30.05.2016 08:51
cigulev 7 5500 Источник
imageСовременные технологии, такие как EMV, 3D-Secure, сканирования отпечатков пальцев были призваны обезопасить платежи и, если не ликвидировать, то существенно уменьшить число незаконных операций по картам. Но, как показывают исследования, эти меры дают лишь временное «облегчение», ведь мошенники быстро находят новые способы обмана. Так, к примеру, активные усилия по внедрению систем обнаружения и противодействия мошенничеству (FDP) некоторых крупных авиакомпаний позволили значительно сократить число мошеннических операций, но преступники тут же переключили внимание на другие слабые места, имеющиеся в системе. Подобная ситуация наблюдается практически во всех сферах. Несмотря на внедрение новых стандартов и усилия служб информационной безопасности, сообщения о краже средств появляются регулярно, и, по мнению экспертов, в ближайшие годы ситуация не изменится. Напротив, аналитики Juniper Research прогнозируют увеличение объема онлайн-фрода, который к 2020 году, по их оценкам, достигнет 25,6 млрд долларов США.

73% финансовых компаний сообщают, что были подвержены атакам или стали жертвами карточного фрода в 2015 году. За последние 10 лет настолько большой процент наблюдался лишь однажды, в 2009 году. С тех пор доля организаций, страдающих от действий мошенников, постепенно снижалась. Но в 2015 году произошел резкий скачок, и число обманутых выросло сразу на 9%, до 73%.

Мы же в PayOnline, будучи процессинговой компанией, гордимся тем, что процент фродовых транзакций у нас за последние 6 месяцев следующий:
— по количеству транзакций: менее 0,05%
— по сумме: менее 0,1%
И это при том, что конверсия проходимости платежей остается неизменно на высоте.

image
Данные AFP (Association for Financial Professionals)

С каждым годом росла и сумма похищенных средств. Так, еще 5 лет назад убытки от карточного фрода во всем мире едва доходили до $10 млрд, но уже в 2014 году сумма превысила $16 млрд.

image
Данные The Nilson Report

При этом размер компании не имел большого значения, атаковали как средние компании с годовым доходом до $1 млрд, так и крупные корпорации с доходом в $1 млрд и более. А вот количество расчетных счетов организации оказало влияние на выбор мошенников. Компании, у которых денежные потоки были разбиты на большее число расчетных счетов (100 и более), атаковались значительно реже.

image
Данные Association for Financial Professionals

Основные сферы деятельности онлайн-мошенников — это электронная коммерция (по прогнозу Juniper Research, к 2020 году объем незаконных операций в e-commerce достигнет 16,6 млрд долларов), банковские операции (6,9 млрд долларов к 2020 году) и туризм (1,5 млрд. долларов США).

Business Email Compromise


BEC-атака
Атака, получившая название BEC (Business Email Compromise — «компрометация деловой переписки»), нацелена на самые разные компании по всему миру — от крупных корпораций до малого бизнеса и некоммерческих организаций.

Злоумышленники, предварительно собрав всевозможную информацию о жертве и ее партнерских связях, имитируют переписку партнеров по бизнесу. В сообщении, представляясь финансовыми или генеральными директорами, мошенники сообщают о смене банка и номера счета для платежных переводов. По словам экспертов, фальшивки выглядят очень правдоподобно. С 2013 года общая сумма ущерба уже превысила $2,3 млрд.

BEC — относительно новый вид мошенничества для финансовых компаний. Несмотря на то, что специалисты по безопасности финансовых организаций хорошо знакомы с email-фишингом и делают все возможное, чтобы предотвратить кражи, от рук BEC-мошенников страдает все больше компаний. По данным ФБР, с октября 2013 года по февраль 2016 года в правоохранительные органы по факту кражи денежных средств обратилось более 17,5 тысяч компаний из 79 стран мира. Средние потери компании от успешной атаки составляют от $25 тыс. до $75 тыс. Общая сумма ущерба за весь период превысила $2,3 млрд. А общее число инцидентов с января прошлого года увеличилось на 270%.

Значительный рост числа успешных BEC-атак может говорить о том, что предотвратить такой вид мошенничества гораздо труднее, чем считалось ранее, ведь главный инструмент мошенника в данном случае — это информация о компании-жертве, зачастую публичная, находящаяся в свободном доступе. А вместе с тем лишь 45% организаций во всем мире уверены в том, что их системы ИБ в состоянии противодействовать современным киберугрозам.

