, что при СИ1 клиент желает передать средства злоумышленникам, а в схеме СИ2 клиент не хочет передавать свои средства - злоумышленники, получив пароли, совершают хищения со счета клиента самостоятельно. В схеме СИ1 бороться со злоумышленниками бесполезно - это понятно, но при хищениях по схеме СИ2 клиент нуждается в защите, дополнительную техническую защиту ему оказать и можно, и нужно.

Без вины виноватые

Во всех случаях хищений по обеим схемам банковские юристы чаще всего обвиняют клиентов - ни одного случая компенсации похищенного в рамках диспозиции ст.9 закона 161-ФЗ не сегодня зафиксировано не было. Различий схем хищений (СИ1 и СИ2) не проводится, клиенты огульно обвиняются в недостаточной финансовой грамотности, небрежности и проч.

На самом деле, используемые схемы обмана достаточно хитры, а рабочие диалоги злоумышленников («скрипты») рассчитаны не на бабушку из далекой деревни, а скорее на компетентного клиента. Как свежий пример , приведем недавнюю атаку по схеме СИ2, в которой сотрудника крупной компании «развели» на 300,0 тыс. рублей, сообщив ему по контактному номеру мобильного телефона, что в отношении его картсчета «пресечена попытка злонамеренной транзакции», и эту попытку заблокировала служба ИБ банка. Клиенту предложили подтвердить, что блокировка этой транзакции «правильная», а саму транзакцию в далекой стране совершал не он. Благодарный клиент немедленно переслал полученный им «код акцепта блокировки» в службу ИБ, но и в целях подстраховки переслал код не прямо звонившему сотруднику банка, а «роботу-блокировщику», на любезно предоставленную злоумышленником фейковую страничку (что страничка фейковая клиент разумеется не знал) . Сообщение с его «кодом акцепта» немедленно оказалось в руках мошенников и деньги были незамедлительно сняты. Отмечу, что при данной атаке номер входящего звонка (как чаще всего бывает), отображался у клиента как банковский.

Улыбнитесь - вас снимает видеокамера

Можно ли дополнительно защитить клиента от подобных случаев атак? Ответ утвердительный и технологические приемы и меры для этого есть.

Первым инструментом защиты послужит дополнительная аутентификация (по независимому каналу) при совершении особо крупных транзакций (эту "крупность" клиент должен устанавливать сам) с тем, чтобы злоумышленнику было труднее похитить средства от имени клиента. Для аутентификации могут пригодиться и биометрические данные, которые клиенты сегодня так неохотно сдают в ЕБС.

Напомним, биометрическими данными клиентов наполняет свое хранилище Ростелеком в целях облегчения банковского обслуживания. Под "облечением" подразумевается возможность дистанционного открытия счетов в рамках 482-ФЗ. Увы – эта услуга по дистанционному открытию счётов для подавляющего большинства клиентов не является критичной. Зачем дистанционно открывать счёт, скажем, москвичу, когда у него, что называется, под окнами 5-6 офисов банков в шаговой доступности.

Однако защитить свои счета с помощью дополнительных методов аутентификации (включая и лимиты на суммы операций) клиенты согласятся - особенно если денег на счете немало: каждому захочется поставить как можно больше препон злоумышленникам для атак. Сервис ЕБС и процесс сдачи биометрики целесообразно сегодня подавать именно так: как дополнительную (опциональную) защиту от атак СИ, тогда и отношение к нему станет другим. Естественно, следует настроить и механизмы ДБО на использование дополнительной аутентификации - здесь должен вмешаться ЦБ выпуском соответствующего руководящего документа. Что самое важное – использовать биометрику в качестве основного механизма идентификации клиента, как сегодня указано в 482-ФЗ, неразумно и опасно, это важно поправить , иначе по-прежнему, биометрические данные клиенты сдавать не будут.

Письмецо в конверте

А как другие технологии защиты счетов от СИ? Традиционная двухфакторная аутентификация (A2) с отправкой кодов подтверждения по физически раздельным каналам тоже не панацея в борьбе с СИ - этот защитный барьер злоумышленники успешно проходят. Типовым примером атаки на A2 является отправка страниц, имитирующих оформление почты Google (или других иных популярных ресурсов), при этом URL-адреса фейковых страниц также напоминают название домена Google. Типичное входящее сообщение при атаке выглядит так: «на вашем аккаунте обнаружена подозрительная активность, если это были вы, зайдите в свой аккаунт и еще раз подтвердите вход двухфакторной аутентификацией». При этом невнимательный клиент перенаправляется на фишинговые сайты злоумышленников. Ясно, что нажимать на неизвестную ссылки в любых письмах нельзя и опасно.

Вскрываются подобным образом сегодня не только почта и банковские счета. Социальные сети тоже в зоне риска - они поставляют информацию для СИ.

Прошлой осенью на Facebook у нескольких десятков миллионов клиентов оказались скомпрометированными персональные данные, включая не только дату рождения и вероисповедание, но и тип устройств, используемых для доступа. Конечно, информация в сети ФБ пока нефинансовая, однако она полезна и для последующей аутентификации пользователей, и для более тонкой работы СИ по краже личности в целом (identity theft).

Аль-Каида и другие

Считается, что сегодня воруют ПД чаще всего для того, чтобы взять кредит на подставное лицо. Однако, использование ворованных «цифровых личностей» гораздо шире – например, с их помощью террористы могут легализовать происхождение преступных средств. После событий 11 сентября было установлено, что примерно 30% финансов Аль-Каида получила за счёт «ненадлежащего благотворительного пожертвования». Ненадлежащие пожертвования может совершить и украденная цифровая личность, имеющая полный набор атрибутики цифрового профиля, это реальная угроза. В США кража личных данных считается федеральным преступлением, наказуемым лишением свободы на срок до двух лет, а за хищения в террористических целях срок увеличивается до 5 лет.

Как хранятся данные и какова мера ответственности за массовую утечку в России? Реальность такова, что ПД многих россиян уже украдены, причем, несколько раз. ПД злоумышленники смогли получить, взломав одну из сотен компаний, которым передали свои данные граждане, не имея никаких представлений о методах обеспечения их безопасности - они как принято, просто ставили «галочку» в знак согласия сбора ПД.

Однако, продвижение в этом вопросе есть. Свежий законопроект о Цифровом профиле предполагает получение согласия уже средствами квалифицированной электронной подписи (ЭП). Тем не менее, дополнительной защиты ПД инструмент ЭП в данном случае не привносит. Нужен полноценный контракт на обработку ПД клиента, который содержал бы всю информацию о том, что именно будет происходить с конфиденциальной информацией, кто и как ее будет обрабатывать, кому будут переданы данные после обработки и как будут храниться. Необходимо прописать в законе конкретные механизмы и формы обезличивания ПД, дополнив их строгими наказаниями за утечки.

После этих мер и доверие граждан к сборщикам появится, да сам сбор идентифицирующей информации пойдет более активно. Ну, и, конечно, противодействовать хищениям по линии СИ станет легче.