Многие сейчас активно обсуждают деятельность ЦБР по контролю денежных переводов. АШ не исключение.
На самом деле перевод наличной денежной массы в безналичную предпринимается давно и на обсуждении этой темы сломано не мало копий. Вместе с тем, ЦБР малыми шагами движется в этом направлении (лягушку варят не медленном огне) и вполне логично, что основная цель: учет и контроль.
При этом никто не исключает, что параллельно требуется усиливать защиту "электронных" денежных средств.
Предлагаю к рассмотрению сводный отчет Департамента информационной безопасности ЦБР за I и II кварталы 2019/2020 года и III квартал 2021 года.
Объем операций по переводу денежных средств, совершенных без согласия клиентов
В I квартале 2020 года объем операций без согласия клиента вырос на 38% по сравнению с аналогичным периодом 2019 года на фоне двукратного снижения общего объема операций с использованием электронного средства платежа. Наиболее вероятная причина — начало использования дистанционных способов оплаты товаров и услуг той частью населения, которая до введения ограничений в связи с пандемией COVID-19 приобретала и оплачивала их непосредственно в точках продаж. В силу отсутствия необходимого опыта противодействия злоумышленникам эта категория граждан оказалась повышенно уязвима к социальной инженерии.
По той же причине в II квартале 2020 года наблюдалось дальнейшее увеличение объема операций без согласия клиента (+59%) на фоне роста общего объема операций с использованием электронного средства платежа.
Количество операций без согласия клиентов (ед.), доля социальной инженерии
В I квартале 2020 года наблюдалось снижение доли социальной инженерии среди операций без согласия клиента, совершаемых через банкоматы, терминалы и импринтеры. При этом выросла доля возмещения. Это может свидетельствовать о начале смещения фокуса внимания злоумышленников именно на онлайн-среду (наиболее вероятная причина — пандемия COVID-19).
Данное предположение подтверждают рост количества и объема операций без согласия клиента, а также доля социальной инженерии при оплате товаров и услуг в Интернете (при снижении доли возмещения на 5 п.п.) на фоне роста числа мошеннических сайтов, где используют схемы хищений, связанные с повседневной хозяйственно-бытовой деятельностью граждан (покупка продуктов питания и товаров первой необходимости, оплата мобильной связи и т.п.).
Перевод на удаленный режим работы способствовал ряду хищений в системах ДБО юридических лиц в I и II кварталах 2020 года. Об этом свидетельствует рост доли хищений с применением социальной инженерии при сокращении числа таких операций, росте их общего объема и снижении доли возмещения (в I квартале 2020 года).
Расшифровки по отдельным строкам:
Абсолютное большинство операций без согласия клиента совершено с использованием приемов социальной инженерии, поэтому банки должны активнее работать над минимизацией хищений, предупреждая клиентов о рисках мошенничества.
Основные меры по защите информации установлены национальным стандартом ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». Качество их реализации с 01.01.2021 будет оцениваться внешним аудитором в соответствии с Положением Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», а также Положением Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». В связи с этим Банк России планирует отказаться от проведения субъектами национальной платежной системы самооценки по форме отчетности 0403202 в пользу более объективной модели оценки.
Количество атак по типам (ед.)
В первом полугодии 2020 года появляются новые виды вредоносного программного обеспечения, растет число атак с использованием шпионских программ, активизируются хакерские группировки.
Программы-шпионы позволяют получать удаленный доступ к информационным системам организаций. Это дает основания прогнозировать отложенный эффект в виде роста хищений во второй половине 2020 года. Статистика за второе полугодие будет собрана, суммирована и проанализирована в I квартале 2021 года.
Заблокированные по инициативе Банка России мошеннические телефонные номера (ед.)
9 из 10 звонков сводятся к теме «Угроза накоплениям» либо «Операция без согласия клиента»
Порядка 80% звонивших злоумышленников выступали якобы от лица представителей финансовых организаций, при этом использовались технологии подмены телефонных номеров. Это подтверждает почти четырехкратный рост количества заблокированных городских телефонных номеров в первом полугодии 2020 года.
Заблокированные по инициативе Банка России мошеннические интернет-ресурсы (ед.)
На фоне пандемии выросла востребованность дистанционных сервисов и услуг, у многих граждан появилась потребность в привлечении денежных средств. Это спровоцировало появление большого количества сайтов лжебанков. Соответственно, увеличилось и число заблокированных по инициативе Банка России подобных ресурсов.
Более подробная информация по ссылкам ниже.
Комментарии
Если бы за безнальные переводы не снимали процент от суммы, дело бы шло куда быстрее. Они хотят за наши же деньги, нас в цифровое рабство к банкирам загнать и ошкуривать не напрягаясь.
Причем в последнее время комиссию снова начали брать, хотя в конце нулевых пошла волна отмены процентов с безналичных операций. Так что желание населения (и мое) проголосовать за нал вполне понятно.
Только полный хардкор, только нал. ))
Если серьезно, то уже не раз об этом писал, что
А пусть куриных кодов побольше вводят)) там можно и без социнженеров нехило намутить. Основная масса народа вообще не вкуривает куда и по каким ссылкам их мобильники с привязанными картами шастют увидев куриный код))
Пример, мужика посадили, за то, что он менял на стендах газеты с выигрышными номерами лотерейных билетов, на газету с итогами прошлого тиража, потом подбирал выкинутые билеты рядом со стендом. Было в сов.время.
Заставить пользователя открыть левую ссылку или поставить левое приложение это и есть типичный развод лохов, или вежливо соц. инженерия.
Теперь это в обязалово хотят ввести на госуровне, а это уже не социнженерия. Самое простое, зашью в свой qr редирект через сервисы и с рефок иметь буду.
На госуровне просто собираются ввести собственный сканнер штрих-кодов для установки на устройста людей, уполномоченных проверять штрих-коды. Скорее всего сделают как с обычными корпоративными телефонами -- сам ничего не поставишь и не удалишь. Лоха это никак не касается, у него такого "госфона" не будет.
Что они собираются и когда сделают науке неизвестно. До этого момента будут с обычных смартов чекать ссылки зашитые в куркод и тут простор для фантазии))
По уму, делали бы свой, посконный, береста-код для госуслуг, но не могут даже это японское поделие импортозаместить.
Да изестно всё, людей сначала пугают уязвимостями в софте, они уши и развешивают, когда сталкиваются с реальными ворами на доверии.
Это другое... (С)
Топикстартер не глядя скопипастил статеечку, а базовые смыслы не "разжевал" незнающим читателям евойного блога. Что такое "операции без согласия клиента"? Я подозреваю что это такое, но в заметке нет определения что же это на самом деле (кстати - термин новый, первый раз слышу ))) ), а ведь вокруг этого и идёт вся свистопляска. По большому счету - это всё пыль, просто громкие слова к постепенному сваливанию в фазу кризиса, где каждый сам за себя )) Ну да ладно, это я уже сугубо от себя )))
Если Вас в гугле забанили, то пожалте: