24 Июня, 2015

Отчет ЦБ о несанкционированных переводах денежных средств за 2014 год. Бууу! Целевые атаки!

Andrey Prozorov
На сайте ЦБ РФ появился долгожданный ( прошлый был за 1е полугодие 2013 года) отчет о несанкционированных переводах денежных средств за 2014 год . Аналитика довольно интересная, рекомендую с ней ознакомиться.
В обзоре приведены данные о количестве и объеме несанкционированных операций, совершенных с использованием электронных средств платежа (включая платежные карты, системы ДБО), а также об инцидентах, произошедших вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств.
Обзор составлен на основе сведений отчетности по формам 0403203 («Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств», установлена Указанием Банка России от 09.06.2012 № 2831-У «Об отчетности по обеспечению  защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств») и 0409258 («Сведения о несанкционированных операциях, совершенных с использованием платежных карт», установлена Указанием Банка России от 12.11.2009 № 2332-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации»), представляемой в Банк России организациями, осуществляющими в соответствии с Федеральным законом № 161-ФЗ функции операторов по переводу денежных средств, операторов услуг платежной инфраструктуры. 
В рамках обзора под несанкционированными операциями понимаются операции с использованием ЭСП (электронное средство платежа), совершенные без согласия клиента, являющегося держателем ЭСП. К таким операциям относятся:
– несанкционированные операции, совершенные с использованием платежных карт;
– несанкционированные операции, совершенные с использованием систем ДБО.

Вот несколько важных, на мой взгляд, данных из отчета:
  • В 2014 году было совершено более 300 тыс.несанкционированных операций на общую сумму более 3,5 млрд руб., из которых 1,58 млрд руб.приходится на несанкционированные операции с использованием платежных карт, эмитированных российскими кредитными организациями
  • В 2014 году для совершения несанкционированных операций было использовано более 70 тыс. платежных карт, что составляет 0,057%от общего количества карт, с использованием которых в течение 2014 года совершались операции.
  • С точки зрения способа осуществления несанкционированных операций в 68%случаев такие операции совершаются с использованием реквизитов платежных карт (CNP-транзакции), в 21%случаев злоумышленники изготавливают поддельные карты (указанный тип мошенничества свойствен операциям по снятию денежных средств в банкоматах или осуществлению оплаты в предприятиях торговли и услуг). Несанкционированные операции по утерянным или украденным картам зафиксированы в 11%случаев.
  • Количество несанкционированных операций, совершенных посредством банкоматов и платежных терминалов, снизилось в 2 раза. При этом объем таких операций также снижается.
  • Наибольшее количество несанкционированных операций произошло при осуществлении переводов денежных средств на территории РФ (доля внутрироссийских несанкционированных операций составила 47%от объема и 41%от количества всех несанкционированных операций). 
  • Средняя сумма одной несанкционированной операции составила 5,7 тыс. руб. для внутрироссийских операций, 4,6 тыс. руб. – для операций, совершенных за пределами РФ с использованием платежных карт, эмитированных на территории РФ, и 4,2 тыс. руб. – для операций, совершенных на территории РФ с использованием платежных карт, эмитированных за ее пределами.
  • Статистика по регионам:


  • Наибольшее число несанкционированных операций с использованием платежных карт осуществляется посредством сети «Интернет» и устройств мобильной связи: на них приходится 65,8%всех операций. Однако при меньшем количестве операций, совершенных в банкоматах и платежных терминалах, ущерб от таких операций сопоставим с ущербом от CNP-транзакций (37,5%и 38,5%от объема всех несанкционированных операций с платежными картами, соответственно).
  • За 2014 год в Банк России было сообщено о 4,89 тыс. случаев попыток осуществления несанкционированных операций посредством систем ДБО на общую сумму 1,64 млрд руб. Из них 825операций на сумму около 900 млн руб.были остановлены в полном объеме, в том числе по обращениям клиентов, до наступления окончательности перевода денежных средств. Более 80% (на сумму более 700 млн руб.) всех попыток осуществить несанкционированный перевод денежных средств прошли успешно, т.е. денежные средства были списаны со счета клиента полностью или частично.
  • В большинстве случаев несанкционированные операции, связанные с попытками списания денежных средств со счетов клиентов посредством систем ДБО, произошли вследствие воздействия вредоносного кода на устройство (как мобильное, так и стационарное), используемое клиентом в целях перевода денежных средств. Также распространенной причиной инцидента являлось применение социальной инженерии с использованием ресурсов сети «Интернет», электронной почты, услуг, предоставляемых операторами связи (распространение информации, побуждающей клиента сообщать информацию, необходимую для осуществления переводов денежных средств от его имени, в том числе аутентификационную информацию).
  • Более 80%от количества всех несанкционированных операций с использованием систем ДБО связаны со списанием денежных средств через систему ДБО со счетов физических лиц. Вместе с тем, при меньшем количестве несанкционированных операций, направленных на списание денежных средств со счетов клиентов – юридических лиц, на такие операции приходится больший объем денежных средств (не менее 73%объема всех несанкционированных операций).



  • В 2014 году 23кредитные организации сообщили об инцидентах, связанных с попытками списания денежных средств с корреспондентских счетов, открытых в расчетных центрах платежных систем.
  • Указанные инциденты имеют ряд типовых особенностей: 
    • атака является целевой и учитывает особенности процессов отправки и обработки сообщений в определенной платежной системе;
    • вредоносный код в ряде случаев не выявляется средствами антивирусной защиты с обновленными антивирусными базами;
    • зафиксировано проникновение во внутреннюю локальную с целью осуществления несанкционированного перевода денежных средств с корреспондентских счетов, открытых в расчетных центрах платежных систем, в том числе посредством внедрения вредоносного кода из сети «Интернет» и путем направления на электронную почту сотрудников кредитной организации сообщений, содержащих вложения с зараженными файлами.
  • В ходе осуществления инцидентов были предприняты попытки списания денежных средств на общую сумму 213,4 млн руб.

Что в итоге?

Аналитики мы получили очень много, и она интересна. Эти данные мы вполне можем использовать при расчете рисков и при обосновании внедрения новых мер защиты. Суда по полученным данным, службы ИБ банков пока довольно неплохо справляются с инцидентами. Посмотрим, что будет дальше... APT все ближе и ближе, не зря же таким угрозам выделана целая глава отчета.


P.S. Еще можете посмотреть: