В рамках конференции была предусмотрена отдельная сессия - "Информационная безопасность в банках", в которой директор компании Фродекс Андрей Луцкович рассказал об актуальных проблемах современной теневой индустрии кибермошенничества и причинах наращивания ее потенциала.
В докладе Мошенничество в системах дистанционного банковского обслуживания были отмечены следующие моменты:
снижение стоимости входного билета на рынок киберпреступности ("дешевле - значит доступнее");
увеличение специализации, разделение выполняемых преступных функций положительно сказывается на их качестве;
всевозможные формы сотрудничества, используется масса партнерских программ для получения максимальной прибыли.
Как следствие, наблюдается рост интереса со стороны традиционного криминального мира - фактически, уже можно говорить о полном их слиянии с киберпреступностью: последние обеспечивают технологии и предварительные операции, традиционный же криминальный мир занимается офф-лайн поддержкой, организует вывод и обналичивание украденных электронных денег.
Считается, что преступники самостоятельно развивают высокие технологии. С этим хотелось бы не согласится. По нашему мнению, разработчики высоких технологий прикладывают массу усилий по доступности их преступникам. Сейчас уже можно говорить о наличии всех современных атрибутов ведения бизнеса в преступной среде. В первую очередь - о распространении модели B2B (англ. Business to Business, или бизнес для бизнеса). Продается и покупается все: от пулов зараженных ПК (клиентов), готовых получить "полезную" нагрузку (банковского трояна), до сервиса по обналичиванию средств.
Наблюдается масса примеров привлечения инвестиций в разработку новых технологий. В отличие от традиционного мира бизнеса здесь наблюдается высокая эффективность, все участники ориентированы на конечный результат.
Еще одной из современных тенденций является дистанцирование разработчиков вредоносного ПО от непосредственного участия в преступной деятельности. Разработчики редко принимают участие непосредственно в краже средств со счетов клиента - после известных громких случаев по поимке киберпреступников такая деятельность связана с большими рисками.
Необходимость постоянного совершенствования инструментов, с помощью которых возможно совершить кибермошенничество, приводит к неизбежному удорожанию конечного продукта, а следовательно - к уменьшению числа потенциальных покупателей банковского трояна. Чтобы не терять прибыль, вирусописатели поменяли свою бизнес-модель зарабатывания денег - теперь она заключается в разработке, продаже и техподдержке инструментов, с помощью которых возможно совершить кибермошенничество - более известная как модель SaaS (англ. software as a service, или программное обеспечение как услуга). Таким образом, в настоящее время аренда мошеннического ПО с помесячной оплатой становится нормальной практикой.
Таким образом, мы сталкиваемся с новым явлением - "мошенничество как сервис" ("Fraud as a Service").
Что же можно увидеть по другую сторону баррикады?
Логично предположить о симметричности ответа. Но к сожалению, защищающаяся сторона демонстрирует традиционность подходов и разрозненность усилий. Это верно как для банковского сообщества, так и для профессионалов рынка ИБ.
Банки по-прежнему строят свою оборону исходя из предпосылки "один против всех": каждый банк пытается защитить своих клиентов сам, самостоятельно занимаясь разработкой и тонкой настройкой собственных фильтров по выявлению подозрительных платежей, а клиенты вынуждены использовать дополнительные средства аутентификации.
Но, как известно, один в поле не воин. Очередной раз в этом можно убедиться, занявшись анализом исходных кодов банковского трояна Carberp, публично доступных в сети Интернет. Среди прочего в них можно найти скриншоты с атакованных ПК клиентов банков, что и было продемонстрировано в ходе доклада вместе с интересными фактами, обнаруженными в исследовательской лабаратории компании Фродекс.
Отметим, что банки в последнее время понимают, что предпринимаемых ими собственных мер явно недостаточно - поэтому все больше банков участвуют в "Антидроп-клубе", целью которого является налаживание обмена информацией по случаям мошенничества и минимизации совместных потерь. Понятно, что еще есть над чем работать, самое очевидное - необходимость избавиться от проблемы человеческого фактора.
Опыт борьбы с киберпреступностью компании Фродекс привел в выработке и внедрению в своих продуктах подхода "Антифрод как сервис". Что подразумевается под этим термином?
В нашем понимании это:
доступность и простота использования средств борьбы с кибермошенничеством
непрерывность совершенствования методов и способов обнаружения мошеннических платежей
возможность оперативного и автоматизированного обмена информацией по выявленным случаям мошенничества
использование консолидированного опыта по выявлению мошеннических платежей.
Понимание вышеперечисленных принципов не только реализовано в нашем решении FraudWall, но и привело к созданию сервиса по борьбе с кибермошенничеством - FraudWall as a Service.
Продукт FraudWall позволяет автоматизировать получение и использование информации "антидроп-клуба" и системы "FraudMonitor", кроме того максимально упрощается процесс обратного опубликования информации о выявленных мошеннических получателях ("дропах").
Нельзя не отметить, что логика обнаружения мошеннических платежей доступна как неотъемлемая часть сервиса FraudWall as a Service. Банк избавляется от необходимости разработки собственными силами правил обнаружения. Поставляемая логика обнаружения является результатом консолидированного опыта специалистов компании "Фродекс" и обеспечивает эффективную защиту с первых дней после установки решения.
Как не прекращается состязание брони и снаряда, так и не останавливается работа специалистов компании "Фродекс" над совершенствованием правил обнаружения. Только постоянный мониторинг трендов киберпреступности, участие в расследовании инцидентов и постоянное обновление логики обнаружения смогут обеспечить достаточный уровень борьбы с мошенничеством.
Необходимо признать, что реализуемый подход не является уникальным: аналогичный подход демонстрирует компания Group-IB в своих продуктах FraudMonitor и Bot-Trek, компания RSA предлагает сервис RSA FraudAction и т.д.
Сейчас уже можно говорить о понимании необходисти модернизации мышления противостояния со стороны проффесионалов рынка ИБ, осталось донести это понимание до клиентов.
Более подробную информацию о подходе FraudWall as a Service можно узнать из нашей презентации.