ЛИБРИО    

Читать "Мошенничество в платежной сфере. Бизнес-энциклопедия" - Коллектив авторов - Страница 1 -

Коллектив авторов

Мошенничество в платежной сфере. Бизнес-энциклопедия

Предисловие

Платежная сфера — важнейшая область экономики и жизни социума в целом. А поскольку современная социальная жизнь во всех ее проявлениях — и бизнес, и личный план, и медийное пространство — все более базируется на информационных технологиях, вполне ожидаемо в сторону ИТ мутировали и способы мошенничества и его инструменты. Эволюционировало и само преступное сообщество, создавшее настоящую мошенническую индустрию, собственный рынок, на котором можно купить не только специальный инструментарий, но и заказать взлом любой системы или массированную атаку на тот или иной информационный ресурс. Поэтому информационная безопасность, защита информации становится все более острой проблемой, требующей особого внимания со стороны здоровых общественных сил. Различным аспектам обеспечения информационной безопасности, методам противодействия преступлениям в платежной сфере и посвящена бизнес-энциклопедия « Мошенничество в платежной сфере».

Представляем авторский коллектив книги с указанием наименований разделов, написанных каждым из авторов:

•  Леонид Лямин (начальник отдела электронных банковских технологий департамента банковского надзора Банка России) — « Использование современных форм платежей для легализации преступных доходов и организация противодействия»;

•  Николай Пятиизбянцев (начальник отдела по управлению инцидентами департамента защиты информации Газпромбанка) — « Уголовно-правовые аспекты борьбы с противоправными деяниями в сфере банковских карт», « Гражданско-правовые вопросы в случае несанкционированного использования платежных карт», « Безопасность банкоматов»;

•  Антон Пухов (директор по развитию Центра исследований платежных систем и расчетов) — « Процедуры минимизации рисков при работе с платежными картами»;

•  Павел Ревенков (д.э.н., профессор кафедры экономического анализа и бухгалтерского учета Одинцовского гуманитарного университета) — « Электронные платежи: риск возможного использования для легализации преступных доходов»;

•  Илья Сачков (генеральный директор Group-IB), Валерий Баулин (руководитель лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB), Дмитрий Волков (руководитель отдела расследования инцидентов информационной безопасности Group-IB) — « Практика мошенничества в системах ДБО», « Распространенные виды мошенничества в сфере электронных денег» (в соавторстве);

•  Максим Кузин (главный архитектор продукта БПЦ) — « Методы и инструменты оценки рисков на базе мониторинга карточных транзакций»;

•  Ирина Лобанова (руководитель департамента исследований банковского сектора Национального агентства финансовых исследований) — « Исследование опыта и осведомленности населения по мошенничеству в сфере платежных карт».

С уважением, Алексей Воронин, руководитель проекта, редактор-составитель ( ЦИПСи Р)

Глава 1

Мошенничество в системах дистанционного банковского обслуживания ( ДБО) и электронных денег

1.1. Практика мошенничества в системах ДБО

Рост количества и сумм безналичных операций естественно привлек внимание сначала компьютерной, а потом уже организованной преступности к этому рынку.

Первые масштабные хищения начались в России в 2007 г. Когда суммы хищений стали достигать миллионов долларов, участники преступных групп, которые занимались обналичиваем денежных средств, привлекли внимание организованной преступности, так как на «обнал» уходили очень крупные суммы и процент за вывод денежных средств мог достигать 50 %.

Анализ работы больших преступных групп, задержанных в 2011–2013 гг., показывает, что это большие, хорошо организованные формирования, которым сложно противостоять даже юридически-уголовным путем. Такие факторы, как огромные доходы, несовершенство законодательства и возможности обналичивания денежных средств привели к росту на 100–200 % в год этого типа преступлений. Анализ технических и организационных методов данных преступлений является первостепенной необходимостью для борьбы с этим явлением.

В данной главе представлена необходимая информация, позволяющая специалистам в области безопасности финансовых операций получить основной набор знаний для противодействия подобным типам инцидентов. Глава написана ведущими экспертами-криминалистами Group-IB, которые принимали участия в большинстве резонансных расследований в РФ и СНГ.

В цивилизованном мире регулятором прав и обязанностей, ограничений и мер принуждения является закон. Однако появление и активное развитие информационно-коммуникационных технологий и сферы компьютерной информации доказали обществу, насколько рабочим может быть принцип ubi jus incertum, ibi nullum («если закон не определен — закона нет»).

Этот принцип можно применить к ситуации с разделом законодательства, регулирующим сферу компьютерной информации в РФ: пробелы в действующих законах, отсутствие понятийного аппарата или его некорректное обозначение препятствуют должному применению закона или не допускают его вовсе.

