Совсем недавно, в прессе появилось сообщение о том, что некая израильская IT-компания разработала устройство способное взломать любые смартфоны. Вроде бы ничего особенного в этой новости нет. В последнее время, различные стартапы один за другим выпускают всевозможные программы или устройства, предназначенные для сбора и обработки информации пользователей интернета, а заодно и их мобильных гаджетов и компьютеров.
Вот и в этот раз, «новинка» согласно заявленным характеристикам имеет возможность получать в электронном носителе доступ ко всему его содержимому: электронной почте, SMC сообщениям, социальным сетям, всем контактам, IMEI идентификаторам устройства, MAC-адресам, фотографиям, хранящимся в памяти мобильных телефонов пин-кодам, номерам счетов, финансовым отчетам и т.п.
Опять-таки, ничего необычного. Похожими функциями обладает сегодня уже не один десяток электронных шпионских аналогов, стоящих на службе, как государственных структур, так и хакеров.
В данном случае, очень интересен другой факт – израильская разработка по утверждению авторов заметки, не оставляет на устройстве пользователя никаких следов своей деятельности, и установить каким-либо способом, что ваши данные были считаны (читай, украдены) - невозможно.
Этот нюанс и заставляет внимательней присмотреться к новинке и задуматься о последствиях использования таких программ.
Хотя стартап работал на государственные организации Израиля, создавая программы и устройства для борьбы с преступниками, мы не можем исключить, что подобные возможности совсем скоро не появятся и на вооружении хакеров.
Что же получается? Если совершающих преступления в электронном мире хакеров отследить очень сложно, то с внедрением новых технологий они станут полностью неуязвимы?! Более того, потенциальные пользователи таких программ или устройств получат карт-бланш своих действий, а значит и безнаказанность! Перед ними становится беззащитным практически весь информационный мир мобильных телефонов. Без преувеличения, можно сказать, в руках криминальных элементов такие программы станут оружием массового информационного поражения.
Как утверждают аналитики Google, более 90% пользователей мобильной связи хранят в своих телефонах номера пинкодов, сейфов, кредитных карт, счетов в банках, конфиденциальную личную финансовую информацию.
Вы знаете, сколько транзакций проходит через кредитные компании Visa и Master card? По данным компании Network Computing - около 200 миллиардов в год! И обрабатываются многие десятки триллионов долларов. К этому добавляются платежи через смартфоны и планшеты. По данным Criteo’s Q1 2015 State of Mobile Commerce Report c помощью мобильных платежей в год осуществляется 1.6 миллиарда транзакций на общую сумму $160.000.000.000. И ежегодно в мире фиксируется значительный рост мобильных платежей.
Спрашивается, а какая у простых пользователей мобильных устройств существует защита осуществления мобильных платежей? Практически никакой. На 99% они производятся программными средствами, поддающихся взлому.
Известный факт. Учитывая имеющиеся в мире средства хищения информации, любая существующая программная защита мобильных телефонов может спокойно быть взломана хакерами.
Это кстати открыто подтвердил и Президент Google, предостерегший пользователей не хранить номера пинкодов в мобильных телефонах.
А теперь задайтесь другим вопросом, сколько на стремительно развивающихся финансовых интернет-сервисах сегодня зарабатывают хакеры, совершая кражи денег пользователей?
По экспертному заключению Джона МакГрегора, одного из руководителей ОБСЕ, а также по данным компании по информационной безопасности Semantec: «киберпреступность является наиболее острой проблемой современности и наносит ущерб мировой экономике в размере 400 миллиардов долларов в год». Согласитесь, речь идет об огромной сумме сопоставимой с бюджетом государства (для сравнения бюджет России на 2016 год составляет в валютном эквиваленте $247,4 млрд), и при этом преступникам не надо отчислять средства на социальные расходы, медицину, образование…
В совокупности — хакеры, преступники и террористы располагают сегодня вторым в мире военным бюджетом. Напомню, по итогам 2014 года самые большие траты на вооружение могли позволить себе США -
$610 млрд, КНР - $216 млрд, Россия - $85 млрд, Саудовская Аравия - $80 млрд, Франция - $62 млрд и т.д.
Если говорить только о потерях России, то объем ущерба нанесённый стране в 2015 году кибермошенниками Сбербанк оценил в 70 млрд рублей. При этом, как заявил на пресс-конференции, посвященной итогам года в кибермире, первый зампред Сбербанка Лев Хасис, оснований для снижения ущерба от подобных преступлений в будущем нет.
В свою очередь, основатель «Лаборатории Касперского» Евгений Касперский оценил уровень киберпреступности в России еще выше аналитиков Сбербанка, почти в 100 млрд.
