11 декабря
Представитель проекта Roomian.org побывал на специализированной конференции «CS Security Day 2014», которая была посвящена безопасности платежей в мобильном и интернет-банкинге. Мы узнали о тенденциях платежного мошенничества, об активностях СБУ в борьбе с киберпреступностью, мобильном приложении iFOBS.Mobile, защите электронного банкинга Gemalto и о многом другом. Также на кофе-паузе предлагалось украсть миллион.
В знаковый день 11.12.14, конференц-зал отеля Alfavito принял более ста сотрудников банковского сектора Украины. Кроме традиционного нетворкинга, организатор конференции – компания CS – приготовила банкирам много интересной информации под слоганом «Don’t Panic».
На правах первого доклада конференции представитель Украинской межбанковской ассоциации платежных систем «ЕМА» Алексей Красюк рассказал об основных трендах платежного мошенничества в Украине в 2014 году и продемонстрировал некоторые схемы, с помощью которых мошенники осуществляли кражу и вывод денег со счетов клиентов.
Алексей Красюк предложил банкам использовать общую систему обмена данными Exchange-Online, которая появилась в сотрудничестве с Украинским Процессинговым Центром и работает в Украине вот уже 13 лет, для своевременного обнаружения несанкционированного использования банковских счетов, компрометации данных о платжных инструментах, сомнительных банковских проводок и последующего блокирования счетов клиентов.
Система объединяет пользователей из нескольких стран. В рамках Украины к ней подключена большая часть рынка эмиссии и эквайринга платежных карт, есть платежные агрегаторы, недавно подключился популярный интернет-аукцион, также есть участие компетентных органов. Спектр инцидентов, с которыми сталкиваются банки и которые покрывает система обмена данными – это платежные карты во всех проявлениях, начиная от подделок, использования реквизитов платежных карт в интернете, вирусы, мошенничество при кредитовании, внутреннее мошенничество, социальная инжинерия, а также мошенничество в системах дистанционного банковского обслуживания.
Эксперт отметил тенденцию к уменьшению количества инцидентов в банках. Причины – применение банками новых технологий, дополнительной аутентификации, информирование клиентов о мерах безопасности и, конечно, экономическая ситуация, когда банки ставят ограничения и лимиты на различные операции.
Однако не только банки в 2014 году подвергались кибератакам. Об атаках на сайты органов государственной власти, о попытках распространения ложной информации, а также об активностях, которые предпринимает СБУ, рассказал представитель департамента контрразведывательного обеспечения интересов государства в сфере информационной безопасности СБУ. Для безопасников 2014 год был одним из самыз сложных, однако им удалось прикрыть деятельность одной из наиболее сильных преступных группировок, которая совершала незаконную деятельность в интернете более 6 лет подряд.
Давид Хосиашвили, региональный директор компании «Эн Джи Ти Групп», сертифицированного партнера Gemalto, рассказал о достоинствах и недостатках устройств, которые защищают пользователей интернет-банкинга от различных рисков. Среди устройств рассматривались SMS OTP, различные токены, CAP ридер и ЭЦП. Среди рисков – кейлоггеры, кража ключа, фишинг, вирусы и вредоносы, удаленное управление и подмена платежки. Интересно, что для 30% клиентов SMS OTP обходится дороже, чем более защищенные средства аутентификации.
Александр Погуляка, руководитель отдела разработки iOS-приложений компании CS также выступил в пользу использования токенов. В частности, Александр предложил в качестве оптимального варианта для подтверждения платежей в мобильном банкинге использовать программный OTP-токен (более известный как SofToken).
Ну а в паузе между первой и второй частью конференции всем посетителям организаторы предложили попробовать украсть миллион!
Желающие могли «увести» деньги со счетов предприятия, для чего организаторы развернули тренировочный стенд с автоматизированным рабочим местом типичного бухгалтера. За полчаса «обеденного перерыва» мошенник должен был украсть один миллион гривен со счетов предприятия с помощью системы интернет-банкинга iFOBS компании CS.
Все было сделано так, что подключение к системе для мошенника не потребовало значительных усилий. Ситуация была смоделирована в одном из худших вариантов – флешка с секретными ключами была прямо в ноутбуке, а пароль записан на бумажке под клавиатурой. Совершить противоправное действие мог даже полный «чайник»!
Чуть сложнее, из-за лимитов, было отправить деньги одним платежом, поэтому сумму «чайнику» потребовалось разбить на несколько более мелких платежей. После того как платежи ушли в банк, новоявленный «мошенник» смог спокойно продолжить общение в кулуарах за чашечкой кофе.
Однако на этом история «Миллион для чайников» не закончилась. Во второй части конференции к собравшимся банкирам вышли сотрудники компании CS и показали как в данном случае сработала система предотвращения мошенничества iFOBS.FraudDetection. Как оказалось, сработали контроли и система поймала все мошеннические платежи. Это и обеденный перерыв, и контроль новых реквизитов платежа, по которым еще не было операций, платеж юридического лица на карточку физлица, а также сработали некоторые другие правила и настройки, которые не являлись критичными.
Спасибо организаторам пресс-конференции и всем, с кем удалось познакомиться и пообщаться в тот день!
862
ID статьи
Качественный контент нуждается в подпитке
Узнайте, как еще можно поддержать сайт
Комментарии