В 2015 году большинство профессионалов в сфере финансов (64%) сообщили, что были подвергнуты BEC-атаке. Жертвами мошенников чаще становились крупные компании, с годовым доходом не менее 1 миллиарда долларов США.

image
Данные Association for Financial Professionals

56% компаний, попавшихся на удочку, переводили средства через электронные системы расчетов. 29% использовали чеки. Следующим по популярности средством платежа стали кредитные карты и ACH (Automated Clearing House) — электронная платежная сеть, объединяющая различные региональные электронные межбанковские системы, предназначенная для взаиморасчетов между частными лицами, предприятиями, финансовыми институтами и государственными организациями.

image
Данные Association for Financial Professionals

image
Поделиться с друзьями
-->

Комментарии (7)


  1. saboteur_kiev
    30.05.2016 16:27
    #9315654
    +1

    IMHO, чем сложнее и непонятнее для пользователя система безопасности, тем меньше сам пользователь может противодействовать взлому.

    Если раньше — просто посложнее пароль придумать и все, то сейчас — а хрен его знает что делать, чтобы тебя не взломали — ломают не столько юзера, сколько уязвимости и баги системы.
    Кроме того, взламывать становится сложнее, начинающие туда не пролазят, а грамотные хакеры не ломают ради копеек, и потому ломают уже оптом. И подготовка тщательнее и на поток поставлена.

    Итого, драка хакеров с админами и разработчиками приводят к все более повышающимся ставкам, а юзеру все больше отводится роль безмолвного ягненка, который совсем не может повлиять на ситуацию


    1. Portnov
      30.05.2016 17:56
      #9316028

      С другой стороны, «юзер» (покупатель, картхолдер) сейчас как раз наиболее защищённая сторона во всей этой истории. Во-первых, у юзеров уводят гораздо меньшие суммы, чем у банков/процессингов — это и так понятно, у юзеров просто нет много денег. Во-вторых, если вы как юзер видите фродовую транзакцию в выписке — вы пишете в банке заявление и в разумные сроки почти всегда получаете деньги назад (многие банки предпочитают всегда возвращать деньги клиенту, независимо от исхода диспута). А вот банк как минимум вынужден оплачивать организацию диспута, да ещё и саму сумму транзакции в случае, если деньги клиенту он уже выдал, а от платёжной системы/мошенника/wtf не получил. Ну и самые незащищённые — торговцы.


      1. saboteur_kiev
        30.05.2016 18:16
        #9316086

        Тут не всегда, в соседней теме пишут, как используются уязвимости и разные хитрые способы для автоматической подписки на какие-то левые услуги. Сразу снимается, например, 20 рублей, и каждый месяц еще 20.

        Подавляющее большинство среднестатистических пользователей может а) не заметить и платить несколько месяцев, б) отключить но не поднимать вой из-за 20 рублей. А миллион таких пользователей — 20 млн рублей.

        И операторы связи не особо жаждут противостоять этому глобально, так как имеют свой кусок прибыли с этого.


      1. navion
        30.05.2016 20:49
        #9316544

        вы пишете в банке заявление и в разумные сроки почти всегда получаете деньги назад

        В какой стране? Про США слышал много счастливых историй, а у нас некоторые банки возвращают деньги только через суд.


        1. Portnov
          30.05.2016 21:15
          #9316626

          Некоторые — допускаю (хотя ни я ни мои знакомые с таким не сталкивались); но даже если через суд — закон на вашей стороне и деньги вы заведомо получите, только конечно потратите кучу времени и нервов.


      1. Areso
        31.05.2016 05:51
        #9317252
        +2

        3D-secure придумано как раз для того, чтобы переместить ответственность (liability shift) на владельца карты. А еще доставляет один зеленый банк, который намекает, что если не купить страховку карточки/счета у него, то он потом палец о палец не ударит, и вообще. Ну кто будет отзывать лицензию у государственного банка?)


        1. Portnov
          31.05.2016 17:26
          #9319756

          Если транзакция прошла с 3DS-аутентификацией, то действительно, оспорить её очень сложно. Но и подделка 3DS-аутентификации сложна: надо перехватывать sms-ки или что-нибудь в этом духе.
          Зато, если у вас на карточке включена подписка на 3DS, и по ней как-то провели транзакцию без 3DS — диспут однозначно разрешается в вашу пользу, сумма транзакции и все неустойки ложатся на торговца.