журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
СОБЫТИЯ

БАНКОВСКИЕ СТРАТЕГИИ

РОЗНИЧНЫЙ БИЗНЕС

Банковская деятельность

БАНКОВСКИЙ МЕНЕДЖМЕНТ

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

БАНКОВСКИЕ ТЕХНОЛОГИИ

Новые рыночные страны

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №10, 2004

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Противостояние замка и отмычки продолжается

Мошенники изобретают новые методы взлома банковских счетов, а финансовые институты и разработчики программного обеспечения – новые способы противодействия преступникам

Кредитные и дебетные карточки приобрели огромную популярность во всем мире, причем, масштаб их использования быстро разрастается. Однако не менее быстро расширяется и мошенничество в сфере выуживания денег со счетов их владельцев и получения кредитов по украденным или поддельным карточкам. При этом, способы обмана все время усложняются по мере повышения внедряемого банками уровня защиты. Преступность в этой сфере уже приобрела организованный характер, и она интенсифицируется настолько быстро, что банки, которые традиционно конкурируют между собой, осознали необходимость объединения усилий в борьбе с нею.

Создание

преступного рынка

Банкиры предпочитают не особенно распространяться о мошенничествах с дебетными карточками. По словам главы службы безопасности одного крупного банка, говорить об этой проблеме с журналистами просто невозможно: "Если мы сообщим, что разработали защиту, это станет открытым приглашением для мошенников попытаться взломать ее. Если же оценим всю серьезность проблемы, то пресса пожелает узнать, почему тогда она до сих пор не решена".

В частности, международные карточные ассоциации Visa и MasterCard, тщательно отслеживающие все сведения в этом плане, категорически отказываются обнародовать свои материалы. Единственное, что согласились сообщить их представители, так это то, что убытки от афер с кредитными и дебетными карточками составляют менее 1% от общего объема операций. К тому же, все больше проблем возникает именно с дебетными карточками, что обусловлено двумя причинами.

Во-первых, их использование нарастает быстрее всего: по данным American Bankers' Association (ABA) и Dove Consulting, совместно изучавших предпочтения потребителей в отношении формы платежей, все большая часть населения начинает рассчитываться за покупки дебетными карточками. В частности, Bank of America, один из крупнейших в США эмитентов данных финансовых продуктов, сообщил, что за 2003 год расширил объемы их продаж на 23%; у Visa результаты немного скромнее – годовой прирост продаж дебетных карточек достиг 17%. Во-вторых, эта сфера наиболее привлекательна для мошенников потому, что в результате своих "операций" с дебетными карточками они сразу получают конечный результат – наличные.

Масштабы таких правонарушений настолько разрослись, что ими уже занимаются на федеральном уровне: многие дела поступают на рассмотрение в ФБР и U.S. Secret Service. За последние три финансовых года ФБР, разумеется, принимающее участие в расследовании отнюдь не всех финансовых преступлений, было передано в производство около 100 дел, возбужденных по случаям противозаконных действий с дебетными карточками. Кроме того, по статистике Джона Гиллиса, возглавляющего в ФБР подразделение по преступлениям в финансовых институтах, число таких правонарушений непрерывно увеличивается: в 2002 финансовом году сообщения о подозрительной деятельности (Suspicious Activity Reports) были учтены в 1230 случаях мошенничества с дебетными карточками на общую сумму $23.5 млн., в 2003-м – уже соответственно в 1529 ($17.5 млн.), а за первые девять месяцев 2004 финансового года появилось 1632 таких рассмотрений ($31 млн.). Правда, для ФБР дела, связанные с карточками, относятся к разряду задач второго эшелона. Гиллис уточняет: "Да, это действительно проблема. Но в других категориях финансовых преступлений – махинациях с чеками, коммерческими займами и т.п. – ущерб исчисляется миллиардами. Поэтому правонарушения с дебетными карточками находятся значительно ниже в нашем списке первоочередных дел".

В свою очередь, лейтенант Михаэль Раншоу из отдела коммерческих преступлений полицейского департамента Лос-Анджелеса признает, что полиция пока не может остановить лавину преступлений, связанных с дебетными карточками и иными проделками в сфере кражи личных данных. По его словам, жители Лос-Анджелеса ежегодно сообщают, примерно, о 10 тыс. случаев хищения конфиденциальной информации. Главным образом, пострадавшие подают заявления в полицию по рекомендациям банков-эмитентов и карточных ассоциаций. Разумеется, органы охраны принимают их заявления и делают все возможное, но у них недостаточно кадровых ресурсов, чтобы иметь возможность заниматься каждым из возникших дел. Еще одна трудность в их расследовании заключается в том, что, хотя многие банкоматы и оснащены аппаратурой для ведения видеозаписей, банки часто их не сохраняют. Раншоу заявил: "Создается впечатление, что финансовые институты предпочитают списывать убытки в связи с лавиной преступлений, вместо того чтобы вложить определенные суммы в расследование их: видимо, такова их бизнес-стратегия".

