Финансовые преступления становятся все более серьезной проблемой в современном деловом мире, ежегодно обходясь компаниям и частным лицам в миллионы долларов. Мошенничества с банковскими и кредитными картами, кибератаки на организации и частных лиц, компрометация деловой почты, социальный инжиниринг, вредоносное ПО и другие случаи проявления мошеннической деятельности, представляют собой большую угрозу для финансовой системы, и являются серьезными проблемами современных деловых кругов.
В последние несколько лет все большее число руководителей компаний финансовой отрасли, становятся предпочтительными целями преступников. Согласно статистическим данным именно финансовая отрасль занимает первое место по количеству сообщений на форумах Dark Web и хакерских каналах. По состоянию на 2022 год в среднем 16% сообщений в Dark Web были связаны с финансовой индустрией. 90% сообщений, связанных с финансовой индустрией, принадлежат злоумышленникам, которые хотят продать или поделиться конфиденциальными данными финансовых учреждений. За последний год на черном рынке было продано 17,4 миллиона данных кредитных карт. Только во втором квартале 2022 года было заблокировано 5 520 908 атак мобильного вредоносного, рекламного и рискованного ПО.
За первые восемь месяцев 2022 года злоумышленники зарегистрировали более 10 000 фишинговых доменов, которые выдавали себя за финансовые учреждения. Около 75% этих фишинговых доменов имеют действующий SSL-сертификат.
Кто является главной угрозой бизнеса и экономики, финансовое преступление и социальный инжиниринг, почему большинство мошенников остаются безнаказанными, рассказала эксперт в области финансовых преступлений Юлия Погасий.
Юлия Погасий, бизнес-леди, финтех-эксперт, член Ассоциации сертифицированных специалистов по финансовым преступлениям (ACFCS). В течении последний 4 лет, благодаря своей экспертизе Юлия помогла предотвратить многомиллионные убытки в компаниях своих партнеров и клиентов.
«Финансовые преступления — это не просто нарушение закона, но и угроза для экономики и общества в целом» — Юлия Погасий
Вы являетесь сертифицированным специалистом Ассоциации специалистов по борьбе с финансовыми преступлениями. Почему вы решили повысить квалификацию именно в этом направлении?
— Когда я узнала об Ассоциации сертифицированных специалистов по финансовым преступлениям (ACFCS), я поняла, что передо мной открылась уникальная возможность повысить свою квалификацию в области предотвращения финансовых преступлений и соблюдения нормативных требований. Программа сертификации CFCS, предлагаемая ACFCS, была жесткой и требовательной, но я не колебалась ни на секунду. Я осознала, что это поможет мне не только улучшить качество обслуживания моих клиентов и партнеров, но и повысить ценность своего бизнеса.
Пройдя программу сертификации CFCS, я приобрела глубокие знания и практические навыки в области борьбы с финансовыми преступлениями и соблюдения нормативных требований. Теперь я могу оперативно реагировать на изменения в законодательстве и применять на практике передовые методы борьбы с финансовыми преступлениями.
Вы как эксперт в области финансовых преступлений, наверняка сталкивались с разными видами преступлений. Какие виды финансовых преступлений наиболее распространенные?
Из наиболее распространенных финансовых преступлений я бы отметила: мошенничество, фирмы-однодневки, слив конфиденциальной информации конкурентам от недобросовестных или обиженных сотрудников. К финансовым преступлениям так же можно отнести отмывание денег и уклонение от уплаты налогов. Не стоит недооценивать и значение роли социальной инженерии в финансовых преступлениях.
Сегодня социальная инженерия является методом манипулирования людьми, который зачастую используется злоумышленниками для обхода технических мер безопасности для получения доступа к конфиденциальной информации. Эти угрозы могут привести к серьезным финансовым последствиям для организаций и отдельных лиц.
Как социальный инжиниринг может быть использован для совершения финансовых преступлений и как с этим бороться?
— Социальный инжиниринг является одним из наиболее частых случаев совершения финансовых преступлений. Киберпреступники назову их так, используют различные методы манипуляций, фишинговые атаки, взлом аккаунтов, подделку документов и другие способы, чтобы обмануть людей и получить доступ к их данным, данным компаний, банковским счетам и т.д.
Пример того, на что способен умелый социальный инженер можно найти в фильме. Возможно, вы смотрели фильм «Поймай меня, если сможешь», основанный на реальных событиях. История про мошенника Фрэнка Уильяма Абигнейла-младшего. За пять лет своей преступной деятельности его фальшивые чеки на общую сумму 2,5 миллионов долларов оказались в обращении 26 стран мира. Скрываясь от уголовного преследования, Абигнейл проявил удивительные способности в перевоплощении, выдавая себя то за пилота авиалиний, то за профессора социологии, врача и даже адвоката.
Я вам больше скажу, иногда достаточно просто попросить. Как пример — кража 40 миллионов долларов у компании The Ubiquiti Networks. Никто не взламывал операционные системы и не крал данные — сотрудники сами нарушили правила безопасности. Преступники отправили электронное письмо от имени топ-менеджера компании и потребовали от финансистов перевести крупную сумму на указанный банковский счет. Таких примеров могу привести множество. И что самое интересное, когда в компании происходит взлом или сотрудник провернул мошенническую схему, чаще всего об этом умалчивают сами компании.
Почему компании умалчивают о таких инцидентах? Получается, что мошенники, совершив преступление, часто остаются безнаказанным. С чем это связано?
— Большинство компаний опасаются, что, сообщив о внутреннем мошенничестве, они навредят своей репутации. Другая причина в том, что некоторые компании считают, что полиции и юридической системе нельзя доверять.
Кроме того не сообщая об инциденте в полицию, мошенники идут в другую компанию и там происходит тоже самое, получается замкнутый круг. HR менеджерам становится все труднее отличить надежных сотрудников от сомнительных при приеме на работу. Это также увеличивает риск того, что некоторые мошенники получат возможность усовершенствовать свою тактику и стать уже профессиональным «серийными мошенниками».
Как сказал президент и генеральный директор американской компании-разработчика программного обеспечения Code42 Джо Пэйн, «Великое увольнение» за последний год породило множество проблем, связанных как со злонамеренной, так и со случайной кражей данных.
Да, компании стараются как-то предотвратить появления таких сотрудников, но на практике это малоэффективно. Например, для ограничения рисков при найме сотрудников некоторые организации сотрудничают со своими конкурентами и обмениваются информацией о людях, совершивших мошенничество внутри компании. Такая практика распространена, например, среди канадских банков. Через Канадскую ассоциацию банкиров, в которую входят все основные зарегистрированные банки и кредитные союзы, распространяется список нежелательных сотрудников. Имена в этот список добавляются финансовыми учреждениями на добровольной основе. Другие сектора занятости также извлекают выгоду из таких ресурсов, чтобы лучше бороться с мошенничеством.
Те, компании, у которых достаточно ресурсов и возможностей, создали в своих стенах подразделения по борьбе с мошенничеством, которые представляют собой, казалось бы, параллельную полицейскую и судебную системы. Небольшим организациям решить проблему подобных преступлений особенно сложно, поскольку у них нет достаточных ресурсов для создания подразделений по борьбе с мошенничеством. Они должны обращаться к определенного рода экспертам, если они хотят получить пользу от специализированного опыта в решении проблемы мошенничества, но затраты в данном случае могут быть очень значительными.
Может ли кибербезопасность или интеграция ПО решить вопрос с финансовыми преступлениями на предприятии?
В современном мире наконец-то становится все более очевидным, что посредством только кибербезопасности невозможно решать все актуальные информационные угрозы, которые бросают вызов бизнесу и финансовым организациям. В отчете Proofpoint «Кибербезопасность: Перспективы совета директоров за 2022 год» четко написано, что более двух третей членов совета директоров считают человеческий фактор самой большой киберуязвимостью. И у них есть все основания так считать, поскольку 82% зарегистрированных кибератак связаны с человеческим фактором.
