Алексей Плешков: «В настоящее время злоумышленники всерьез задумываются об оптимизации своих процессов»

Алексей Плешков, начальник Управления режима информационной безопасности «Газпромбанка» и спикер Делового завтрака «Оптимизация планирования денежных средств и платежного процесса в корпоративном казначействе», рассказал CFO Russia о высокотехнологическом мошенничестве и способах его предотвращения.

Сегодня тема высокотехнологического мошенничества очень актуальна. Так что же это такое и как часто компании с ним сталкиваются?

Под термином высокотехнологическое мошенничество понимается комплекс организационно-технических мероприятий, проводимый злоумышленниками в отношении объекта (жертвы) для получения материального дохода (прибыли) путем использования методик и инструментов, появившихся в обиходе и облюбованных молодым поколением после 2010–2011 годов.

Приведу несколько примеров, чтобы проиллюстрировать сложное определение, которое я выбрал для этого термина:

Первым примером могут служить атаки класса «фишинг» (созвучно с английским словом fishing, рыбалка), при реализации которых злоумышленники копируют интерфейс опубликованных и известных обывателям сайтов в Интернет, перенаправляют траффик жертв на вновь созданные для их обмана ресурсы, похожие на реальные сайты и провоцируют посетителей таких сайтов вводить нужную злоумышленникам информацию. Это могут быть как личные (персональные) данные, так и данные необходимые для проведения финансовых транзакций в системах дистанционного банковского обслуживания. С этим типом атак финансовые организации сталкиваются регулярно в своей повседневной работе. Согласно статистике Центрального Банка только в 2014 году потери клиентов финансовых организаций от компрометации реквизитов доступа составили сотни миллионов рублей.

Вторым примером высокотехнологического мошенничества можно назвать использование сложных устройств «скиммеров» для перехвата данных с магнитных полос пластиковых банковских карт с целью дальнейшего использования их при производстве поддельных карт (белый пластик) и/или совершения по перехваченным реквизитам карт операций без присутствия карты в Интернет-магазинах.

Какие инструменты профилактики высокотехнологического мошенничества на Ваш взгляд наиболее эффективны?

Поскольку основными причинами успешной реализации высокотехнологического мошенничества в настоящее время является личная безалаберность и пренебрежение элементарными требованиями по информационной безопасности со стороны клиентов — потенциальных жертв мошенников, самым действенным способом профилактики на сегодняшний день является обучение потенциальных жертв на актуальных примерах, зачастую — на собственном опыте. А также своевременное доведение информации о схемах защиты от мошенников до сведения обывателей любым доступным способом: информирование по телефону, SMS или по электронной почте, организация встреч и инструктажей, рассылка тематической литературы и пр. Именно такой способ избрали представители МВД РФ, создали и распространили в 2012–2014 годах тексты памяток о способах и схемах телефонного мошенничества, которые смогли снизить количество успешных атак на граждан РФ со стороны преступных группировок, состоящих преимущественно из лиц, отбывающих наказание в местах лишения свободы.

Если компании все же не удалось предотвратить высокотехнологическое мошенничество, какие механизмы можно использовать для минимизации ущерба?

Все зависит от типа, проведенного в отношении компании — жертвы мошенничества, а также от времени, прошедшего с момента совершения мошенничества до момента выявления. В настоящее время злоумышленники всерьез задумываются об оптимизации своих процессов, приносящих прямую прибыль, и инвестируют материальные средства в разработку новых инструментов и развитие существующих алгоритмов совершения атак в отношении жертв. Именно поэтому компаниям потенциальным жертвам мошенничества нужно уже сейчас задуматься об инвестировании в средства обеспечения защиты информации и о проведении соответствующих организационно-технических мероприятий по профилактике. Если же компания стала жертвой такого мошенничества, необходимо проинформировать о выявленном факте правоохранительные органы и неукоснительно следовать инструкциям, ранее полученным из финансовых организаций по взаимодействию и минимизации последствий. В зависимости от автоматизированной системы, в которой произошло мошенничество, от подхода банка к осуществлению превентивных мер, при достаточно оперативном выявлении атаки клиенты — жертвы с высокой вероятностью могут рассчитывать на возврат денежных средств (в качестве конечной цели высокотехнологического мошенничества), которые были похищены у клиента. При этом, предпринимая самостоятельно какие-либо действия без согласования с банками и правоохранительными органами, скрывая информацию, и оберегая себя от «надуманного позора», представители компании жертвы тем самым дают мошенникам дополнительный временной лаг и создают благоприятную почву для дальнейшего совершения мошеннических действий в отношении таких же как они компаний-жертв.

Более подробно познакомиться с опытом «Газпромбанка» и задать собственные вопросы Алексею Плешкову вы сможете на Деловом завтраке «Оптимизация планирования денежных средств и платежного процесса в корпоративном казначействе», который пройдет 18 июля 2018 года в Москве.

Экзархо Ирина

Комментарии