Статистика преступлений в области кардинга, опубликованная вчера аналитиками из компании Zecurion по заказу «Известий», оказалась лишь частью огромного айсберга. Напомним, речь шла о 650 млн руб., украденных за год с карточных счетов россиян. Наши с экспертами попытки проанализировать эти цифры, открыли перед глазами настоящую бездну, которую напоминает сегодня сфера банковских транзакций и их скрытая криминальная грань. Мы инициируем свое расследование.
Опубликованная вчера аналитическим центром Zecurion статистика хищений по банковским картам россиян (650 млн руб. за год) — это несколько десятков пикселей из полноценной картины происходящего, — говорят эксперты рынка. Фиксировать объемы воровства здесь сложнее, чем воровать.
Исследование аналитического департамента компании Zecurion было подготовлено специально для «Известий» и содержит не полную картину хакерских потерь от кардинга. 650 млн руб., которых недосчитались владельцы «пластика» — это лишь аналоговая («бабушкина») часть интеллектуального гоп-стопа, как называют криминальный кардинг. По словам руководителя аналитического центра Zecurion Владимира Ульянова, они сфокусировались лишь на преступлениях с использованием технологий социального квазиинжениринга.
Криминальный апгрейд социальных технологий — вот что это значит, — поясняет г-н Ульянов. — Иными словами, когда между преступником и жертвой устанавливается прямой доверительный контакт, и жертва по телефону сама без всякого нажима разглашает данные банковской карты. Сейчас у нас в стране участились звонки, имитирующие отклики на объявления с порталов avito.ru или irr.ru. Здесь действует парадокс ложного спокойствия. Вы четко знаете, что без обладания CVV2 злоумышленник не представляет угрозы. И поэтому сначала соглашаетесь, чтобы на ваш счет внесли предоплату за старинный шкаф, а затем сообщаете «покупателю» код подтверждения банковской операции. И все. Вы без денег. Этого достаточно, чтобы обнулить ваши карточные счета.
Код CVV2 не панацея. Его функционал часто берет на себя комбинация цифр, приходящая в виде смс от банка.
Если кардинг принято иронично называть высокотехнологичным гоп-стопом, то социальная инженерия сводит интеллект к простейшим психологическим уловкам, фактически, к психодубине. В исследовании группы Ульянова не затрагиваются другие сегменты кардинга: скимминг, контактный и (недавнее открытие экспертов из ЦБ) — бесконтактный, когда вирус вживляется в электронные мозги банкоматов.
В структурном подразделении Центрального банка — Главном управлении безопасности и защиты информации (ГУБЗИ) нам озвучили цифры, которые содержатся в финансовой отчетности банков перед регулятором.
За 2016 год с карт россиян хакеры «увели» 1.08 млрд руб.
Но и это капля в море.
Владимир Ульянов из Zecurion, комментируя эту цифру, подчеркивает, что информация о примерно половине похищаемых с кредиток денег вообще не доходит до служб безопасности банков. И не попадает ни в один из статистических отчетов.
Банки сознательно не занижают объемы потерь от кардинга. Они просто не знают о половине уже украденного, — говорит Владимир Ульянов. — Здесь речь идет о так называемом, «тихом» воровстве, когда со счетов пропадают мизерные суммы, но достаточно регулярно. Клиент или не обращает на них внимания, или по привычке списывает их на банковские комиссии.
По словам опрошенных экспертов, суммы «тихого» снятия наличности сопоставимы со статистикой киберпотерь, которую публикует ЦБ. А это значит, что 1,08 млрд руб. нужно удваивать. Но можно ли считать и эту сумму итоговой?
Судите сами. По данным того же ЦБ, за 2016 год в России проведено по картам 17,9 млрд транзакций на сумму 51,2 трлн руб. Что такое два миллиарда от 50 триллионов? Это та погрешность, на которую не принято обращать внимания.
Это 0,004 процента.
Можно ли всерьез полагать, что объем хищений в любой сфере жизни равен четырем тысячным долям процента? Если да — это означает, что преступность в этом сегменте побеждена.
Поэтому Агентство кибербезопасности начинает свой исследовательский проект. Цель которого — приблизиться к пониманию реальных объемов киберпреступлений с использованием карт. Мы будем привлекать все новых экспертов и надеемся, что наша инициатива станет мотивирующим фактором для контролирующих банковскую сферу органов заняться не разрозненными сегментами, а полотном в целом.
Ряд видных экспертов по кибербезопасности, например бывший редактор IT security Guru, а сегодня эксперт лондонского Infosecurity Magazine англичанин Dan Raywood, полагают, что банковские карты обречены как раз вследствие их экстремально низкой защищенности перед сидящей на стероидах киберпреступностью. Dan Raywood уверен, что карты претерпят фатальные трансформации уже в ближайшие два года. Не доживут до 2020.
Как будет на самом деле — об этом выскажутся участники конференции «Перспективы банковской инфраструктуры в России», которая будет проведена Агентством кибербезопасности в сентябре этого года. В рамках этого форума мы обнародуем результаты своего расследования объемов кардинга.
Следите за анонсами на сайте Агентства кибербезопасности.
