Миллион для чайников на CS Security Day

11 декабря

Представитель проекта Roomian.org побывал на специализированной конференции «CS Security Day 2014», которая была посвящена безопасности платежей в мобильном и интернет-банкинге. Мы узнали о тенденциях платежного мошенничества, об активностях СБУ в борьбе с киберпреступностью, мобильном приложении iFOBS.Mobile, защите электронного банкинга Gemalto и о многом другом. Также на кофе-паузе предлагалось украсть миллион.

В знаковый день 11.12.14, конференц-зал отеля Alfavito принял более ста сотрудников банковского сектора Украины. Кроме традиционного нетворкинга, организатор конференции – компания CS – приготовила банкирам много интересной информации под слоганом «Don’t Panic».

На правах первого доклада конференции представитель Украинской межбанковской ассоциации платежных систем «ЕМА» Алексей Красюк рассказал об основных трендах платежного мошенничества в Украине в 2014 году и продемонстрировал некоторые схемы, с помощью которых мошенники осуществляли кражу и вывод денег со счетов клиентов.

Алексей Красюк предложил банкам использовать общую систему обмена данными Exchange-Online, которая появилась в сотрудничестве с Украинским Процессинговым Центром и работает в Украине вот уже 13 лет, для своевременного обнаружения несанкционированного использования банковских счетов, компрометации данных о платжных инструментах, сомнительных банковских проводок и последующего блокирования счетов клиентов.

Система объединяет пользователей из нескольких стран. В рамках Украины к ней подключена большая часть рынка эмиссии и эквайринга платежных карт, есть платежные агрегаторы, недавно подключился популярный интернет-аукцион, также есть участие компетентных органов. Спектр инцидентов, с которыми сталкиваются банки и которые покрывает система обмена данными – это платежные карты во всех проявлениях, начиная от подделок, использования реквизитов платежных карт в интернете, вирусы, мошенничество при кредитовании, внутреннее мошенничество, социальная инжинерия, а также мошенничество в системах дистанционного банковского обслуживания.

Эксперт отметил тенденцию к уменьшению количества инцидентов в банках. Причины – применение банками новых технологий, дополнительной аутентификации, информирование клиентов о мерах безопасности и, конечно, экономическая ситуация, когда банки ставят ограничения и лимиты на различные операции.

Миллион для чайников на CS Security Day

Однако не только банки в 2014 году подвергались кибератакам. Об атаках на сайты органов государственной власти, о попытках распространения ложной информации, а также об активностях, которые предпринимает СБУ, рассказал представитель департамента контрразведывательного обеспечения интересов государства в сфере информационной безопасности СБУ. Для безопасников 2014 год был одним из самыз сложных, однако им удалось прикрыть деятельность одной из наиболее сильных преступных группировок, которая совершала незаконную деятельность в интернете более 6 лет подряд.

Давид Хосиашвили, региональный директор компании «Эн Джи Ти Групп», сертифицированного партнера Gemalto, рассказал о достоинствах и недостатках устройств, которые защищают пользователей интернет-банкинга от различных рисков. Среди устройств рассматривались SMS OTP, различные токены, CAP ридер и ЭЦП. Среди рисков – кейлоггеры, кража ключа, фишинг, вирусы и вредоносы, удаленное управление и подмена платежки. Интересно, что для 30% клиентов SMS OTP обходится дороже, чем более защищенные средства аутентификации.

Миллион для чайников на CS Security Day

Миллион для чайников на CS Security Day

Миллион для чайников на CS Security Day

Александр Погуляка, руководитель отдела разработки iOS-приложений компании CS также выступил в пользу использования токенов. В частности, Александр предложил в качестве оптимального варианта для подтверждения платежей в мобильном банкинге использовать программный OTP-токен (более известный как SofToken).

SofToken, Миллион для чайников на CS Security Day

Ну а в паузе между первой и второй частью конференции всем посетителям организаторы предложили попробовать украсть миллион!

Желающие могли «увести» деньги со счетов предприятия, для чего организаторы развернули тренировочный стенд с автоматизированным рабочим местом типичного бухгалтера. За полчаса «обеденного перерыва» мошенник должен был украсть один миллион гривен со счетов предприятия с помощью системы интернет-банкинга iFOBS компании CS.

Все было сделано так, что подключение к системе для мошенника не потребовало значительных усилий. Ситуация была смоделирована в одном из худших вариантов – флешка с секретными ключами была прямо в ноутбуке, а пароль записан на бумажке под клавиатурой. Совершить противоправное действие мог даже полный «чайник»!

Чуть сложнее, из-за лимитов, было отправить деньги одним платежом, поэтому сумму «чайнику» потребовалось разбить на несколько более мелких платежей. После того как платежи ушли в банк, новоявленный «мошенник» смог спокойно продолжить общение в кулуарах за чашечкой кофе.

Однако на этом история «Миллион для чайников» не закончилась. Во второй части конференции к собравшимся банкирам вышли сотрудники компании CS и показали как в данном случае сработала система предотвращения мошенничества iFOBS.FraudDetection. Как оказалось, сработали контроли и система поймала все мошеннические платежи. Это и обеденный перерыв, и контроль новых реквизитов платежа, по которым еще не было операций, платеж юридического лица на карточку физлица, а также сработали некоторые другие правила и настройки, которые не являлись критичными.

Спасибо организаторам пресс-конференции и всем, с кем удалось познакомиться и пообщаться в тот день!