Як захистити гроші від кіберзлочинців: розбираємося разом з банкірами

У 2020 році рівень кіберзлочинності в Україні зріс на 66%. Про це свідчать дані дослідження компанії YouControl. В ході опитування респондентів з’ясувалося, що кожна 10-та компанія в Україні зіткнулася з шахрайством або хакерською атакою. При цьому 40% опитаних впевнені, що шахраями є їхні клієнти, а ще 24% респондентів заявили, що атаки могли бути здійснені конкурентами. Наскільки гостро стоїть проблема кібератак  в Україні і як захистити свої кошти від хакерів, розбирався Banker.ua.

Топ-3 пасток від хакерів

За минулий рік в Україні скоєно понад 40 тис. злочинів, пов’язаних з крадіжкою коштів або даних за допомогою гаджетів і комп’ютерних пристроїв, з яких 80% – шахрайство. У 2020 році кіберполіцейські заблокували 28 тис. шахрайських посилань і 9 тис. підозрілих транзакцій. Правоохоронці назвали ТОП-3 найпоширеніших методів обману клієнтів.

Продаж неіснуючих товарів

Продаж товарів, яких немає у конкретного постачальника або не існує взагалі, посів 1 місце у списку найпоширеніших способів шахрайства. Як правило, злочинці створюють інтернет-магазини або відкривають сторінки в соціальних мережах, де пропонують для продажу різноманітні товари. Після отримання оплати від клієнта продавець просто зникає і блокує покупця у всіх месенджерах і соцмережах.

Фішингові сайти

Підроблені сайти займають друге місце за популярністю серед шахраїв. Суть злочину полягає в тому, що аферисти створюють сайти, зазвичай інтернет-магазини та інші подібні ресурси, і мотивують жертв залишити дані банківської картки. Наприклад, таке відбувається при оформленні замовлення на купівлю товару. Далі злочинці збирають особисті дані покупця, зламують банківську карту і виводять гроші з рахунку.

Комп’ютерні віруси

На ринку з’явилися десятки нових вірусів, які здатні атакувати не тільки операційну систему комп’ютера користувача і красти персональні дані, але і впливати на корпоративні сервера компаній. Найпопулярнішими троянами залишаються віруси-майнери, віруси-шифровщики і віруси-шпигуни, які збирають дані банківських карток і паспорту користувача, а потім передають їх злочинцям.

Хакери атакують сайти компаній і держструктур

У 2020 році хакери також атакували сайти держструктур України 154 рази. Правоохоронці підозрюють в атаках російських кіберзлочинців. Крім того, атаки здійснювалися на українські банки, корпорації і компанії з метою заволодіти коштами бізнесу. Українські банкіри розповіли, наскільки постраждали банки від хакерів, і як захистити кошти від шахраїв в інтернеті.

Сергій Недзельський, директор департаменту інформаційної безпеки Укргазбанку:

Останніми роками спостерігається збільшення кількості кібератак в Україні. Вони здійснюються як на самих клієнтів, так і на банківські установи. До того ж об’єктами кібератак стають як великі організації з активною фінансовою діяльністю, так і клієнти сегменту малого і середнього бізнесу, а ще – навіть фізичні особи.

Через здійснення кібератак бізнес потерпає перш за все від фінансових втрат, що є наслідком шахрайських дій з банківськими рахунками. Також  кібератаки впливають  на безперебійність  у бізнес-діяльності.  Як наслідок –  втрати від недоотриманого прибутку і штрафних санкцій від невиконання своїх зобов’язань. Крім того,  бізнес несе і репутаційні втрати – через втрату конфіденційної інформації та недоступності своїх сервісів. Протидія кібератакам вимагає додаткових фінансових витрат  від бізнесу на  забезпечення безперебійної роботи ІТ-інфраструктури та  впровадження засобів інформаційної безпеки. 

Нині банки посилюють заходи кібербезпеки відповідно до нормативних вимог Національного банку України і вимог законодавства, а також з урахуванням кращих світових практик у сфері інформаційної і кібербезпеки.

Важливим аспектом у частині протистояння кібератакам є, насамперед, увага керівництва до питань посилення безпеки організації й капіталовкладення у цей напрямок, а також впровадження постійних програм з підвищення обізнаності персоналу щодо питань кібербезпеки.

Для клієнтів важливе  дотримання  кібергігієни і обізнаність з основних аспектів безпеки. Вагомий вклад у цьому напрямку здійснюють інформаційні компанії, зокрема #ШахрайГудбай.