Тем не менее, это утверждение сейчас мало соответствует действительности: ситуация радикально изменилась, и теперь говорить, что банки бездействуют, – в корне неправильно. По словам Софи Лоувел, аналитика компании Financial Insights, до недавнего времени большинство финансовых институтов оценивали понесенный ущерб от интернет-пиратства суммами, составляющими, в среднем, 0.04-0.1% от их чистой прибыли. Однако в текущем году задействовано много новых "жульнических" схем, так что это, безусловно, увеличит убытки банков.

Соответственно, финансовым институтам приходится прибегать к более решительным мерам: банки – эмитенты карточек постоянно внедряют новые и новые программные средства для защиты своих клиентов от хакерских атак. Однако преступники "взламывают" их практически с той же скоростью. В 2004 году проблема приняла такие масштабы, что финансисты и крупнейшие поставщики программного обеспечения начинают консолидировать усилия в борьбе с этим злом, утверждая, что вскоре сумеют обуздать этот беспредел. Уже учреждена межбанковская группа, которая пытается организовать борьбу с правонарушителями в сфере дебетных карточек благодаря объединению информации по финансовым институтам всех размеров. Группу возглавляет Кевин Дж. Хэйл, одновременно занимающий посты председателя рабочей группы BITS по борьбе с мошенничеством с дебетными карточками, а после слияния J.P. Morgan Chase и его Bank One – также вице-президента и менеджера по управлению рисками в слившейся структуре.

Этот шаг оказался тем более своевременным, что среди владельцев дебетных карточек началась паника, причем, ее трудно назвать необоснованной. В принципе, все пластиковые карточки уязвимы, не важно – кредитные или дебетные. Защита интересов потребителей практически одинакова в обоих случаях: законодательство ограничивает ответственность владельца карточки, если он немедленно сообщает о возникшей проблеме, многие же эмитенты и вовсе придерживаются политики "нулевой ответственности", чтобы увеличить объемы своих продаж.

Однако между ними есть небольшое, но реальное различие: при афере с кредитной карточкой деньги воруют у банка, а когда с дебетной – вор получает непосредственный доступ к банковскому счету самого потребителя. Поэтому и отношение к данным типам карточек у их владельцев неодинаковое. Хозяин кредитной карточки, получая от банка уведомление, что с его счетом происходит что-то странное, знает, что, в принципе, его интересы защищены. Естественно, его мысль работает в таком ключе: "Ну, что ж, это их (банка) деньги на кредитной линии, им и придется доказывать, что я действовал неправильно, чтобы получить их от меня". Однако у владельца дебетной карточки ситуация иная; когда он подходит к банкомату, чтобы получить наличные, и обнаруживает, что личный счет, на котором еще вчера была кругленькая сумма, опустел, он начинает действовать немедленно. Учитывая широкую распространенность в Интернете историй о том, как пострадавшие от подобного мошенничества годами ожидают исхода конфликтной ситуации, легко представить себе эмоции владельца такого средства платежа. Понятно, что банкам приходится принимать меры, чтобы не утратить этот сектор бизнеса. Тем не менее, до успеха еще далековато.

Хищение личных данных и преступные операции с пластиковыми карточками уже обрели организованный характер, поэтому новая форма "мошеннического бизнеса" развивается быстро и успешно. Как и в любой отрасли экономики, здесь уже выделились два "сектора". В начале "технологической цепочки" функционируют организованные группы хакеров, занимающиеся выуживанием информации, необходимой для доступа к счетам банковских клиентов. Эту "продукцию" они продают "потребляющему сектору", чьи "компании" непосредственно осуществляют финансовые махинации. В обоих секторах быстро идет процесс "консолидации", так что "предприниматели-одиночки" вынуждены покидать "рынок". По мере укрупнения преступных группировок быстро повышается их профессионализм, расширяются масштабы операций.

Многоликая преступность

Преступления, имеющие целью обрести доступ к счетам владельцев дебетных карточек, условно подразделяют на три категории: физические атаки; онлайновые атаки; атаки, направленные на взлом банковских баз данных. Получение нужной информации можно организовать везде, где человек использует карточку, будь то банкомат (ATM) или кассовый терминал в магазине (POS). С этой целью используются портативные считывающие устройства, которыми пользуются отдельные "посетители" банкоматов или магазинов либо те, кто может получить временный доступ к чужой карточке.

Например, кассир, который пропускает карточку через кассовый терминал за спиной у ее владельца, имеет возможность параллельно сделать электронную копию магнитной полоски для себя или своего сообщника. Эту копию можно использовать для изготовления дубликата дебетной карточки, когда одним из признаков, применяемых для идентификации владельца, служит его личная подпись (signature-based). Если же преступники хотят получать информацию через ATM, то они при помощи обычного скотча монтируют считывающее устройство непосредственно в банкомат. Иногда подобные приспособления устанавливают таким образом, что они перекрывают считыватель самого банкомата и регистрируют данные с магнитной полоски вместо него. В более примитивном исполнении мошенники просто выводят из строя считыватель банкомата и монтируют свое устройство прямо на стенке ATM, вывешивая при этом плакатик: "Извините, встроенный считыватель неисправен, клиенты могут временно пользоваться вспомогательным наружным устройством". Некоторые "асы" действуют настолько нагло, что рискуют даже устанавливать свои считыватели на заправках, оснащенных аппаратурой для оплаты с помощью дебетных карточек, а сами, при этом, выступают в роли ремонтной бригады, осуществляющей плановое техническое обслуживание.

Разумеется, получение данных с магнитной полоски – это только половина решения задачи, а для реального доступа к банковскому счету необходимо знать еще и PIN-код. По словам экспертов, известно несколько способов получения информации о паролях. Например, мошенники устанавливают на банкоматы фальшивые таблички с вмонтированной в них миниатюрной камерой. Эти камеры передают изображение клиента, вводящего PIN-код, человеку с приемным устройством, находящемуся в припаркованном неподалеку автомобиле. Иногда вместо камеры преступники используют ложную клавишную панель, которую накладывают на клавиатуру банкомата; ее функция заключается только в том, чтобы зафиксировать введенный клиентом PIN-код.

Иногда клиенту дают уйти с уверенностью, что банкомат просто неисправен, но еще лучше выуживать информацию, дав ему возможность довести операцию до конца. Иногда один из членов преступной группы (а такие аферы обычно осуществляют именно организованные преступные кланы) занимает позицию около ATM, выдавая себя за клиента, и пытается рассмотреть PIN-код, заглядывая через плечо потенциальной жертвы. Как вариация этого способа – вылавливаются карточки клиентов, для чего используют крючки или проволочные "арканы" типа печально известной "ливанской петли". В этом случае один из мошенников, якобы, пытается помочь клиенту, у которого карточка "застряла" в банкомате, и ищет предлоги, чтобы вынудить доверчивого клиента повторно ввести свой PIN-код.

Например, мошенник заводит в приемную щель банкомата тонкую проволочную петлю и удаляется. Затем появляется настоящий клиент, опускает в щель карточку и обнаруживает, что она застряла – он не может ни снять желаемую сумму, ни извлечь карточку. К растерявшемуся владельцу карточки подходит напарник первого афериста, играющий роль "доброго самаритянина" и обычного клиента этого же банка, и говорит ему нечто в таком духе: "Знаете, со мной вчера произошла такая же история, я начал тыкать в разные клавиши, а потом просто еще раз ввел свой PIN-код и нажал одновременно "cancel" и "enter", и все получилось нормально. Попробуйте и вы"! Человек следует совету, но, разумеется, ничего из этого не выходит. Зато мошенники, которые сразу после ухода жертвы извлекают "застрявшую" карточку из банкомата, уже знают также и PIN-код.

Однако наибольшую распространенность в последние месяцы приобрел способ выуживания личных данных через Интернет по системе "фишинг". Этимология этого слова вполне информативна: phishing (фишинг) = password (пароль) + fishing (рыбалка), т.е. речь идет о "выуживании пароля". Обычно фишинг-атака представляет собой рассылку банковским клиентам электронных писем с поддельным обратным адресом: их приглашают кликнуть по гиперссылке, которая перенаправит их на веб-страничку, где им следует по просьбе банка обновить свой пароль и личные данные. Эта страничка очень похожа на настоящий банковский сайт, но в действительности злоумышленники заманивают доверчивых пользователей на собственные сайты. Цель атаки – выведать необходимые для осуществления финансовой аферы персональные данные, включая номера счетов и кредитных карт. Далее мошенники, применяющие такие схемы, либо используют добытую информацию самостоятельно, либо организуют торговлю номерами пластиковых карт и прочих персональных данных через скрытые онлайновые форумы.