Финансовые структуры пытаются защитить своих клиентов от кибератак, но они сами остаются уязвимыми перед лицом современных угроз. Для решения подобных задач необходим особый междисциплинарный подход, который объединит в себе экспертов из разных областей, таких как кибербезопасность, криминология, юриспруденция, социология, психология и другие.
Такой подход является единственным эффективным способом противодействия растущим информационным угрозам в XXI веке, и он станет основой для новых стратегий безопасности как в России, так и в Европе и США на ближайшие 10 лет.
Интересен факт, что подобные идеи стали появляться в научном сообществе в США только в 2019-м году. Автором этих идей считается профессор Кэтлин Карли. Она создатель такого термина как социальная кибер-безопасность, и говорит о том, что область угроз, которые должна покрывать социальная кибербезопасность обсуждаются учёными и академиками на собраниях Национальной Академии Наук США, и считаются одними из главных проблем следующего 10-летия.
Социальная кибербезопасность — это отдельная дисциплина, а не то же самое, что кибербезопасность. Социальная кибербезопасность решает проблемы влияния на людей через онлайн-взаимодействие, кибербезопасность решает проблемы компрометации техники или данных. По сути Кэтлин Карли говорит о том, что основная угроза для финансовой отрасли на ближайшие 10 лет — это человеческий фактор.
Что означает «человеческий фактор» как угроза для финансовой отрасли?
Главная угроза кибербезопасности в финансовом секторе — это люди. В первую очередь, «взламывают» людей, а не системы технологической защиты.
Чтобы эффективно предотвращать, обнаруживать и реагировать на современные угрозы и риски соответствия нормативным требованиям, специалисты по безопасности должны понимать ориентированные на людей аспекты пользовательского риска: уязвимость, атаки и привилегии.
Другими словами, модель риска, ориентированная на людей, должна учитывать вероятность того, что кто-то обязательно подвергнется атаке. Вероятность того, что они будут взаимодействовать с отправленным им вредоносным контентом и насколько серьезными могут быть последствия, если их учетные данные будут скомпрометированы. Все эти вероятности нужно учитывать и понимать какие векторы угроз приоритетны сегодня, а на какие более не нужно делать ставку.
Какие векторы угроз представляют наибольший риск по вашему мнению?
Лично я считаю, что социальная инженерия и фишинг самые опасные векторы. За последний год таким атакам подверглись многие организации, включая Revolut, Twilio, Uber, LastPass, Dropbox и Marriott International и прочие.
В 2023 году человеческий фактор станет основным фактором угроз. Согласно исследованию представленному на Всемирном экономическом форуме, и в отчете IBM, в 2022 году 95 процентов всех атак в цифровом пространстве было связано с человеческим фактором.
Основная причина кроется в таком понятии как «гибридность». Гибридная работа, гибридные войны, гибридные подходы и тд. Сама концепция социальной кибербезопасности, о которой с 2019 года говорит Кэтлин Карли, появилась как ответ на доклады МО РФ о новой парадигме гибридных войн, которые уже никогда не будут проходить также как и раньше. Новые условия требуют новых подходов.
Когда мы говорим про гибридную работу — мы сразу понимаем, что часть людей работает из дома и, находясь дома, организация не может обеспечить безопасность сотрудникам. К тому же люди дома склонны больше допускать ошибки. А когда в подобных компаниях происходят массовые увольнения, то это всегда влечет за собой риски того, что сотрудники украдут какие-то данные или коммерческую информацию и отнесут ее конкурентам.
Поэтому я смотрю на текущие угрозы иначе — Человек по прежнему «самое слабое звено». Именно человека и будут атаковать, подкупать и делать другие вещи, чтобы например завладеть средствами компании, или приостановить деятельность банка на несколько дней. Все угрозы связаны с людьми, и самый большой вопрос это в сотрудниках компании. Вы ничего про них не знаете, и не знаете, как они себя поведут, когда их придется уволить.
