Как взломали один банк...

Как взломали один банк...
Что-то банковская тема не сдается и постоянно дает о себе знать. Вроде как еще вчера на секции по НПС была активная дискуссия на тему взаимоотношения банка, клиента и регулятора, а тут практическая ситуация ;-) Позвонила знакомая и сообщила, что ее счет в одном крупном банке взломали. Взломали очень интересно. Если дело было действительно так, как она описывала, то это верх разгильдяйства и непрофессионализма тех, кто выстраивал АБС. Ну и к службе ИБ там тоже есть вопросы (если они участвовали в процессе построения системы). Но написать я хотел о другом.

Два факта сопровождали этот взлом. Они интересны именно с точки зрения практической реализации различных требований и рекомендаций по защите ДБО. В частности, упомянутая мной сегодня методичка ЦБ по защите ДБО. В ней, в разделе технологических мер есть такой совет, как установление ежедневного лимита на снятие денег со счета.  Звучит она так "При использовании клиентского рабочего места в режиме минимального уровня защиты должно действовать ограничение на максимальную сумму транзакции, а ряд транзакций могут быть запрещены банком. Суточный объем транзакций также может быть ограничен". Но вот дальше возникает вопрос, а КАК должна быть реализована эта мера? Что должен просить клиент банка при реализации этой меры? Как проверить выполнение этой меры в рамках контроля (надзора)?

В упомянутом выше взломе мошенники действовали просто - первую сумму они сняли в 23.59, а вторую в 00.01. Формально требование суточного лимита соблюдено - 23.59 и 00.01 - это два разных дня. Правда идея суточного лимита все-таки относится к астрономическим, а не календарным суткам. Поэтому банкам стоит настраивать свои системы именно на 24-хчасовой интервал межжу транзакциями, а не на на учет календарных суток. А клиентам уточнять при оформлении данной услуги - как банк учитывает сутки, календарно или астрономически?

Дальше больше. Мошенники на двукратном снятии денег не остановились и пошли в соседний банкомат другого банка. И что же? Они с успехом сняли деньги и там, т.к. суточное ограничение на снятие наличных действовало только для собственной банкоматной сети и не было (почему-то) привязано к самому счету. И вновь совет банкам - привязывать суточные лимиты к счету или даже клиенту целиком, а никак не к банкомату или собственной банкоматной сети. Клиентам же стоит также интересоваться, ограничение действует только в "своих" банкоматах или распространяется на все банки без исключения. Причем обе рекомендации легко проверить на практике.

И тут вспоминается вчерашняя дискуссия на Инфофоруме. Представитель общества по защите прав потребителей говорил, что нужно повышать осведомленность клиентов банков в области ИБ. Представитель HandyBank напротив был уверен, что это все не работает и делает только хуже, создавая у клиентов чувство ложной защищенности. Он наоборот предложил концентрироваться на ловле преступников, а не на давлении регуляторов на банки. Представитель ВТБ говорил, что увеличение требований по ИБ не может идти бесконечно и в какой-то момент встанет дилемма "безопасность или удобство". В качестве примера приводилась африканский кейс, где ввели правило биометрической идентификации по отпечаткам пальцев при снятии денег. Через какое-то время после введения этой меры число мошенничеств перестало снижаться и опять стало расти, как и число инцидентов с отрезанными пальцами. При этом вице-президент ВТБ вскользь бросил идею, что регулятору стоило бы жестко установить минимальный уровень защиты.

Что могу сказать? Все правы и неправы, если посмотреть на упоминаемый мной взлом. Клиенту стоило бы знать, какие вопросы задавать банку при оформлении услуги "суточный лимит". А помочь ему в этом могли бы ролики повышения осведомленности. Но роликов недостаточно. Нужны были разъяснения и требования со стороны регулятора (скорее всего именно ЦБ), как должна была быть реализована данная услуга по суточному лимиту. Простой формулировки как в вышеупомянутой методичке ДИС явно недостаточно. А помимо требований в методику контроля (надзора) должен был быть вставлен соответствующий пункт (что и как проверять). Ну а преступников конечно ловить надо в любом случае. Только вот непросто это в таких кейсах.
мошенничество ДБО Банк России
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!