С лета 2003 года от фишинговых атак пострадало около двадцати крупных банков и финансовых компаний. Более других подвергается интернет-нападениям Citibank: за первое полугодие 2004 года число атак на его клиентов увеличилось на 250% по сравнению с аналогичным периодом прошлого года, за ним следуют электронная аукционная компания eBay (105%) и фирма электронных платежей Paypal (85%). По официальной статистике, в США "клюет" на такие "проделки" каждый десятый пользователь.

Фишинг достиг огромных, даже по меркам Всемирной сети, масштабов. По количеству обманутых банковских клиентов фишинг занимает второе место после манипуляций с украденными кредитными карточками. В отчете Gartner, опубликованном 15 июня 2004 года, указывается, что за последний год на подобный обман попалось почти 2 млн. человек, которые потеряли около $2.4 млрд., открыв мошенникам несанкционированный доступ к своим счетам.

Кроме того, это один из наиболее быстро развивающихся типов финансового мошенничества. Количество "рейдов" нарастает лавинообразно: за последние полгода их число возростало, в среднем, на 110% в месяц. Поэтому правительства разных стран, правоохранительные органы и финансовые компании сейчас предоставили борьбе с фишингом высший приоритет, а мировое информационно-техническое сообщество интенсивно разрабатывает способы решения данной проблемы.

Охота на "рыбаков"

Первая в истории фишинговая атака была совершена в 1996 году: именно тогда клиенты интернет-провайдера America Online начали получать поддельные сообщения с предложением сообщить их пароль для входа в систему, поскольку это, как утверждалось, необходимо "для модификации информации". Выуживая такие сведения, жулики получали возможность пользоваться Интернетом, ведя оплату через чужие счета. Последующее развитие интернет-банкинга привлекло интерес более серьезных мошенников, которые начали использовать в своих целях сравнительно низкий уровень защиты электронной почты и превратили фишинг в изощренную сетевую кражу конфиденциальной информации. Первый случай финансового фишинга был зарегистрирован в марте прошлого года в Австралии, затем этот способ воровства стали использовать в США и Великобритании, а далее эпидемия охватила все европейские страны.

По словам Марка Роджерса, представителя Citibank, специалисты банка считают главным оружием в борьбе с фишингом просвещенность клиентов. Поэтому на домашней странице банка Citibank.com имеется ссылка "About e-mail fraud" ("О мошенничестве с электронной почтой"), благодаря чему можно ознакомиться с длинным списком поддельных адресов электронной почты, содержащих потенциальную опасность для клиентов банка. Только за два месяца – с середины апреля по середину июня – клиенты Citibank получили 38 фальшивых электронных сообщений, и их количество продолжает стабильно нарастать, причем содержащаяся в них информация становится все более правдоподобной. Например, в одном из них указано следующее: "Мы с сожалением должны сообщить, что вынуждены заблокировать ваш счет в Citibank, поскольку нас уведомили о том, что, возможно, он был взломан". В письме предоставлена на первый взгляд подлинная URL-ссылка для проверки – https://www.citibank.com/account_verify/

cgi/index.htm, а сайт, к которому она ведет, имеет тот же дизайн, что и настоящий сайт Citibank, на нем имеется логотип банка, использованы идентичные размещение и шрифты.

Организации ранга Paypal, eBay, US Bank и Bank of America тоже часто оказываются жертвами подобных махинаций, когда посредством массовой рассылки от их имени отправлялись приглашения "подтвердить свою информацию". Большое количество обманутых пользователей объясняется тем, что в некоторых случаях получателям сообщается, что с их кредитной карточки была снята определенная сумма для оплаты телефонных или коммунальных платежей, а также кабельного ТВ. Привыкшие к такой безалаберности операторов американцы возмущенно идут по ссылке, чтобы проверить состояние своего счета, в порыве эмоций указывая все важные данные в полях формы неизвестного происхождения. Последние фишинговые провокации были особенно издевательскими: не успел президент США в одном из своих регулярных посланий Конгрессу упомянуть о необходимости принятия закона Patriot Act по борьбе с терроризмом и отмыванием денег, как в почтовые ящики пользователей тут же посыпались "банковские" письма, требующие подтверждения информации, поскольку финансовые институты хотят заранее привести свои системы в соответствие с Patriot Act.

