Глава департамента управления рисками Visa в России Эвелина Нечипоренко в интервью «Банковскому обозрению» указала на риски социальной инженерии и элементы безопасности во время Чемпионата мира по футболу 2018

— Эвелина, что говорят последние исследования о динамике роста количества и ущерба мошеннических атак с использованием социальной инженерии в платежной индустрии?

— Количество атак с использованием социальной инженерии в платежной индустрии росло до недавнего времени. Но сейчас уже можно сказать, что люди меньше стали попадаться на «удочку» мошенников, использующих социальную инженерию, и в целом держатели карт стали более подкованными в вопросах электронных платежей.

В прошлом году мы также увидели, что доверие людей к инновационным методам платежа растет. Наше исследование «Все, что вы хотели знать о бесконтактных картах в России» показало, что 77% респондентов были уверены в безопасности транзакций по бесконтактным картам, а 42% ответили, что считают платежи с помощью банковских карт более безопасными по сравнению с расчетами наличными.

— Какие новые приемы «социальных инженеров» наиболее опасны?

— Одним из наиболее распространенных методов социальной инженерии являются звонки мошенников от имени финансовых организаций с просьбой озвучить различные персональные и платежные данные. Ими могут быть номер карты, одноразовые коды, приходящие на телефон для подтверждения операций, прочие коды и пароли.

Сейчас одним из основных методов борьбы с социальной инженерией является повышение финансовой и платежной грамотности держателей

Мошенники также рассылают электронные сообщения с неизвестных адресов с вирусными приложениями, которые собирают и передают правонарушителям персональные и платежные данные пользователей. Существуют и мошеннические сайты, с которых на устройство пользователя загружаются вирусы и вредоносные программы. Затем мошенники с помощью полученных платежных данных снимают или переводят все средства с карты на свои счета.

Сейчас одним из основных методов борьбы с социальной инженерией является повышение финансовой и платежной грамотности держателей. Мы даем несколько рекомендаций держателям карт, которые не хотят попасться на уловки «социальных инженеров».

— Какие технические меры можно использовать? Какова роль риск-менеджеров?

— Так как мошенники выводят средства с карты с помощью актуальных и действительных платежных данных, кодов и паролей, которые они получают обманным путем от держателей карт, у банков в ряде случаев не возникает сомнений в том, что операции совершаются самим держателем. Но все-таки есть определенные методы, с помощью которых риск-менеджеры финансовых организаций предотвращают или останавливают начавшийся вывод средств с карт.

Такие методы могут включать в себя многофакторную аутентификацию держателей карт (например, с помощью протокола 3-D Secure 2.0), обезличивание карточных данных (например, токенизацию — замену номера карты уникальным набором цифр). Действенной мерой защиты служат системный мониторинг транзакций по картам и их подтверждение у держателя в случае подозрения о мошенничестве, а также отклонение транзакций по определенным критериям (например, если транзакция совершена выявленным ранее мошенническим предприятием и через мошеннический веб-сайт) и т.д. Набор методов борьбы на самом деле намного шире и постоянно совершенствуется, но публично не разглашается, чтобы мошенники не могли их учесть в своих схемах.

— Устойчивее ли к социальной инженерии технология токенизации и кошельков Pay?

— По требованиям Visa все организации, которые имеют доступ к карточным данным, обрабатывают или хранят их, должны соответствовать стандарту PCI DSS. Обязанность финансовых организаций, обслуживающих торгово-сервисные предприятия (ТСП), обеспечить соблюдение стандарта PCI DSS и других стандартов этими ТСП в соответствии с их классификацией по уровню риска.

Платежи, в том числе с помощью смартфонов, которые защищены технологией токенизации, безопасны. Злоумышленник, даже перехватив токен, не сможет осуществить платеж. Но мошенники прибегают к методам социальной инженерии для привязки токенов к своим смартфонам: звонят по телефону и представляются сотрудниками финансовой организации или другими лицами и обманом узнают у держателя номер карты и одноразовый код подтверждения, который приходит в виде SMS на телефон держателя.

