{"id":13506,"url":"\/distributions\/13506\/click?bit=1&hash=27fcb5113e18b33c3be66ae079d9d20078d1c30f1b468cdc86ecaeefa18446c2","title":"\u0415\u0441\u0442\u044c \u043b\u0438 \u0442\u0432\u043e\u0440\u0447\u0435\u0441\u0442\u0432\u043e \u0432 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0438? \u0410 \u0435\u0441\u043b\u0438 \u043d\u0430\u0439\u0434\u0451\u043c?","buttonText":"\u0423\u0436\u0435 \u043d\u0430\u0448\u043b\u0438","imageUuid":"2c16a631-a285-56a4-9535-74c65fc29189","isPaidAndBannersEnabled":false}

Безопасность в цифровых каналах. Социальная инженерия - есть ли спасение?

В прошлый раз показала статистику хищений за последние года. Было страшновато. Да и с началом «инфекционного кризиса» ситуация усугубилась. По информации наших коллег в банках, сейчас наблюдается всплеск фрода. И с каждым днем это становится все опаснее, особенно в преддверии Новогодних праздников.

Фишинговые сайты, подмена SIM-карт, перехват сообщений, и, конечно же, социальная инженерия — вот арсенал успешных в настоящее время приемов злоумышленников.

Существует несколько наиболее массовых сценариев хищений. Самый распространённый – звонок якобы из службы безопасности банка, кредитные отделы и пр., где в разговоре мошенник «банковским» голосом, а теперь даже роботом убеждает клиента сказать код из SMS или PUSH, назвать пин-код от карты, чтобы его сменить и т.д.. Другой часто встречающийся сценарий применяется в момент интернет-шоппинга. В ходе оплаты клиент переадресуется с торговой площадки на страницу #якобысвоегобанка и получает код, который он получает в SMS или PUSH.

Подобных схем много. Это случается во многом потому, что в SMS или PUSH-сообщении невозможно указать всю информацию о платеже, чтобы клиент мог все проверить и среагировать.

Что могут сделать банки?

  • забрать у клиента возможность сообщить какой-либо код,
  • исключить возможность подтвердить документ без желания и контроля клиентского устройства,
  • обеспечить контроль целостности и авторства.

На сегодняшний день, одним из самых удобных и эффективных средств для повышения безопасности является мобильная электронная подпись. "Посмотрел, проверил, подписал". Подпись работает только на конкретном устройстве, не использует коды подтверждения, которые можно было бы перехватить или сообщить мошеннику, а ключи подписи невозможно украсть или использовать в другом смартфоне. Это исключает возможность подтвердить «чужую» операцию без желания и контроля клиентом, сохраняет юридическую значимость совершаемого действия и обеспечивает контроль целостности и авторства.

Однако, некоторые банки используют решения, которые вообще нельзя назвать «подписью» — после взгляда в камеру или прикладывания пальца не происходит криптографических преобразований! После этих действий либо вообще ничего не происходит, либо к операции подставляется id сессии, который един для любых переводов в ее рамках, либо еще какая-нибудь мало защищенная ерунда. Все это создает лишь иллюзию подписи и безопасности, которая приводит к атакам на клиентов и большому количеству конфликтны ситуаций.

Дарья Верестникова
Коммерческий директор компании SafeTech
0
Комментарии
Читать все 0 комментариев
null