Уровень технического исполнения афер непрерывно совершенствуется: "фишеры" уже начали использовать небольшие (написанные под java) всплывающие окна, которые накладываются на адресную панель таким образом, чтобы создать у пользователей полную иллюзию, что они находятся на настоящем сайте, а не на поддельной странице. Кроме того, часто они добавляют пиктограмму в виде замка, которая уже долгое время считается символом интернет-защиты, а это еще более усиливает иллюзию подлинности послания. Однако недавно появился самый коварный вариант фишинга, когда электронное письмо содержит "троянского коня" – программу регистрации по нажатию кнопки, которая без ведома пользователя загружается на его компьютер. При этом, некоторые варианты секретных программ могут активизироваться автоматически, когда пользователь заходит на определенные сайты, например, на банковские. В этом случае программа тайно делает запись личных данных пользователя и пересылает их мошеннику, а пользователи даже ни о чем не подозревают.

По словам Марка Бруно, директора по разработке, производству и маркетингу новой продукции ведущей антиспамовой компании Brightmail (ее недавно приобрела Symantec), специалисты его фирмы ежедневно обнаруживают около 25 новых уникальных фишинговых программ. Они отличаются тем, что их создатели не только получают доступ к персональным банковским счетам, но и используют личную информацию о своих жертвах для открытия на их имя новых счетов, используемых для получения кредитных карточек, о существовании которых обманутые клиенты могут не догадываться в течение нескольких месяцев.

По оценкам Бруно, "корпорации, клиенты которых подверглись такому обману, ежегодно выкладывают около $500 тыс. на борьбу с 62 млн. фишинговых электронных писем". Это не слишком значимая сумма для компаний, входящих в рейтинг Fortune 500. Тем не менее, Brightmail, обрабатывая около 20% рассылаемых по всему миру электронных писем, ежемесячно сталкивается с более чем 2.4 млрд. фишинговых сообщений. Отсюда следует, что ежегодно в Интернете появляется до 156 млрд. фишинговых писем, и, по оценкам Бруно, это мошенничество приносит крупным корпорациям $1.2 млрд. убытков в год. Эти деньги уходят на поддержку пользователей и компенсацию ущерба. В целом, по сведениям компаний, специализирующихся на интернет-защите, в настоящее время фишинговые письма составляют около 4% от объема спама. При этом, эксперты уверены, что в ближайшее время эта доля резко увеличится. Бруно заявил журналистам: "Фишинг видоизменяется быстрее, чем спам, потому что этот вид преступлений намного прибыльнее".

В свою очередь, директор антиспамовой компании Ironport Скотт Вайсс утверждает: "Существует отлаженная цепочка преступной интерактивной деятельности с использованием инструментария интернет-методов. Представители организованной преступности финансируют компьютерных хакеров, рассылающих вирусы, специально создающие "виртуальные компьютерные сети" зомби-машин. После этого бандиты распродают "эфирное время" на этих виртуальных компьютерных сетях, предоставляя жуликам возможность рассылать через них миллионы фишинговых электронных писем, которые почти невозможно отследить".

При этом, по словам Мика Дитса, возглавляющего Национальный департамент Великобритании по борьбе с преступлениями в сфере высоких технологий (National Hi-Tech Crime Unit – NHTCU), "зачастую после взлома счетов аферисты начинают использовать их реквизиты для осуществления через Интернет сложных операций по отмыванию денег". Он заявил журналистам: "В основном, преступные элементы приходят из Восточной Европы. За последнее время мы столкнулись со множеством обманутых русскоязычных пользователей, предоставлявших свои счета для перевода денег обратно в Россию. Обнаруживают подходящих жертв обычно при помощи менеджеров мгновенных сообщений (ICQ), затем проверяют их связи на родине (в России или странах СНГ). Далее их просят выручить "российского бизнесмена", который пытается переслать немного денег домой, разумеется, обещая за это вознаграждение". В настоящее время NHTCU уже заручился поддержкой ФБР и испанской полиции, и Дитс уверен, что это сотрудничество значительно усиливает шансы правоохранительных органов в части выявления международных "фишеров".

В комбинации с обычными кражами и подделкой карточек "фишинг" приносит ворам весьма неплохие дивиденды, а убытки банков ощутимо нарастают: как правило, они возмещают клиентские потери, обусловленные мошенничеством, особенно если пострадавшие сообщают об этом в течение 60 дней. Однако сами клиенты, все-таки, тоже остаются в проигрыше, поскольку им приходится довольно долго добиваться возмещения убытков, а это создает новые проблемы для банков. По мнению аналитиков Gartner, финансовым институтам необходимо найти правильное решение задачи прежде, чем клиенты полностью утратят доверие к электронным финансовым операциям. Правда, специалисты Financial Insights полагают, что после 2005 года потери банков от фишинга и других видов преступлений с карточками значительно уменьшатся, поскольку весь мировой банковский сектор сосредоточил усилия на решении острых проблем. С их точки зрения, в ближайшие год-полтора появятся новые прогрессивные технологии, которые резко ограничат возможности мошенников, а далее ситуация будет оставаться стабильной до тех пор, "пока не произойдет новый технологический прорыв, аналогичный по масштабам внедрению Интернета и электронной почты".

Беда решается сообща

Банковская отрасль упорно ищет пути решения проблемы подлогов; ожидается, что это решение будет найдено в виде новых прогрессивных технологий. Тем не менее, глава департамента по связям с общественностью компании eBay Ховард Шмидт (бывший специальный агент американской армии) утверждает, что новые технологические решения – только один из четырех перспективных подходов для борьбы с фишингом. Три другие – это расширение информированности клиентов, более плотное сотрудничество банков в сфере совместного использования информации и повышение квалификации профессиональных кадров, работающих в области координации антиспамового законодательства. По словам Шмидта, "банки и крупные компании, занимающиеся электронной коммерцией, все успешнее справляются с подобными проблемами. Однако, поскольку они постоянно применяют одни и те же методы, преступники начинают прибегать к более изощренным приемам".

В любом случае углубление межбанковского сотрудничества неизбежно. По мнению экспертов, успех в этой борьбе будет зависеть от способности финансовых институтов воспринимать свои данные в качестве ресурсов, которые следует сообща применять в собственных операциях, как по отрасли в целом, так и, в определенной мере, в нескольких отраслях. Учитывая специфику деятельности с дебетными карточками, ни один финансовый институт не в состоянии единолично обезопасить себя и клиентов. Сама основа универсального доступа к счетам через Интернет, банкоматы и кассовые терминалы предусматривает взаимозависимость, так что практически каждая коммерческая точка, принимающая платежи по карточкам, должна быть защищена в такой же степени, как и внутренние банковские сети и системы, поскольку прочность всей цепочки определяется прочностью ее самого слабого звена. Если банковский клиент может использовать банкоматы и кассовые терминалы других организаций или у них в базах данных имеются некоторые записи, имеющие отношение к дебетной карточке конкретного банка, то какими бы современнейшими технологиями этот банк ни пользовался, его дебетное подразделение оказывается уязвимым.

Собственно говоря, финансовые институты уже начинают использовать именно такой подход, стремясь отслеживать случаи правонарушений и классифицировать их по типам счетов или продуктов, чтобы создать основу для понимания системы подобных атак. С этой целью эмитенты карточек, их производители и ряд связанных с этим видом деятельности организаций уже объединились в международный консорциум, который, как ожидается, станет для отрасли источником огромного опыта и высочайшей квалификации в сфере безопасности банкоматов и карточек. Сотрудничество в банковском секторе в части объединения данных начинает обретать все более конкретную форму. Кроме того, ожидается, что до конца текущего года пятьдесят американских банков учредят Theft Assistance Center (ITAC), имея целью оказание помощи жертвам краж личных данных. Этим центром будет руководить некоммерческий вашингтонский консорциум BITS, который будет упрощать пострадавшим преодоление барьеров, обусловленных обращениями в многочисленные финансовые инстанции, если их счета вдруг будут скомпрометированы. Понесшие ущерб клиенты будут сообщать о преступлении только в свой первичный институт. Кроме того, центр будет обобщать информацию о мошенничествах с представителями правоохранительных органов, чтобы сократить количество случаев присвоения личных данных.