Платежи, в том числе с помощью смартфонов, которые защищены технологией токенизации, безопасны

Известны и вирусы для некоторых типов смартфонов, которые перехватывают SMS-сообщения с одноразовым кодом для подтверждения операции. Затем мошенник подтверждает одноразовым паролем выпуск к карте держателя и привязку токена к своему смартфону и совершает покупки или переводы уже с помощью своего смартфона.

— ЦБ опубликовал рекомендации о мерах предосторожности во время проведения Чемпионата мира по футболу 2018 года. Чем Visa может его дополнить?

— Все рекомендации Банка России и финансовых организаций в части мер предосторожности во время проведения Чемпионата мира по футболу FIFA 2018 года болельщикам, безусловно, стоит учитывать. В случае непредвиденных ситуаций болельщики всегда могут обратиться в свои банки за подробными разъяснениями. Опять же, чтобы не стать жертвами мошенников, важно учитывать также те рекомендации, о которых я говорила чуть раньше.

— Насколько в действительности опасно дистанционное сканирование чипа банковских карт?

— Бесконтактные платежи — это более высокий уровень безопасности, удобства и скорости оплаты. Все бесконтактные карты Visa в России выпускаются на базе микропроцессорной технологии и обладают всеми преимуществами чиповых карт, надежность которых проверена временем.

Во-первых, карты с чипами не содержат информации о персональных данных и иной личной информации, такой как паспортные данные держателя, номер банковского счета или объем доступных средств на нем. Во-вторых, для подтверждения каждой операции бесконтактные карты Visa с чипом используют уникальный код, который не может быть использован для подтверждения других транзакций. В-третьих, данные о транзакции по бесконтактной карте не содержат коды CVV и CVV2, используемые для подтверждения операций по магнитной полосе или в Интернете.

В последнее время появляются сообщения о том, что мошенники якобы используют переносные терминалы, которые считывают данные платежных карт через сумку, одежду или кошелек. Могу с уверенностью сказать, что не стоит опасаться подозрительных людей, разгуливающих с терминалами или смартфонами для оплаты по общественным местам в попытках что-то «просканировать».

Во-первых, без вашего ведома списать серьезную сумму все равно не получится — при бесконтактной оплате при помощи NFC-технологии система запрашивает PIN-код, если сумма транзакции превышает 1 тыс. рублей. К тому же с помощью терминала нельзя списать оплату более одного раза в течение короткого промежутка времени.

Во-вторых, максимальное расстояние от терминала до карты или смартфона с электронным кошельком должно составлять четыре сантиметра. Вряд ли мошенник подберется к вашей карте настолько близко. А для совершения транзакции с помощью смартфона электронный кошелек на смартфоне нужно еще и открыть с помощью кода или отпечатка пальца.

В-третьих, даже если злоумышленнику удастся списать средства с вашей карты на сумму менее 1 тыс. рублей, средства не окажутся у него в кармане, а поступят на счет в банке, который обслуживает данный терминал. У кредитной организации соответственно имеются все данные об организации, которой принадлежит счет, и отыскать злоумышленника не составит труда.

— Каковы перспективы биометрической аутентификации от Visa?

— Биометрия уже используется в платежной индустрии и, вероятно, станет одним из популярных инструментов идентификации держателей карт. Мы понимаем, что в течение дня потребителю приходится проходить процесс аутентификации несколько раз — при совершении платежей, проверке баланса или денежном переводе членам семьи либо друзьям. Традиционные методы аутентификации уже кажутся не такими удобными и даже могут раздражать. Мы продолжим поддерживать использование таких средств в ближайшем будущем, но одновременно с этим изучаем новые возможности повышения безопасности платежей с помощью биометрии, оценки рисков и данных геолокации.