• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

А.Трошин: e-мошенничество держится на менталитете

Электронное мошенничество держится, как и обычный обман, на психологических рычагах, сходятся во мнении эксперты «ИКС». Лучший способ противодействия этой угрозе – информирование населения и наказание онлайн-мошенников.

Читайте полную версию Дискуссионного клуба темы номера  «ИКС» №6-7'2014 «Будь инфобдителен!». Часть 8.

? «ИКС»: Мобильное и онлайн-мошенничество – бич информационного общества. Какие наиболее распространенные и новые схемы обмана использует "индустрия" электронного мошенничества? Как повысить уровень осведомленности населения об электронном мошенничестве и способах самообороны?

Вячеслав Медведев, старший аналитик, DrWeb: В общем-то все те же, что и в эпоху телефонов. Фишинг - игра на психологии, невнимательности, жалости.  Есть две проблемы. Новости и обзоры в области ИБ публикуются в местах, крайне редко посещаемых обычными пользователями. За исключением жареных новостей, за пределы сайтов, связанных с безопасностью, такие новости выходят крайне редко. Фактически отсутствуют общедоступные и одновременно популярные журналы, каналы новостей и т.д. Уровень интереса населения к безопасности в условиях пропагандируемой системы, рассчитанной на легкость получения желаемого, крайне мал – более того, безопасность противоречит удобству – и невыгодна современной культуре.

Рустэм Хайретдинов, исполнительный директор, Appercut Security: Банки и телеком-операторы много внимания уделяют противодействию мошенничеству. Если корпоративные пользователи еще как-то прислушиваются к их рекомендациям, то частные пользователи проявляют удивительную беспечность и действуют по принципу «этого со мной не случится».

Алексей Раевский, генеральный директор, Zecurion: Новые схемы обмана появляются каждые несколько месяцев, и все они основаны либо на излишней доверчивости пользователей, либо на незнании ими основных правил личной безопасности при использовании электронных сервисов. На мой взгляд, уже давно пора включить основы информационной безопасности и защиты от интернет-мошенничества в школьную программу ОБЖ. Сейчас на этих уроках проходят, как вести себя в чрезвычайных и кризисных ситуациях, и это очень важно. Однако стать жертвой кибермошенника сегодня гораздо вероятней, чем жертвой землетрясения или теракта. Надеюсь, что уже прошло достаточно времени для преодоления традиционного консерватизма наших образовательных ведомств для того, чтобы рассмотреть вопрос о включении вопросов защиты информации в школьную программу. Для тех же, кто уже покинул школьную статью, было бы полезно регулярно публиковать циклы статей в средствах массовой информации или делать специализированные телепередачи аналогично тому, как существуют передачи про ремонт или здоровье. Но медиасреда довольно сильно коммерциализирована, поэтому перспектива выделения печатных площадей или эфирного времени для таких целей довольно туманна.

Катажина Хоффманн-Селицка, менеджер по продажам, HID Global в Восточной Европе: В последнее время особенно востребованными в мошеннической среде становятся так называемые атаки «Человек-в-браузере» (Man-in-the-Browser). Данный тип атак встречается сегодня все чаще, принимая более изощренные формы. С помощью Man-in-the-Browser злоумышленники могут без труда обойти двухфакторные системы безопасности последнего поколения, используемые для защиты онлайн-банкинга. При их реализации хакеры изменяют параметры транзакции, вредоносное ПО внедряется в клиентский Интернет-браузер и становится «посредником» между пользователем и веб-сайтом. Таким образом, параметры транзакции за считанные секунды меняются, когда клиент начинает процесс перевода денежных средств. Растет число изощренных атак с использованием различных технологий, таких как социальная инженерия. Например, Citadel, продвинутый вариант известного трояна Zeus, используется хакерами в Восточной Европе специально для финансового мошенничества. Кроме того, в последней версии Citadel (на сегодняшний день существует около 300 ее различных вариантов) есть элементы, которых никогда ранее не видели в троянской программе. Например, инъекция в браузер, которая запускает поддельные всплывающие окна во время проведения транзакций онлайн-банкинга. Этот инструмент социальной инженерии обманывает пользователей и просит их повторно ввести логин и пароль в банковском аккаунте, а также установить приложение на мобильный телефон. Таким образом, программа начинает управлять устройством жертвы, чтобы получить SMS-пароли, отправленные банком. Чтобы обезопасить своих клиентов, банки внедряют многоуровневую систему безопасности, которая предоставляет дополнительные «слои» защиты, в то же время являясь понятной для пользователя. Системы интернет-банкинга используются в России уже не первый год, и банки провели значительную работу по повышению грамотности пользователей онлайн-сервисов, и все же, несмотря на это, клиентская грамотность растет не такими высокими темпами, как в западных странах. Кроме того, для того чтобы безопасность онлайн-транзакций поднялась на требуемый уровень, необходимо, чтобы не только банки, но и сами клиенты, уделяли должное внимание вопросам защиты платежей.