Кроме того, начинают появляться организации меньшего масштаба, которые учреждены для решения аналогичных задач. Например, американская финансовая группа US Bancorp за последние несколько лет сделала крупные инвестиции в организацию специализированного центра по предотвращению такого рода преступлений. Персонал центра принимает звонки от потерпевших и помогает им быстро заблокировать украденные карточки, а специальная группа по борьбе с воровством личных данных оказывает всяческое содействие, если у владельца дебетной карточки возникают серьезные проблемы в этой области. По мнению обозревателей, такого рода сотрудничество между банками, которые во всех остальных сферах остаются конкурентами, будет способствовать укреплению отрасли в целом. Банки традиционно не склонны к объединениям, но, когда проблема предотвращения мошенничества обрела серьезные масштабы, стало очевидно, что в этом аспекте они не конкуренты, а союзники.

Фактически сейчас на финансовом рынке США разворачивается интенсивная деятельность на основе всех четырех названных Шмидтом подходов, причем, в этой сфере налицо деятельное сотрудничество банков с властями и негосударственными организациями. Например, 17 июня Министерство финансов США, Организация защиты прав потребителей (Better Business Bureau) и Федеральная торговая комиссия (Federal Trade Commission) учредили совместную систему обучения пользователей компьютеров способам, обеспечивающим возможность избежать нападения фишинг-преступников. За два дня до этого ряд компаний, включая IBM и Fidelity Investments, учредили Форум по надежным электронным коммуникациям (TECF) – специальную группу, основная задача которой состоит в разработке технических стандартов для борьбы с фишингом. Шон Элдридж, директор по продуктовой и маркетинговой стратегии компании PostX, а отныне еще и председатель TECF, рассчитывает, что группа сумеет в ближайшее время найти ряд технологических и юридических способов борьбы с жульничеством.

Технические решения

Существующие в настоящее время антифишинговые технологии основаны на инструментальных средствах мониторинга почтовых серверов и методах проверки веб-узлов, которые дают возможность получать предупреждение об опасности. Несколько фирм, включая Brightmail и Cyveillance, занимающихся анализом электронной почты на предмет выявления писем со спамом, попутно обнаруживают фишинговые сайты и сразу извещают о них остальные компании.

По мнению аналитиков Forrester Research, новейшие системы раннего предупреждения тоже достаточно эффективны, тем не менее, они не могут обеспечивать непосредственную защиту банковских клиентов. В этом отношении наиболее эффективным направлением представляется развитие интернет-технологий, которые могли бы гарантировать законность получаемых сообщений. Например, сейчас Internet Engineering Task Force разрабатывает спецификации для регистрации авторизированных серверов, занимающихся рассылкой электронной почты. Этот подход в комбинации с технологиями Caller ID и Sender Policy Framework (SPF), которые разрабатывают соответственно Microsoft и Pobox.com, представляется вполне перспективным.

Новые системы предназначены для проверки электронных адресов: CallerID и SPF проводят сравнение сервера отправки письма с доменом отправителя. Эти системы аналогичны телефонному определителю номера (Caller ID) и отражают настоящий домен отправителя электронного письма, так же как Caller ID сообщает номер телефона абонента. Недавно Microsoft и Pobox.com объявили, что намерены объединить обе эти технологии под единой спецификацией. При этом, существенно то, что внедрение технологий CallerID/SPF не приведет к увеличению затрат банковских IT-отделов. Официальный представитель Microsoft предупредил: "Нет абсолютно никакой разницы, с помощью какого программного обеспечения, сервера или домена отосланы или приняты в большинстве своем электронные писма. Вам всего лишь необходимо будет изменить содержимое блока имен доменов (Domain Name System), что, как правило, представляет собой процедурную рутину. А это можно сделать и без приобретения нового программного обеспечения".

Кроме того, недавно появилась новая антифишинговая система Yahoo! DomainKeys, способная проверять содержание сообщений и панелей от eBay и EarthLink: при обращении к одному из фишинговых сайтов они становятся красными или к ним просто перекрывается доступ. В свою очередь, крупные компании – поставщики платежных технологий, включая VASCO, Banksys, Element и STMicroelectronics, объединили усилия для создания универсальной платформы идентификации, предназначенной для безопасного использования EMV-карт при совершении покупок в Интернете. Впервые они анонсировали свою разработку на международной выставке CeBIT-2004, состоявшейся в начале нынешнего года в Ганновере, и объявили, что это совместное техническое решение обеспечит банкам реальную поддержку в их борьбе с фишингом.