Андрій Моршнєв, начальник управління інформаційної безпеки Банку Кредит Дніпро:

Там, де є гроші, завжди поруч з’являться шахраї. Не існує у світі банків, де не було б  випадків шахрайства або вони не піддавалися атакам. Однак, після подій 2017 року банки стали більше уваги приділяти кібербезпеці, а шахраї змістилися у сферу соціальної інженерії, працюючи безпосередньо з клієнтами, виманюючи у них конфіденційну і платіжну інформацію.

Кібератаки в розумінні саме “кібератаки” – шкідливої спроби проникнути в інформаційну систему банку, а не шахрайства – впливають на бізнес фінустанови. А ось на клієнтське ставлення до цифрових сервісів впливає саме рівень протидії шахрайству, який створюється банками в системах дистанційного обслуговування.

Клієнт, втративши гроші навіть із власної вини, все одно пред’явить претензії банку за недостатній моніторинг характеру операцій і поведінки клієнта. Це, в свою чергу, може викликати хвилю негативу в соціальних мережах і знизити рівень затребуваності банку.

Кібершахраям можна протистояти у великій кількості випадків, якщо не повідомляти платіжні та персональні дані, дані карт і одноразові паролі. Банки ніколи не дзвонять з питаннями з’ясування номерів карт, паролів. Також важливо не здійснювати покупки на сайтах з сумнівно низькими цінами, не використовувати неліцензійне програмне забезпечення і обов’язково встановлювати легальне антивірусне програмне забезпечення з функціями інтернет-захисту.

Владислав Голубченко, начальник Управління інформаційної безпеки Глобус Банку:

Активний розвиток ІТ-технологій вже міцно увійшов в наше життя як в бізнесі (електронна комерція, дистанційне обслуговування клієнтів, віддалена робота співробітників, віддалена ідентифікація клієнтів), так і в приватному житті (id-паспортизація, електронна пошта, управління комунальними послугами, Інтернет речей). Паралельно посилюється активність хакерів та кібершахраїв, які постійно розробляють нові схеми кібератак, мета яких – нанесення шкоди бізнесу (наприклад, конкурентами або зовнішніми державами) або заволодіння/вимагання грошових коштів – як юридичних осіб, так і фізичних осіб.

Число кібератак зростає щорічно. Згідно зі статистикою, в 2020 році кількість різних типів кібератак збільшилася від 25% до 54% в порівнянні з 2019 роком. На жаль, нерідко кібератаки досягають своєї мети як по відношенню до клієнтів, так і до банків, хоча останні і більш стійкі до них завдяки впровадженню комплексних заходів, контрольованих регуляторами.

Кібератаки, безумовно, впливають на бізнес, адже сучасний банк фактично не може ефективно працювати без використання ІТ-технологій. Для захисту від кібератак бізнесу доводиться вкладати все більше ресурсів і зусиль в процеси і системи безпеки, впроваджувати плани реагування і плани відновлення ІТ-систем і бізнес-процесів від потенційних кібератак.

Впровадження ефективних заходів безпеки в банках – це також вимога регулятора. Банки постійно моніторять інформацію про нові кіберзагрози, вектори кібератак і схеми кібершахраїв для оперативного аналізу, оцінки ризиків і перегляду своїх процесів, а при необхідності – їх коригування та удосконалення. Банки постійно в тренді нових методів і засобів захисту. При цьому дуже важлива підтримка і розвиток підрозділів ІБ та ІТ з боку керівництва банку.

Крім того, банки зобов’язані розробити чіткий і зрозумілий комплекс мінімально необхідних заходів захисту від кібератак і шахрайства для клієнтів, а також надавати користувачам банківських послуг безпечні програмні/веб – додатки і схеми обслуговування. Для додаткової безпеки систем дистанційного обслуговування клієнтів ефективно використовувати спеціальні антифрод-системи.

Не менш важливо, щоб банки звертали увагу на впровадження систем моніторингу, що використовують «Машинне навчання» і «штучний інтелект», які допомагають виявляти кібертатаки на банк або клієнтів за допомогою аналізу «нетепічної поведінки» користувача або системи.

Клієнти, зі свого боку, повинні неухильно дотримуватися рекомендацій з безпеки, що надаються як банками, так і іншими організаціями (кіберполіція, профільні Інтернет-видання, соціальна реклама).

Вельми важливу роль відіграє робота банків з підвищення обізнаності співробітників банку і клієнтів в питаннях захисту від кібератак, впровадження освітніх програм, оперативного інформування про нові кібератаки і шахрайські схеми. Особливо варто відзначити ефективність у проведенні банками періодичних опитувальників з інформаційної безпеки та стрес-тестувань на такі вектори кібератак, як фішинг і соціальна інженерія.