Хотим мы того или нет, на лицо - явный признак совершенного незнакомого нам ранее явления. Я бы назвал его финансовой антипирамидой, в которую, к сожалению, втянулись банки. Смысл ее не в том чтобы обеспечить доход участникам структуры за счет постоянного привлечения новых вкладчиков. А наоборот, привлечение вложений для «латания» дыр от постоянно растущих электронных краж.
Мы знаем и финансовые эксперты это подтверждают - количество и объем краж ежегодно стремительно увеличиваются. Однако мало кто называет причину этого процесса. Объемы потерь напрямую зависят от увеличения платежей через обычные, незащищённые мобильные телефоны. Чем активней банки внедряют общедоступный (во всех смыслах этого слова) мобильный банкинг, тем больше денег крадут хакеры. Ну, чем не финансовая антипирамида?
И естественно хакеры, получая фантастические прибыли, не останавливаются на достигнутом уровне. Стремительное увеличение их доходов идет параллельно расширению интернет-подключений.
Исходя из прогноза ведущей международной маркетинговой компании «Гартнер», в 2016 году уже 80 (!) процентов всех существующих смарт телефонов будут подключены к интернету. Если учесть, что 99 процентов защиты мобильных платежей это – программные средства, то можно предположить, что Миру грозит глобальная катастрофа.
Другой вопрос, кто погашает все эти кражи, совершаемые хакерами по всему миру?
Иногда мы видим в СМИ сообщения, что где-то поймана банда или хакер-одиночка занимавшиеся кибермошенничеством. Однако я не припомню ни одной публикации, где бы рассказывалось о том, что киберпреступники полностью возвратили украденные суммы. Если и возвращается что-то, то мизерные суммы. Основная масса украденных денег, по всей видимости, моментально выводится из страны, прячется на секретные счетах в офшорах или обналичивается в разных станах мира, через подставных лиц.
Почему же не бьют в колокола государства, банки и почему, несмотря на мизерные возвраты никто из банков и кредитных компаний, становящихся жертвами кибермошенников, не разоряются, да и в сфере защиты финансовой информации на первый взгляд во всем мире тишь и благодать.
Банки идут по самому простому пути, страхуя потери, иногда возвращая часть украденных денег пользователям, через страховые компании. Другими словами банки заранее закладывают фантастические потери денег от кибератак в свои неизбежные расходы!
Естественно, чтобы закрыть недостачу, финансовые организации повышают стоимость обслуживания кредитных карт и мобильного банка. Клиент на первом этапе этого не замечает. Но при массовом обслуживании обязательные платежи составляют огромные суммы.
Другая проблема - развивая интернет-банкинг с помощью интернет-приложений для мобильных телефонов, никто не беспокоится об уровне их безопасности. Идет тотальная экономия на информационной безопасности.
Не смотря на предупреждения специалистов по информационной безопасности банки, устремляясь за суперприбылью, продолжают навязывать пользователю удобные, но слабо защищенные программные решения. Объясняется этот парадокс легко. По мнению маркетинговых служб, пользователи хотят иметь простые и главное необременительные решения для осуществления платежей. В принципе, сам процесс безопасности осуществления платежей их мало волнует. Они привыкли думать, что при любом исходе банк возместит потери.
Вот здесь и возникает порочный круг. Банки идут на поводу пользователей, обеспечивая в угоду им удобство осуществления платежей и естественно вольно или невольно снижая уровень безопасности. А затем из-за постоянно растущего количества кибератак увеличивают стоимость обслуживания финансовых платежей, фактически вынуждая клиентов платить огромную ежегодную дань преступному миру.
Получается, что все системы интернет-банкинга, прежде всего, создаются в угоду потребителям, а не для реальной защиты их денег от хакеров. Такой вывод можно сделать еще и потому, что финансовый сервис создается на базе обычных мобильных телефонов.
Это действительно удобно клиентам и одновременно дешево, скачал программку и работай в своем телефоне, со своими счетами в любое время дня и ночи, в любом месте планеты. Виртуальная программка в несколько мегабайт, это вам не тяжелый банковский сейф и не инкассаторская машина, которые не повозишь с собой, но которые просто необходимы для защиты денег от преступников.
В обычной жизни никто не удивляется использованию таких мер безопасности. В электронном же мире, те же самые деньги хранятся в наших телефонах без всякой защиты!
И все потому, что конкуренция между банками на рынке электронных услуг изначально закладывает более низкие стандарты безопасности. Если, например чье-то приложение предусматривает более высокий уровень защищенности, однако сложнее в пользовании чем у конкурента, то у него меньше шансов получить массовое использование.
Парадокс заключается в том, что очень надежная аппаратная финансовая защита оказывается менее конкурентоспособна, по отношению к более простым, но слабо защищенным программным приложениям. Согласитесь, уже на этом этапе - выбора средства работы с клиентами, формируется неправильный посыл для всей концепции и структуры информационной безопасности интернет банков.
Окончание следует.
