Сведения об актуальных угрозах, реализация которых привела к несанкционированным операциям или к повышению риска их совершения. Отмеченная в 2014 году тенденция повышения внимания злоумышленников к методам осуществления несанкционированных операций в системах ДБО сохраняется и в 2015 году. При этом существенным фактором является увеличение популярности у клиентов кредитных организаций услуг по осуществлению переводов денежных средств с использованием мобильных устройств, в частности, использование систем мобильного банкинга (системы Интернет-банкинга, предназначенные для установки на мобильные устройства клиента) и осуществление переводов денежных средств на основании SMS-сообщений (так называемый SMS-банкинг).
Наиболее распространенным методом осуществления несанкционированных переводов денежных средств с использованием мобильного устройства является его заражение вредоносным кодом. Использование методов социальной инженерии (ссылки в SMS-сообщениях, реклама на сайтах) существенно повышает вероятность заражения мобильного устройства. При этом злоумышленник получает возможность составления распоряжений об осуществлении переводов денежных средств, а уведомления о совершении операций по переводу денежных средств могут быть не доступны владельцу телефона. Кроме того, методы социальной инженерии используются злоумышленниками при распространении информации (например, с использованием услуг, предоставляемых операторами связи, ресурсов в сети «Интернет», в том числе электронной почты), побуждающей клиента сообщать информацию, необходимую для осуществления переводов денежных средств от его имени, в том числе аутентификационную информацию.
В целях минимизации рисков осуществления несанкционированных операций при осуществлении переводов денежных средств с использованием мобильных устройств владельцу устройства необходимо соблюдать рекомендации, формируемые кредитной организацией в соответствии с требованиями подпункта 2.12.3 пункта 2.12 Положения № 382-П. В числе основных рекомендаций можно привести следующие:
- в случае изменения контактной информации, предоставленной кредитной организации при заключении договора о выдаче и обслуживании платежной карты, своевременно проинформировать об этом кредитную организацию;
- не сообщать третьим лицам, в том числе сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код, указанный на оборотной стороне платежной карты, пароли от системы Интернет-банкинга, одноразовые коды подтверждения;
- поддерживать в актуальном состоянии антивирусные базы и антивирусное программное обеспечение, установленное на мобильном устройстве;
- осуществлять установку программ на мобильное устройство из достоверных источников и от надежных разработчиков.
Недостаточная защищенность внутренней локальной вычислительной сети (далее – ЛВС) операторов по переводу денежных средств, операторов услуг платежной инфраструктуры, а также использование в отношении их сотрудников методов социальной инженерии (например, рассылки электронных сообщений, содержащих вредоносный код) могут привести к реализации атак на информационную инфраструктуру, в том числе на банкоматы кредитных организаций и серверы управления такими устройствами.
В течение 2015 года в Банк России было сообщено о хищениях денежных средств из банкоматов вследствие получения несанкционированного доступа к инфраструктуре кредитных организаций, с которой осуществляется удаленное управление банкоматами, а также по причине заражения программной части банкоматов вредоносным кодом. Ущерб от реализации подобных атак за 2015 год составил более 29 млн руб.
Банк России отмечает смещение вектора атак в сторону кредитных организаций. Так инциденты, связанные с целевыми атаками на операционную инфраструктуру кредитных организаций и платежных систем, в 2015 году привели к финансовым потерям в размере более 900 млн руб.
В Банк России поступила информация об имевших место в 2014 – 2015 годах нарушениях порядка совершения операций с использованием платежных карт, заключавшихся в формировании поддельных заявлений на отмену авторизации переводов денежных средств, осуществленных с использованием платежных карт, и последующей разблокировки сумм на счетах плательщиков. В результате таких инцидентов злоумышленники смогли похитить денежные средства в размере более 500 млн руб.
Для снижения рисков осуществления несанкционированных переводов денежных средств кредитным организациям необходимо усилить контроль за обеспечением защиты информации при эксплуатации собственной инфраструктуры, используемой для взаимодействия с платежными системами. Кроме того, операторам услуг платежной инфраструктуры необходимо усилить контроль за выполнением процедур изменения лимитов на осуществление операций участниками платежной системы, осуществлять выявление нетипичных для участника платежной системы операций, связанных с осуществлением переводов денежных средств, а также контролировать процессы проверки реквизитов распоряжений на перевод денежных средств и процессы отмены таких распоряжений.
В целях минимизации рисков возникновения ущерба от указанных выше инцидентов, кредитным организациям, а также платежным клиринговым и операционным центрам платежных систем необходимо усилить контроль за применением организационных мер и технических средств защиты информации, обусловленным требованиями Положения № 382-П, при эксплуатации объектов информационной инфраструктуры, используемых при взаимодействии с платежными системами, включая платежные системы, в рамках которых осуществляются переводы денежных средств с использованием платежных карт, в том числе осуществлять:
- контроль доступа к объектам лиц, осуществляющих их эксплуатацию и обслуживание, а также предоставление прав доступа к объектам исключительно для выполнения должностных обязанностей;
- анализ схемы ЛВС кредитной организации, в том числе размещение объектов в выделенных сегментах ЛВС;
- контроль сетевой активности, в том числе обращения к прокси-серверу, контроль конфигурации межсетевых экранов, а также, в случае наличия, технических средств обнаружения и предотвращения вторжений;
- мониторинг появления признаков нештатного функционирования платежной инфраструктуры;
- контроль функционирования и регулярного обновления программного обеспечения, предназначенного для защиты информации, в том числе средств защиты от воздействия вредоносного кода;
- контроль соблюдения порядка формирования, удостоверения, передачи электронных сообщений, в том числе содержащих распоряжения о переводе денежных средств или сведения об увеличении лимитов на совершение операций.