Центральный Банк России выпустил регулярный документ «Обзор операций, совершенных без согласия клиентов финансовых организаций за 2020 год». Чем отличился год социальной изоляции и на что эксперты ЦБ обращают внимание:
· За 2020 год количество операций по переводу денежных средств с использованием электронных средств платежей (ЭСП) у физических лиц выросло на 23%, а объем операций на 28% и составил 91 трлн руб. У юридических лиц количество аналогичных операций выросло на 45,5%.
· Выросло количество инцидентов и общая сумма хищений через банкоматы и терминалы (на 40,3%), из них 15,8% операций были проведены с использованием приемов социальной инженерии.
· Объем хищений через системы дистанционного банковского обслуживания (ДБО) вырос на 70,1% по сравнению с 2019 г. А доля социальной инженерии в общем числе операций в данном случае – порядка 80% в виду целевого характера атак – получая доступ к ДБО жертвы злоумышленник практически ограничен в доходе только верхней границей суммы средств на клиентском счету.
· И в лидерах по количеству мошеннических операций не первый год выступают CNP-транзакции (покупки через Интернет без физического предъявления карты - Card not present transaction), 61,5% из которых является результатом применения методов социальной инженерии.
· Доля операций, совершенных с использованием и предъявлением платежных карт в 2020 г. как и в 2019 г. не превышает целевой показатель в 0,005%. Что подтверждает правильность мер защиты данных сервисов.
· Сумма возвратов по мошенническим операциям от всего объема операций снизилась на 3,3% по сравнению с 2019 г. для физических лиц, и на 1,4% для юридических. «Кредитные организации не возвращают денежные средства в случае нарушения клиентом условий договора, предусматривающих необходимость сохранения конфиденциальности платежной информации (статья 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе»)», – уточняют эксперты ЦБ.
Хорошая новость, что суммарная доля мошенничества с использованием социальной инженерии несколько уменьшилась, что говорит об эффективности работы всех экспертных сообществ, повышающих общую осведомленность населения о механике подобных атак.
Но все еще большая часть операций без согласия клиента совершается в результате использования злоумышленниками методов социальной инженерии (61,8% случаев у физических лиц, 33% - у юридических) для получения несанкционированного прямого доступа к ЭСП владельцев средств, либо побуждения их самостоятельно совершить перевод в пользу мошенников.
«Почвой для мошенничества являются утечки данных, как внешние, так и внутренние. Таким образом у злоумышленника появляются набор конфиденциальных персональных данных, с помощью которого он может ввести жертву в заблуждение и злоупотребить доверием или запугать. Причем, часто источником данных являются не только кредитные организации, но и торгово-сервисные, некоммерческие и другие предприятия», - комментирует Руслан Косарим, руководитель отдела прикладных систем группы компаний Angara.
Внедрение и эксплуатация систем защиты от утечек данных – Data Leak Prevention (DLP) – требует такого же постоянного внимания и экспертного анализа, как центр мониторинга событий ИБ. Группа компаний Ангара предлагает комплексную услугу внедрения DLP систем, и рекомендует следующие решения этого класса:
· Продукты компании InfoWatch (Traffic Monitor, Vision, Prediction),
· Гарда Предприятие,
· Forcepoint DLP.
По всем вопросам вы можете обратиться к менеджерам группы компаний Angara по e-mail или телефону 8-495-269-26-06.
