Основным трендом прошлого и начала текущего года в атаках на финансовый сектор стала социальная инженерия — сплав психологических манипуляций на эмоциях (страх, доверие, алчность, желание помочь ближнему) и высоких технологий, рассчитанный на проникновение в систему изнутри, без взлома системы безопасности.
Инженеры человеческих душ, но зловредные
По данным платформы Kaspersky Fraud Prevention, в 2019 году 2% онлайн-сессий были мошенническими и еще 16% имели признаки действий злоумышленников.
В 63% случаев эти инциденты были связаны с наличием на устройстве вредоносного ПО или программ для удаленного управления (Remote Access Tools). Причём жертвы сами устанавливали на устройства вредоносные программы, под воздействием телефонных звонков от мошенников, представлявшихся сотрудниками банка или даже ЦБ или предлагавших «выгодно инвестировать».
Впрочем, в социальной инженерии используются и методы, при которых червь или троян загружается, например, в P2P-сети, с присвоением имени, которое привлечёт внимание пользователя и он самостоятельно загрузит и запустит файл.
Социальная инженерия применяется не только в отношении клиентов, но и сотрудников банков при атаке на банковскую инфраструктуру. Не избегают внимания киберпреступников и крупные компании, получив доступ к коммерческой информации которых можно неплохо поживиться.
Ещё на заре компьютерной эры, в 1984 году, профессор психологии Роберт Чалдини в своей популярнейшей работе «Психология влияния» выделил 6 принципов, на которых строится социальная инженерия:
- взаимность — плата добром за добро;
- последовательность — следование убеждениям, соответствующим нашим ценностям;
- социальное доказательство как соглашение с большинством;
- власть и авторитет — мы следуем за теми, кто вызывает уважение и доверие;
- симпатия — она помогает нам получать удовольствие от выполнения просьб от людей, которые нам нравятся;
- дефицит — желание обладать тем, что недоступно.
Киберпреступники весьма изощрены в своих практиках, среди которых ставший общеизвестным фишинг — далеко не самая сложная методика, но финтех позволяет нейтрализовать большинство их попыток проникновения, в дополнение к повышению киберграмотности клиентов и сотрудников (особенно — ключевых).
Финтех на службе Светлой стороны Силы
В частности, это внедрение поведенческой биометрии, которая позволяет выявлять нелегитимные операции; разграничение прав доступа для сотрудников, контроль их операций для избежания утечки конфиденциальной информации, комплексная защита внутренних систем компании. Ещё одно направление — защита приложений для смартфонов, предлагаемых банками со сканированием на наличие вредоносного ПО перед тем, как открыть доступ к банковскому счёту.
Кроме того, возможно внедрение дозволенных алгоритмов действий с информацией или в киберспейсе, отступление от которых, условно говоря, зажигает сигнал опасности и сотрудники IT-отдела или даже безопасники могут начать предпринимать превентивные меры недопущения утечек или установки вредоносных программ.
Хорошо помогают финтех-решения при ограничении права доступа, копирования, скачивания или изменения информации. Обладать таким правом должны только сотрудники, чья деятельность не может осуществляться без тех или иных данных.
Дифференцировать уровни доступа
Возможно, есть смысл запретить использовать съёмные носители всем поголовно, хотя это сложно назвать финтех-решением, но мы сейчас говорим о безопасности в целом.
Весьма полезно ограничить доступ сотрудников к e-mail, Skype, Zoom, разнообразным мессенджерам и Интернет-чатам IRC — эти каналы часто используются злоумышленниками для проникновения и воздействия методами социальной инженерии.
Всё чаще решения финтеха используются для проведения теста на проникновение (penetration testing), он же — пентест. Его задача — выявить поведенческие уязвимости компании, для чего используется обширный ассортимент сбора данных и их анализа. После чего вырабатываются рекомендации по «заделыванию» дыр в информационной безопасности. Пентест имитирует реальную атаку, но совершается не в целях злоумышления, а ровно наоборот. И задача — не выявить самого доверчивого сотрудника и покарать его, а закрыть уязвимости системы. О наказаниях и децимациях вообще речь не идёт.