Александр Трошин, технический директор, «Манго Телеком»: В России очень тяжело повысить осведомленность населения о способах самообороны против электронного мошенничества, причем в силу менталитета россиян. Доброта и доверчивость людей, вера в «авось» и «а вдруг?», вера в чудо – фундамент, на котором строится большинство видов онлайн-мошенничества, в том числе и новых. И пока ментальность не изменится, боюсь, подход россиян к информационной безопасности тоже не поменяется, так как формально способов организации мошенничества очень много и они всегда будут трансформироваться, чтобы идти в ногу со временем или даже с опережением, чтобы всегда оставаться в тренде.

Сегодняшний тренд – мобильные девайсы почти у каждого. Соответственно, и каналов для совершения мошенничества сегодня гораздо больше, чем вчера, когда вообще не было смартфонов и мобильных онлайн-устройств. Развитие технологий не остановить, соответственно, не остановить и изобретение актуальных способов мошенничества. Поэтому бороться нужно не на уровне девайсов, а на уровне грамотности и на законодательном уровне. Ужесточать сроки за такие мошенничества, а не оперировать условными сроками там, где людей могут обмануть на несколько миллионов рублей или отобрать у пенсионеров последние деньги. И, конечно, вместе с выработкой законов и практики, благодаря которым наказание становится неотвратимым, до людей нужно доносить  информацию о том, какими сроками «попахивает» онлайн или мобильное мошенничество, такие данные нужно широко освещать.

Игорь Корчагин, руководитель группы обеспечения безопасности информации, ИВК: Повсеместное распространение интернета, в том числе интернета вещей, рост активности в сфере онлайн-платежей, а также уровень развития современных мобильных технологий и их распространение в массы, - все это стало объектов повышенного интереса мошенников. А в совокупности с весьма низким уровнем осведомленности граждан о существующих угрозах мошеннических действий, все это стало с высокой скоростью обрастать весьма реальными статистическими сведениями о количестве жертв таких мошенников. Фишинговые сайты, рассылка по смс и электронной почте сообщений от имени банков, фэйковые мобильные приложения, которые по факту являются вредоносным ПО, а также использование социальных сетей для распространения ссылок на вредоносные ресурсы (например, от имени вашего друга с его взломанной страницы), все это стало обыденным и повсеместным на пути каждого пользователя современным информационных технологий. И ключевым методом защиты пользователей от мошенников должен быть рост их уровня осведомленности и компетентности о существующих угрозах и способах поведения при столкновении с мошенническими действиями или подозрении, что есть вероятность отнесения тех или иных событий к таким действиям. В этом должны принимать высокую степень участия в первую очень операторы связи и популярные интернет сервисы (поисковые системы, социальные сети, системы онлайн-банкинга). Хорошее и изложенное в доступной форме описание безопасности в интернете зачастую имеется на многих крупных интернет-ресурсах, но, чтобы пользователь эту информацию увидел, ему необходимо постараться её там найти, что автоматически делает эти инструкции недостаточно эффективными. Хорошим примером заботы о безопасности пользователей является компания Яндекс, которая выпустила свой веб-браузер со встроенной антивирусной проверкой и антифишинговой защитой, а также создала свой магазин проверенных приложений для телефонов на базе Android.

Сергей Иванов, руководитель офиса технологии защиты информации, Первый БИТ: Наиболее распространенные схемы онлайн-мошенников – это схемы, использующие людскую глупость и жажду легкой наживы. Технически оградить от таких схем, безусловно, сложно. Однако огромный объем работы по информированию об онлайн-мошенничестве и повышению качества своих продуктов проводят производители антивирусных решений и систем контентной фильтрации. Лучший способ противодействия этой угрозе – информирование населения и наказание онлайн-мошенников.

Александр Бодрик, ведущий консультант Центра информационной безопасности R-Style: Современные направленные против пользователей мошеннические схемы можно разделить на три категории: взлом рабочих мест пользователей, социальная инженерия и угрозы мобильным устройствам. В каждом случае эксплуатируются широкие возможности пользователей по потреблению контента: разнообразие веб-сайтов, взлом и заражение которых влечет за собой заражение пользователей; широкое распространение коммуникаций посредством мобильного телефона; избыточная доверчивость пользователей; существование нелегальных магазинов приложений, загрузка приложений из которых влечет заражений смартфонов. В каждом случае проблем можно было бы избежать, если бы легитимные сервисы, такие как новостные порталы, сами телеком-операторы и магазины приложений – AppStore и Google Market – активно информировали пользователей о сопутствующих рисках информационной безопасности при заключении договора. Также хорошим подходам является самостоятельное ограничение круга доверия, когда пользователь сознательно ограничивает перечень источникиов информации, которыми он пользуется.

Подготовила Лилия Павлова