Безопасность в цифровых каналах. Социальная инженерия - есть ли спасение?
В прошлый раз показала статистику хищений за последние года. Было страшновато. Да и с началом «инфекционного кризиса» ситуация усугубилась. По информации наших коллег в банках, сейчас наблюдается всплеск фрода. И с каждым днем это становится все опаснее, особенно в преддверии Новогодних праздников.
Фишинговые сайты, подмена SIM-карт, перехват сообщений, и, конечно же, социальная инженерия — вот арсенал успешных в настоящее время приемов злоумышленников.
Существует несколько наиболее массовых сценариев хищений. Самый распространённый – звонок якобы из службы безопасности банка, кредитные отделы и пр., где в разговоре мошенник «банковским» голосом, а теперь даже роботом убеждает клиента сказать код из SMS или PUSH, назвать пин-код от карты, чтобы его сменить и т.д.. Другой часто встречающийся сценарий применяется в момент интернет-шоппинга. В ходе оплаты клиент переадресуется с торговой площадки на страницу #якобысвоегобанка и получает код, который он получает в SMS или PUSH.
Подобных схем много. Это случается во многом потому, что в SMS или PUSH-сообщении невозможно указать всю информацию о платеже, чтобы клиент мог все проверить и среагировать.
Что могут сделать банки?
- забрать у клиента возможность сообщить какой-либо код,
- исключить возможность подтвердить документ без желания и контроля клиентского устройства,
- обеспечить контроль целостности и авторства.
На сегодняшний день, одним из самых удобных и эффективных средств для повышения безопасности является мобильная электронная подпись. "Посмотрел, проверил, подписал". Подпись работает только на конкретном устройстве, не использует коды подтверждения, которые можно было бы перехватить или сообщить мошеннику, а ключи подписи невозможно украсть или использовать в другом смартфоне. Это исключает возможность подтвердить «чужую» операцию без желания и контроля клиентом, сохраняет юридическую значимость совершаемого действия и обеспечивает контроль целостности и авторства.
Однако, некоторые банки используют решения, которые вообще нельзя назвать «подписью» — после взгляда в камеру или прикладывания пальца не происходит криптографических преобразований! После этих действий либо вообще ничего не происходит, либо к операции подставляется id сессии, который един для любых переводов в ее рамках, либо еще какая-нибудь мало защищенная ерунда. Все это создает лишь иллюзию подписи и безопасности, которая приводит к атакам на клиентов и большому количеству конфликтны ситуаций.