Мошеннические операции в финансовых организациях

Чем отличился год социальной изоляции и на что эксперты ЦБ обращают внимание:

  • За 2020 год количество операций по переводу денежных средств с использованием электронных средств платежей (ЭСП) у физических лиц выросло на 23%, а объем операций на 28% и составил 91 трлн руб. У юридических лиц количество аналогичных операций выросло на 45,5%.

  • Выросло количество инцидентов и общая сумма хищений через банкоматы и терминалы (на 40,3%), из них 15,8% операций были проведены с использованием приемов социальной инженерии.

  • Объем хищений через системы дистанционного банковского обслуживания (ДБО) вырос на 70,1% по сравнению с 2019 г. А доля социальной инженерии в общем числе операций в данном случае – порядка 80% в виду целевого характера атак – получая доступ к ДБО жертвы злоумышленник практически ограничен в доходе только верхней границей суммы средств на клиентском счету.

  •  И в лидерах по количеству мошеннических операций не первый год выступают CNP-транзакции (покупки через Интернет без физического предъявления карты - Card not present transaction), 61,5% из которых является результатом применения методов социальной инженерии.

  • Доля операций, совершенных с использованием и предъявлением платежных карт в 2020 г. как и в 2019 г. не превышает целевой показатель в 0,005%. Что подтверждает правильность мер защиты данных сервисов.

  • Сумма возвратов по мошенническим операциям от всего объема операций снизилась на 3,3% по сравнению с 2019 г. для физических лиц, и на 1,4% для юридических. «Кредитные организации не возвращают денежные средства в случае нарушения клиентом условий договора, предусматривающих необходимость сохранения конфиденциальности платежной информации (статья 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе»)», – уточняют эксперты ЦБ.

Хорошая новость, что суммарная доля мошенничества с использованием социальной инженерии несколько уменьшилась, что говорит об эффективности работы всех экспертных сообществ, повышающих общую осведомленность населения о механике подобных атак.

Но все еще большая часть операций без согласия клиента совершается в результате использования злоумышленниками методов социальной инженерии (61,8% случаев у физических лиц, и 33% — у  юридических) для получения несанкционированного прямого доступа к ЭСП владельцев средств, либо побуждения их самостоятельно совершить перевод в пользу мошенников. 

«Почвой для мошенничества являются утечки данных, как внешние, так и внутренние. Таким образом у злоумышленника появляются набор конфиденциальных персональных данных, с помощью которого он может ввести жертву в заблуждение и злоупотребить доверием или запугать. Причем, часто источником данных являются не только кредитные организации, но и торгово-сервисные, некоммерческие и другие предприятия», - комментирует Руслан Косарим, руководитель отдела прикладных систем группы компаний Angara.

Внутренние утечки особо опасны объемами неконтролируемо выгружаемых данных и нетривиальным механизмом выявления. Необходимо точно определить, злоупотребляет пользователь доступом или запрашиваемые данные действительно необходимы ему для работы. С другой стороны, каналов для внутренних утечек масса, и их количество возросло в результате пандемии и массового ухода сотрудников на удаленную работу.

Внедрение и эксплуатация систем защиты от утечек данных – Data Leak Prevention (DLP) – требует такого же постоянного внимания и экспертного анализа, как центр мониторинга событий ИБ. Группа компаний Ангара предлагает комплексную услугу внедрения DLP систем, и рекомендует следующие решения этого класса:

  • Продукты компании InfoWatch (Traffic Monitor, Vision, Prediction),
  • Гарда Предприятие, 

  • Forcepoint DLP.

По всем вопросам вы можете обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах