Как украсть миллион? CS Security Day 2014

18 дек. 2014

[Как украсть миллион? CS Security Day 2014]

Рекордное количество участников, по-настоящему острые дискуссии, кража миллиона в кофе-паузе и взгляд на безопасность глазами живого клиента.
Чем еще запомнился «CS Security Day 2014»? Подробности - ниже.
 
11 декабря компания CS провела в Киеве специализированную конференцию «CS Security Day 2014» для представителей банковского сектора. Удачно стартовавшая в прошлом году, в символический день 11.12.13, конференция по вопросам безопасности систем интернет- и мобильного банкинга в этом году привлекла внимание свыше ста представителей украинских банков.

ifobs1

Первая часть конференции была посвящена теме «Актуальные угрозы безопасности и опыт противодействия им».

Представитель Украинской межбанковской ассоциации платежных систем «ЕМА» Алексей Красюк рассказал о тенденциях платежного мошенничества в Украине в 2014 году и, в частности, привел несколько схем, которые использовались мошенниками для кражи денег со счетов клиентов. В приведенных схемах атакам со стороны мошенников  подвергались сразу несколько украинских банков, и раскрыть схемы удалось только благодаря своевременному обмену информацией между банками. К сотрудничеству и обмену данными, собственно, и призвал докладчик всех присутствовавших.

fobs2

Впрочем, не только украинские банки подвергались серьезным атакам киберпреступников в этом году. Об атаках на сайты органов государственной власти, новостные порталы и попытках распространения дезинформации рассказал представитель департамента контрразведывательного  обеспечения интересов государства в сфере информационной безопасности СБУ Павел Лаврик. Несмотря на то, что 2014-й год оказался невероятно сложным для наших безопасников, им удалось раскрыть немало преступлений, в том числе - с участием международной хакерской группировки, которая промышляла в интернете на протяжении 6 лет.

ifobs3

Чтобы мобильный телефон не стал орудием вора, стоит позаботиться о защите установленных на него платежных приложений. Об этом  рассказал Александр Погуляка, руководитель отдела разработки iOS-приложений компании CS, в своей презентации: «iFOBS.Mobile - комфорт и безопасность европейского уровня». К выводу о том, что мобильный банкинг от компании CS соответствует мировым стандартам, Александр пришел в результате участия в крупной международной конференции «Cartes 2014», проходившей в Париже в ноябре этого года.  Всё то, что на сегодня признано в мире лучшим для защиты приложений электронного и мобильного банкинга (а это смарткарты и хорошо знакомые нам USB-токены, OTP-устройства для генерации одноразовых паролей, EMV-карты и обычные SMS-подтверждения), давно и успешно используются в системе интернет-банкинга iFOBS и мобильном приложении iFOBS.Mobile.

ifobs4

С учетом сложившейся ситуации на рынке и вынужденной экономией бюджетов, Александр Погуляка предложил банкам в качестве оптимального средства для подтверждения платежей в мобильном банкинге использовать программный OTP-токен (или SofToken). Такое решение надежнее SMS-кодов, поскольку одноразовый пароль не передается клиенту по внешним каналам, к тому же нет необходимости использовать дополнительные устройства, как в случае с аппаратным OTP-токеном. Клиент пользуется своим мобильным устройством, которое всегда под рукой.

О других программных и аппаратных решениях для обеспечения безопасности ДБО рассказали партнеры конференции:  Давид Хосиашвили - региональный директор компании «Эн Джи Ти Групп, GEMALTO», Артем Гайдай - директор по продажам компании Protectimus, Евгений Нечитайло - руководитель продаж компании Hewlett-Packard.

 

ifobs5

В паузе между первой и второй частью конференции участникам было предложено… украсть миллион! Участники конференции попробовали примерить на себя шкуру мошенника и «увести» деньги со счетов предприятия. Для этого организаторы конференции развернули стенд с рабочим местом типичного бухгалтера  Марии Ивановны. За полчаса «обеденного перерыва» мошенник должен был украсть один миллион гривень со счетов предприятия с помощью системы интернет-банкинга iFOBS.

ifobs6

Конечно, подключение к системе для новоиспеченных «мошенников» не составило большого труда - Мария Ивановна как типичный пользователь оставила флешку с секретными ключами прямо в ноутбуке, а пароль записала на бумажку и спрятала под клавиатуру. Сложнее было увести деньги одним платежом, поскольку в системе предусмотрительно были настроены лимиты. Поэтому «мошенникам» пришлось немного повозиться - и разбить сумму на несколько платежей помельче. После того как все платежи ушли в банк, довольные «мошенники» смогли присоединиться к другим участникам конференции и выпить чашечку кофе.

ifobs7

Развязка действия ожидала всех во второй части конференции «Практика мониторинга и предотвращения мошенничества». К собравшимся вышли сотрудники компании CS Надежда Акименко и Александр Охримович и на живом примере продемонстрировали эффективность системы предотвращения мошенничества iFOBS.FraudDetection.

Как оказалось, в то время как «мошенник» пытался ограбить несчастную Марию Ивановну, iFOBS.FraudDetection поймал каждый мошеннический платеж - вплоть до самой мелкой суммы - на 1 гривню.

Сработало сразу несколько правил контроля: нестандартное время транзакции (обеденный перерыв), контроль новых корреспондентов (предприятие никогда не делало платежей по введенным реквизитам), контроль карточных платежей (Марии Ивановне как пользователю юридического лица незачем переводить деньги на карточку физлица) и суммарный уровень критичности (сработало сразу несколько правил, которые по отдельности не считаются особо критичными).

ifobs8

Все платежи «мошенника» были помечены как подозрительные, и если бы ситуация происходила в реальной жизни, банк успел бы выявить и остановить кражу миллиона.

Игра «Как украсть миллион?» стала не единственной изюминкой конференции.

Представители банковской IT-безопасности с большим интересом выслушали… клиента.  Да-да, обычного клиента банка, о чьей безопасности они заботятся и для кого выискивают все новые и новые решения. Впрочем, Валерия Индыка нельзя назвать «типичным пользователем» интернет-банкинга. Он является директором крупного предприятия и пользуется услугами десяти различных банков по всему миру. Валерий поделился своим опытом работы с различными системами дистанционного обслуживания и подчеркнул, что отдает предпочтение тем из них, в которых безопасность на уровне пользователя предельно упрощена. Иными словами, он как пользователь не хочет вводить больше чем логин-пароль, а все остальное - это уже забота банка. 

ifobs9

В этой связи такие решения как iFOBS.FraudDetection и являются тем компромиссом между удобством и безопасностью, который вот уже много лет ищут не только у нас в стране, но и во всем мире.

Подводя итоги «CS Security Day 2014», хочется сказать, что конференция затронула очень актуальные, жизненные вопросы - и горячие споры, спонтанные выступления из зала, острые дискуссии являются тому подтверждением. Организаторам удалось подтолкнуть к диалогу разные стороны, но настоящий диалог - еще впереди.
 
А значит, до встречи на «CS Security Day 2015»!

Фотоотчет конференции на официальной странице компании CS в Facebook.

 

Подпишитесь на рассылку