Чем отличился год социальной изоляции и на что эксперты ЦБ обращают внимание:
-
За 2020 год количество операций по переводу денежных средств с использованием электронных средств платежей (ЭСП) у физических лиц выросло на 23%, а объем операций на 28% и составил 91 трлн руб. У юридических лиц количество аналогичных операций выросло на 45,5%.
-
Выросло количество инцидентов и общая сумма хищений через банкоматы и терминалы (на 40,3%), из них 15,8% операций были проведены с использованием приемов социальной инженерии.
-
Объем хищений через системы дистанционного банковского обслуживания (ДБО) вырос на 70,1% по сравнению с 2019 г. А доля социальной инженерии в общем числе операций в данном случае – порядка 80% в виду целевого характера атак – получая доступ к ДБО жертвы злоумышленник практически ограничен в доходе только верхней границей суммы средств на клиентском счету.
-
И в лидерах по количеству мошеннических операций не первый год выступают CNP-транзакции (покупки через Интернет без физического предъявления карты - Card not present transaction), 61,5% из которых является результатом применения методов социальной инженерии.
-
Доля операций, совершенных с использованием и предъявлением платежных карт в 2020 г. как и в 2019 г. не превышает целевой показатель в 0,005%. Что подтверждает правильность мер защиты данных сервисов.
-
Сумма возвратов по мошенническим операциям от всего объема операций снизилась на 3,3% по сравнению с 2019 г. для физических лиц, и на 1,4% для юридических. «Кредитные организации не возвращают денежные средства в случае нарушения клиентом условий договора, предусматривающих необходимость сохранения конфиденциальности платежной информации (статья 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе»)», – уточняют эксперты ЦБ.
Хорошая новость, что суммарная доля мошенничества с использованием социальной инженерии несколько уменьшилась, что говорит об эффективности работы всех экспертных сообществ, повышающих общую осведомленность населения о механике подобных атак.
Но все еще большая часть операций без согласия клиента совершается в результате использования злоумышленниками методов социальной инженерии (61,8% случаев у физических лиц, и 33% — у юридических) для получения несанкционированного прямого доступа к ЭСП владельцев средств, либо побуждения их самостоятельно совершить перевод в пользу мошенников.
«Почвой для мошенничества являются утечки данных, как внешние, так и внутренние. Таким образом у злоумышленника появляются набор конфиденциальных персональных данных, с помощью которого он может ввести жертву в заблуждение и злоупотребить доверием или запугать. Причем, часто источником данных являются не только кредитные организации, но и торгово-сервисные, некоммерческие и другие предприятия», - комментирует Руслан Косарим, руководитель отдела прикладных систем группы компаний Angara.
Внутренние утечки особо опасны объемами неконтролируемо выгружаемых данных и нетривиальным механизмом выявления. Необходимо точно определить, злоупотребляет пользователь доступом или запрашиваемые данные действительно необходимы ему для работы. С другой стороны, каналов для внутренних утечек масса, и их количество возросло в результате пандемии и массового ухода сотрудников на удаленную работу.
Внедрение и эксплуатация систем защиты от утечек данных – Data Leak Prevention (DLP) – требует такого же постоянного внимания и экспертного анализа, как центр мониторинга событий ИБ. Группа компаний Ангара предлагает комплексную услугу внедрения DLP систем, и рекомендует следующие решения этого класса:
- Продукты компании InfoWatch (Traffic Monitor, Vision, Prediction),
-
Гарда Предприятие,
-
Forcepoint DLP.
По всем вопросам вы можете обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.