Используя пробелы в законодательстве, ошибки в реализации программного обеспечения и применяя простейшие способы социальной инженерии, мошенникам удалось украсть в сфере интернет-банкинга $ 446 млн (результаты получены из ежегодного отчета компании Group-IB за 2013 г.). Общее количество похищенных денежных средств за 2013 г. представлено на рисунке 1.1.

Рис. 1.1. Оценка объемов рынка киберпреступности в РФ, категория «интернет-мошенничество»

Мошенничество в системах дистанционного банковского обслуживания основано на получении несанкционированного доступа к пользовательской информации, необходимой для работы и авторизации.

Принципиально методы совершения хищения денежных средств различаются способом получения доступа к ключам электронно-цифровой подписи ( ЭЦП) для авторизации в системе ДБО: инсайд или злонамеренные действия третьих лиц (внешнего злоумышленника).

Остановимся более подробно на наиболее распространенных методах совершения преступлений, связанных с системами ДБО.

Инсайд. В случае сговора сотрудников, имеющих доступ к системе ДБО, или по инициативе одного сотрудника, проводятся операции, как правило платежи с использованием легитимных ключей и аутентификационных данных. Также инсайдер может завладеть ключами ЭЦП и логином/паролем как физически, например в случае несоблюдения сотрудниками компании правил политики парольной защиты, так и с помощью применения специализированного программного обеспечения для слежки за действиями пользователей (кейлоггер) на автоматизированном рабочем месте.

Лица, имеющие доступ к данным аутентификации в системе ДБО, это чаще всего: бухгалтер, генеральный директор, системный администратор, а также любой сотрудник, имеющий доступ к ПК, с которого производится работа с системой ДБО.

Внешний злоумышленник действует с помощью специализированных вредоносных программ, которые зачастую недоступны широкой массе людей. Выбор вредоносной программы злоумышленником зависит от того, как будет происходить подтверждение платежа (с помощью SMS-сообщения или электронного носителя с заранее записанным сертификатом), в каком банке находится клиент и какими возможностями должна обладать вредоносная программа.

Внешние злоумышленники для совершения хищений денежных средств используют следующие популярные способы распространения вредоносных программ: электронную почту, покупку загрузок и эксплуатацию уязвимостей на тематических сайтах. Рассмотрим особенности каждого из способов.

1 Перейти к описанию Следующая страница{"b":"274489","o":1}

Исследователь из Стэнфордского университета попросил группу кандидатов наук по литературе прочитать роман Джейн Остин (Jane Austin), находясь внутри аппарата магнитно-резонансной томографии (МРТ). В результате обнаружилось, что аналитическое чтение литературы и чтение просто ради удовольствия обеспечивают различные виды неврологической нагрузки, каждый из которых является своего рода полезным упражнением для человеческого мозга.

Исследование проводилось под руководством специалистов Стэнфордского университета, занимающихся изучением когнитивной и нервной деятельности мозга. Однако сама идея подобного исследования принадлежит специалисту по литературному английскому языку Натали Филипс (Natalie Phillips), которая пытается выяснить, каково истинное значение изучения литературы. Помимо получения знаний и связанных с конкретным произведением культурных аспектов, исторических фактов и гуманитарных сведений, заложена ли в чтении какая-либо ощутимая польза для человека, которая поддается оценке?

Получается, что этот процесс можно зафиксировать – по крайней мере, определить, как при чтении происходит циркуляция крови в мозге. Эксперименты были построены таким образом, чтобы люди, находящиеся в камере аппарата МРТ, смогли прочитать главу из романа Джейн Остин «Парк Мэнсфилд» (Mansfield Park), текст которой проецировался на монитор внутри камеры. Читателей попросили делать это двумя способами: как если бы они читали ради удовольствия, а также провести критический анализ текста, как это делается перед сдачей экзамена.

Аппарат МРТ позволяет ученым наблюдать циркуляцию крови в мозге, и то, что они обнаружили, показалось им особенно интересным: когда мы читаем, кровь поступает в области мозга, которые находятся за пределами участков, отвечающих за управляющие функции. Кровь поступает в участки, связанные с концентрацией мышления. Ничего удивительного в этом нет – для чтения необходимо умение сосредоточиться – однако, было обнаружено, что для аналитического, подробного чтения требуется выполнение определенной сложной когнитивной функции, которая обычно не задействована. По словам ученых, при чтении обоими способами включается когнитивная функция, которая ассоциируется не только с «работой» или «игрой».

Более того, исследование показало, что при одном только переходе от чтения «для удовольствия» к «аналитическому» чтению происходит резкая смена видов нервной деятельности мозга и характера кровообращения в головном мозге. Видимо, по результатам исследования можно будет сделать вывод о механизмах влияния чтения на наш мозг и активизации таких его функций, как способность к концентрации и познанию. А пока исследование подтверждает то, что вы и так уже знаете еще с тех времен, когда учительница в начальных классах твердила вам, что читать полезно для мозга.