Алексей Воронин - Мошенничество в платежной сфере. Бизнес-энциклопедия
48
«Due diligence and transparency regarding cover payment messages related to cross-border wire transfers», Basel Committee on Banking Supervision, Bank of International Settlements (BIS), Basel, May 2009.
49
“Consolidated KYC Risk Management”, Basel Committee on Banking Supervision, Basel, BIS, Oct. 2004.
50
Данный вид риска в цитируемой работе не поясняется, но из контекста можно понять, что речь идет о связанных операциях, совершаемых либо одним клиентом через разные филиалы банка, либо группой связанных какими-либо отношениями лиц.
51
Certified Fraud Examiner.
52
Ковасич Дж. Л. Противодействие мошенничеству. Как разработать и реализовать программу мероприятий. — М.: Маросейка, 2010.
53
По материалам книги A.J. Marcella, Jr., D. Menendez “Cyber Forensics”, 2nd ed., Auerbach Publications, Taylor & Francis Group, Boca Raton, FL, USA, 2008.
54
При наиболее общем подходе понятие «пользователь» охватывает всех участников ИКБД как в банке, так и вне его, то есть и операционистов, и операторов, и администраторов (системных, сетевых, баз данных, информационной безопасности и т. п.), а также клиентов ДБО.
55
Абигнейл Ф.У. Поймай его, если сможешь, или он поймает тебя. — М.: Поколение, 2007.
56
В зарубежной практике риск-ориентированного банковского надзора в области ДБО рассматриваются все банковские риски (хотя их полный состав варьируется в зависимости от идеологии надзора, принятой конкретным федеральным ведомством), поскольку в некоторых странах допускается более «демократичный» подход к регламентации банковской деятельности, обеспечивающей организационно-финансовые потребности бизнеса: в ряде случаев можно дистанционно открывать банковские счета, оформлять кредиты и т. п.
57
В данном случае используется нетипичная терминология, обусловленная акцентом на возникновении новых угроз надежности банковской деятельности, проявляющихся в уровнях и профилях типичных банковских рисков.
58
В последующих определениях используется понятие «кредитная организация» более широкое, чем «банк», поскольку они касаются и небанковских организаций.
59
В данном случае имеется в виду то, что традиционное понятие «ликвидность» обретает новое смысловое содержание с точки зрения выполнения банками своих финансовых обязательств.
60
Так называемого в общем случае класса вредоносного кода malicious ware или, сокращенно, malware.
61
Virtual Private Network — VPN.
62
Ковасич Дж. Л. Противодействие мошенничеству. Как разработать и реализовать программу мероприятий. — М.: Маросейка, 2010.
63
Атака типа «распределенный отказ в обслуживании».
64
Оценка автора (Л. Лямина) по данным литературы и собственных исследований, хотя встречаются и оценки в 90 %.
65
Банк России в сообщениях такого рода упоминается часто, видимо, «для солидности».
66
По командам злоумышленника клиент собственноручно переводит деньги на его счет.
67
На дисплее клиента появляется изображение с веб-сайта-муляжа, практически идентичное настоящему диалоговому окну с веб-сайта банка, после ввода пароля происходит хищение денежных средств.
68
На самом деле для кнопки «Отмена» в апплете запрограммирована команда подтверждения ввода, но клиент реагирует на само слово, полагая как раз, что ничего негативного не произойдет.
69
Детальный анализ карточных мошенничеств здесь не проводится, поскольку существует полноценная литература по данной проблематике, см., например: «Безопасность карточного бизнеса. Бизнес-энциклопедия» (разделы 1 и 3). — М.: МФПА; ЦИПСиР, 2012.
70
От англ, call-center — центр телефонного обслуживания, центр обработки вызовов.
71
От англ, shim — тонкая прокладка, прослойка.
72
Автоматическая переориентация клиента, который намерен зайти на официальный веб-сайт кредитной организации, с помощью атаки на сервер доменных имен или веб-сайты, которые посещают клиенты; в этом случае активно атакуются автоматизированные системы провайдеров.
73
Trojan — от «троянского коня» из мифов Древней Греции.
74
Разработка таких «предупреждений» продолжается и в настоящее время.
75
Кстати говоря, за счет анализа данных такого рода была успешно раскрыта и пресечена деятельность целого ряда преступных групп, занимавшихся ППД, сходной с приведенными выше примерами.
76
R. Cascarino, “Auditor’s guide to information systems auditing”, John Wiley & Sons, Inc., Hoboken, New-Jersey, USA, 2007.
77
Лямин Л.В. Управление рисками в условиях применения электронного банкинга // Управление в кредитной организации. 2010. № 2. С. 82–92.
78
Sniffers (от англ, to sniff — нюхать, чуять).
79
Лямин Л.В. Корпоративное управление сетевой защитой // Управление в кредитной организации. 2012. № 3. С. 57–67.
80
Кстати сказать, в соответствии с тем или иным федеральным законом, регламентирующим финансовую или, в частности, банковскую деятельность.
81
В этом случае требуется если не посещение представителями обслуживаемой организации субконтрактора, то как минимум изучение содержания договора основного провайдера с ним на предмет соответствия политике аутсорсинга, принятой в организации-заказчике.
82
Federal Deposit Insurance Corporation — FDIC.
83
Следует отметить, что в договорных документах на ДБО российских банков такие гарантии встречаются крайне редко.
84
Это несколько видоизмененная схема, приведенная в цитировавшейся выше книге ДжЛ. Ковасича.
85
“The relationship between banking supervisors and banks’ external auditors”, Basel Committee on Banking Supervision, Basel, BIS, Jan 2002.
86
Лямин Л.В. Специфика организации внутреннего контроля в условиях электронного банкинга // Внутренний контроль в кредитной организации. 2013. № 2. С. 46–53.
87
По имеющейся у автора информации, их пока еще менее 400 на всю страну.
88
Компьютерное мошенничество. Битва байтов / Под ред. Д.Т. Уэллса. — М.: Маросейка, 2010.
89
Лямин Л.В. Особенности управления финансовым мониторингом в условиях электронного банкинга // Банковское дело. 2011. № 1. С. 70–74; № 2. С. 70–74.
90
От англ, anti-fraud, anti-drop и т. п.
91
Следует отметить, что в договорных документах на ДБО конфликтные и согласительные комиссии упоминаются часто, однако, как правило, чисто формально, без описания условий их деятельности и того, чего будут стоить их экспертные заключения в судебных разбирательствах.
92
Лямин Л.В. Особенности претензионной работы при электронном банкинге // Банковское дело. 2012. № 11. С. 46–50.
93
Personal Digital Assistant — личный цифровой помощник, своего рода микрокомпьютер.
94
В случаях расследования компьютерных преступлений ее и взять-то зачастую оказывается больше неоткуда.
95
Его содержание уместно трактовать в отношении всех ТЭБ, а не только технологии интернет-банкинга, фигурирующей в названии данного документа, — это несложно, причем без потери общности содержания данного документа Банка России, поскольку он носит общий характер и может быть использован в приложении к любой ТЭБ.
96
Это тем более справедливо при большом количестве клиентов банка, в случаях применения технологий «хранилищ данных» и углубленного анализа данных, а также разработки моделей угроз, составления шаблонов или образов (patterns) действий клиентов, мошеннических действий, сетевых и вирусных атак и т. д.
97
См. также: Лямин Л.В. Новые аспекты корпоративного управления в условиях использования электронного банкинга // Управление в кредитной организации. 2012. № 3. С. 40–52.