В свою очередь, озаботились проблемой надежности идентификации клиентов и японские банки, но для ее решения они избрали нетривиальный путь: японцы сейчас внедряют новую систему идентификации, основанную на биометрических датчиках, считывающих уникальные характеристики ладоней пользователя, включая индивидуальный для каждого человека рисунок вен. Система делает серию контрольных снимков для занесения в память эталона данных того или иного пользователя. Сканирование осуществляется в инфракрасном режиме, достаточном для получения четкого рисунка венозной системы. Разработчик системы компания Fujitsu считает, что метод дополнительной защиты при помощи сканеров лишит посторонних лиц возможности воспользоваться кредитной картой, даже если им будет известен PIN-код. Токийские банки будут вооружены новой методикой уже в октябре 2004 года.

Постепенно решаются и юридические проблемы. В большинстве случаев действующие законы не дают оснований для возбуждения исков против онлайновых мошенников, однако во многих странах уже задумались о необходимости изменить данную ситуацию. В частности, в США в середине июля сенатор от штата Вермонт демократ Патрик Лихи представил Сенату специальный законопроект. Предполагается ввести "Закон о борьбе с фишингом" (The Anti-Phishing Act of 2004), запрещающий подделку сайтов с целью принудить пользователя передать свои идентификационные данные чужому лицу. Преступлением согласно законопроекту должна считаться также и подделка обратных адресов электронной почты с целью заманивания пользователей на поддельные сайты. При этом, авторы закона подчеркивают, что чтят свободу слова, так что останутся совершенно законными сайты-пародии, без злого умысла имитирующие ресурсы известных компаний или просто популярные сайты.

Если этот закон, который квалифицирует интернет-аферу как федеральное преступление, будет принят, то правонарушителям, использующим фишинг, будет угрожать тюремное заключение сроком до пяти лет. Тем не менее, это вряд ли остановит преступников, получающих все большие прибыли от своих деяний, вот почему банкам приходится все в большей мере рассчитывать на разработку именно технологических решений.

Линии защиты

Банковская отрасль инвестировала миллионы в разработку систем и стратегий предотвращения преступности. Например, американский банк Wachovia организовал специальную группу безопасности из 500 специалистов, в задачи которой входит противодействие мошенничеству в масштабах всей компании. Кроме того, для исключения возможности обмана задействовали 22 системы и 30 методик. По словам Брайана МакГинли, директора отдела управления затратами, такой масштаб инвестиций вполне оправдан: один потраченный доллар обеспечивает сокращение убытков, сопряженных с противозаконным действием, на $8-16.

Успешные программы – типа задействованной в Wachovia – основаны вовсе не на увеличении численности кадров отдела защиты. Эксперты все чаще рекомендуют использовать глобальный подход, включающий в единую систему банковские операции и взаимоотношения с клиентами. Такая стратегия упрощает решение возникающих в связи с аферами проблем и, кроме того, способствует адаптации к новым требованиям, обусловленным последними законами, включая Check 21и Patriot Act (сообщения о подозрительных операциях). Для оптимального планирования должного отпора мошенникам специалисты Financial Insights разработали подход, основанный на разделении вариантов подлога и возможных путей решения проблемы на три обширные категории: обман в точках обслуживания, обман при проведении операций и внутренний обман.

Многие разработчики технологий по защите от мошенничества призывают банки использовать глобальный подход. По словам Теда Крукса, вице-президента фирмы Fair Isaac Corp, производителя разработанного для предотвращения нарушений программного обеспечения Falcon line, как правило, решения, охватывающие все предприятие, но обеспечивающие охрану от определенных видов незаконных операций, не способны противостоять серьезным угрозам: "За последние 14 лет возрос уровень категоризации, направленной на поиск более специфических решений. Однако проблема в том, что преступность активно эволюционирует. В результате может оказаться, что мы занимаемся бесполезной деятельностью, разрабатывая массу отдельных решений", – говорит Крукс.

Аферисты используют значительно более сложные схемы, чем всего несколько лет тому назад, часто в их трюкачествах переплетаются мошенничества разных категорий и все больше в них вовлекаются сотрудники банков. Поэтому многие финансовые институты склоняются к подходу "в масштабах предприятия", предусматривающему целостность всей операционной деятельности. По словам Крукса, "изыскиваются возможности для отслеживания нарушений как действий, выходящих за рамки обычной повседневной работы. Предполагается, что это можно будет сделать при использовании интеллектуальных систем, способных для идентификации стиля противозаконного пов

Галина Резник,
по материалам
Financial Times, Smart-info, recon.ru, news.samweb.ru, uabanker.net, news.proext.com,
crime-research.ru, rol.ru, viruslist.ru, ap4e.ru

 
© агенство "Стандарт"