Антифрод (предотвращение мошенничества в системах ДБО)
Проблематика
За последнее время системы «Банк-клиент» стали неотъемлемой частью взаимодействия коммерческих организаций с банками. Удобство применения таких систем трудно недооценить: они позволяют снизить издержки и повысить оперативность проведения финансовых операций.
Однако, по данным МВД, только в Москве каждый месяц происходит больше десятка успешных мошеннических операций с использованием систем дистанционного банковского обслуживания (ДБО): «Банк-клиенты», «Интернет-банкинг» и прочее. Средний ущерб по каждому инциденту составляет более 3 млн рублей. Помимо этого, ежедневно сотрудниками служб безопасности банков пресекаются попытки мошенничества на суммы в сотни миллионов рублей.
Кража денежных средств может быть произведена как сотрудниками организации, так и абсолютно не имеющими к ней отношения людьми. В большинстве случаев компрометация электронных ключей происходит с помощью вредоносного ПО, которое проникает через Интернет. Этот код обнаруживает, что на данном ПК ведется работа с системой ДБО, и осуществляет копирование ключей и логина/пароля пользователя, а затем передает данную информацию злоумышленникам. Кроме того, возможны случаи, когда перевод денежных средств осуществляется непосредственно с ПК жертвы посредством ПО для удаленного администрирования, также установленного мошенниками через сеть Интернет.
Хранение ключей на жестком диске компьютера или незащищенном внешнем носителе (дискете, USB-flash-диске) существенно упрощает получение несанкционированного доступа к ним. Как правило, компания узнает, что с ее счета были украдены денежные средства, уже после того, как деньги прошли через несколько счетов юридических и физических лиц и были успешно обналичены. При этом злоумышленники прикладывают все усилия к уничтожению доказательств своей преступной деятельности и препятствуют доступу компании-жертвы к счетам. Для этого используются различные способы вывода из строя персонального компьютера, с которого производилась кража ключей и логина/пароля пользователя. Также часто применяются DDoS-атаки на серверы банков и интернет-шлюзы компании-жертвы для затруднения доступа к счетам через систему ДБО.
Несмотря на сложные схемы мошенничеств, преступные группы в системах ДБО оставляют следы незаконной деятельности, по которым они могут быть идентифицированы и привлечены к ответственности
Состав услуги
Компания LETA и Group-IB предлагают полный спектр услуг, связанных с расследованием инцидентов информационной безопасности в ДБО:
- остановку инцидента и блокирование платежных поручений;
- юридически значимый сбор электронных доказательств по инциденту;
- исследование и юридически значимое оформление результатов исследования доказательств по инциденту;
- проведение компьютерно-технической экспертизы носителей информации;
- проведение аналитических работ по идентификации причастных к инциденту лиц и методов совершения инцидента;
- проведение анализа экземпляров вредоносного кода;
- расследование DDoS-атак;
- юридическое сопровождение материалов в правоохранительных органах и в суде;
- создание и реализацию плана по снижению рисков информационной безопасности;
- разработку и внедрение стандартов и политик по обеспечению информационной безопасности;
- абонентское обслуживание в рамках реагирования на инциденты, юридической поддержки, аудитов информационной безопасности и анализа рисков.
После поступления от заказчика звонка с сообщением об инциденте пропажи денежных средств с расчетного счета специалисты компании LETA и Group-IB максимально быстро приложат необходимые усилия, чтобы остановить платежные поручения и воспрепятствовать завершению мошеннической операции.
Электронные улики недолговечны и требуют особого бережного отношения в момент сбора и анализа, чтобы не уничтожить важные для расследования данные и обеспечить их юридическую значимость.
Правильный и своевременный сбор улик – 50% успеха расследования. Поэтому так важен их оперативный сбор компетентными специалистами
В ходе анализа инцидента выявляются причины и источники его происхождения. Анализ уязвимостей, которые позволили злоумышленникам – как внутренним, так и внешним – осуществить мошенничество, дает возможность выявить слабые места в организационных, технических и правовых методах защиты информации, применяемых заказчиком, создать и реализовать эффективный и оптимальный по затратам план по снижению рисков ИБ.
Существующие альтернативы (традиционные способы решения)
На сегодня подавляющее число организаций преимущественно способно предотвращать реализацию мошеннических операций, разрабатывая технические и поведенческие рекомендации для своих заказчиков. В силу непроработанной практики борьбы с киберпреступлениями расследование, уголовное преследование мошеннических действий на сегодня затруднено.
Выгоды
Антифрод-политика разрабатывается на основе уникальной базы знаний компаний LETA и Group-IB, глубоко локализованной в соответствии с российской спецификой и превосходящей доступные в России, но не локализованные западные решения.
