Слово «фрод» (fraud) прочно вошло в лексикон специалистов по информационной безопасности, оно также широко используется многими людьми в повседневной жизни. Популярность этого англицизма легко объясняется его современным значением: фродом сейчас называют мошенничество с применением высоких технологий, целью которого является получение материальной или иной выгоды. По данным Международного союза электросвязи, в настоящее время в мире насчитывается более 6 млрд пользователей мобильной связи и более 2,5 млрд пользователей Интернета. Если учесть, что около полутора миллиарда человек сегодня совершает транзакции онлайн (данные «Лаборатории Касперского»), круг заинтересованных в защите от фрода получается очень широким.
В первую очередь, говоря о фроде, подразумевают мошенничество в банковских системах и в меньшей степени – злонамеренные действия в сетях операторов связи. Во-первых, потому, что в финансовых организациях суммы потерь несравнимо выше, чем в телекоме, во-вторых, потому, что в надежде поймать «крупную рыбу», обманув банк, преступники задействуют обширный арсенал технических средств и идут на разные ухищрения. Как только специалисты в области информационной безопасности придумывают эффективное средство борьбы с новым видом угроз, появляются угрозы еще более изощренные.
Характерно, что основная масса выступлений на AntiFraud Russia 2013 была посвящена злоупотреблениям именно в финансовом секторе. По данным компании Group-IB, объемы хищений денежных средств, связанных с фродом, в последние два года в нашей стране несколько сократились. Так, в 2012 году в российских системах интернет-банкинга было похищено около 446 млн долл., тогда как в 2011 году этот показатель составлял 490 млн долл. Однако радоваться пока нечему, ведь, по подсчетам экспертов, ежедневно только в столичных банках происходит до нескольких десятков хищений со стороны интернет-мошенников. Виртной беуальные банки и платежные системы атакуются все чаще, квалификация хакеров растет, противодействовать им все сложнее. В Group-IB утверждают, что в 2013 году зарегистрирована волна новых атак. Теперь целью преступников чаще становятся брокерские системы, POS-терминалы, сайты банков. Развитие систем ДБО и применение мобильных технологий для осуществления платежей спровоцировало всплеск атак в этой сфере.
По оценкам экспертов, мобильные приложения 30 крупнейших российских банков содержат различные уязвимости, позволяющие либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения. Халатное отношение к безопасности отечественных пользователей разжигает фантазию киберпреступников. Все больше появляется вредоносных программ, «заточенных» непосредственно под iOS, Android, Windows Phone и другие мобильные операционные системы. К примеру, появляются такие экзотические программы, которые позволяют через фронтальную камеру смартфона считывать пароли и коды, а также биометрические данные владельцев.
Но прослеживаются и положительные сигналы в этой области. Если в прошлом году ситуацию с фродом в банковской сфере можно было назвать критической, то сегодня уровень опасности для транзакций несколько понизился. Положительная динамика объясняется действиями финансовых организаций, которые активно внедряют антифрод-системы и переходят на двухфакторную аутентификацию, а также принимают другие меры безопасности.
Кроме того, активную борьбу с киберпреступниками ведут представители госструктур. Например, подразделение «К» МВД при расследовании инцидентов, связанных с хищением денежных средств в виртуальном пространстве, все чаще прибегает к помощи экспертов из коммерческих компаний. Совместная работа приносит успех в поимке преступников. Помимо полиции, свой учет инцидентов в этой сфере ведет и Центробанк.
Если же говорить о предотвращении мошенничества, то здесь требуется совершенствование законодательной базы. Начальник управления департамента национальной платежной системы Банка России Вадим Кузнецов сообщил на конференции, что регулятор готовит предложения по изменению уголовного законодательства, касающегося мошенничества в ИТ-сфере. Центробанк планирует создать специальную систему по обмену данными об инцидентах в этой сфере и о преступниках. Реализации этого замысла, в числе прочего, препятствует закон «О персональных данных», положения которого запрещают обмен персональными данными со сторонними организациями. В принципе, по мнению специалистов, такие данные, как имя, фамилия и дата рождения, можно вывести из-под действия ФЗ либо зашифровать их для дальнейшего использования. Однако инициатором изменений в законе банкиры хотят видеть Центробанк, возлагая на него тяжесть поиска решения и ответственность за последствия.
Нуждается в доработке и ФЗ-161 «О национальной платежной системе», призванный обеспечить безопасность безналичных платежей. Президент некоммерческого партнерства «Национальный платежный совет» Алексей Саватюгин отметил, что совет надеется на принятие в ходе весенней сессии Госдумы предложенных им поправок в этот закон. В случае успеха новая редакция закона позволит усилить контроль за недобросовестными пользователями платежных систем.