SWIFT: как украсть миллион

Петр Пушкарёв, шеф-аналитик ГК TeleTrade:

Неизвестны и по понятным причинам вряд ли будут раскрыты широкой публике, как обычно, самые интригующие подробности. А они чисто технического характера. Уже известно, что умельцы используют фишинговые письма от якобы платежных систем и регуляторов, проникая чаще всего не напрямую в сам банк, а в нефинансовую компанию, его партнера, которая затем, очевидно, и инициирует нужный перевод. Это на поверхности и очевидно, а загадкой для публики останется другое, главное: как именно удается хакерам обмануть банковскую систему типа "свой-чужой" и идентифицировать себя в итоге в качестве правомочного получателя банковского трансфера, чтобы заставить электронные системы банка провести уже собственно платеж по ими заданным конкретным реквизитам? Но это теперь дело банковских служб безопасности и SWIFTа, если подтвердится, что платеж действительно удалось провести через SWIFT. Основная же проблема, о которой напоминают любые инциденты с кибермошенничеством, лежит на поверхности.

В погоне за темпом мы все слишком полагаемся на высокие компьютеризированные технологии. Надеемся, что они в неком полностью автономном режиме выполнят за нас абсолютно всю рутинную работу: автомобиль Tesla доедет, куда нам надо, и без водителя, умная газонокосилка скосит всю траву, какую надо, во дворе, что не положено косить – не повредит, и нам, довольная, отправит sms с отчетом. Умный дом нагреет до нужной температуры воздух и выполнит все наши пожелания, а вот стучать на нашу частную жизнь никуда не будет... Компьютерный алгоритм, нейронная сеть или блокчейн отлично поторгуют вместо человека и наторгуют для него 200% прибыли за месяц, система сама и без видимых усилий со стороны этого человека гарантированно не потеряет вместо этого все деньги своего клиента... Давно доказано, однако, что черные ящики, работающие и выдающие результат полностью автономно, имеют неожиданные и редко предсказуемые изначально побочные эффекты – как те трое из ларца, одинаковы с лица, из известной детской сказки: "А вы и есть за меня будете? Ага!.."

Однако в реальности куда большей степенью надежности и полезной гибкости по отношению к меняющимся внешним условиям обладают так называемые серые ящики, которые все же требуют минимального, но деятельного участия человека. В случае с компьютерной программой-роботом человек задает ежедневно в качестве начальных условий круг тех компаний, акциями которых по какой-то известной ему причине он всё-таки желает торговать только на повышение — условно Apple, Google и фондовые индексы США — и инструменты, которые владелец (а не раб) программы согласен шортить. А иногда еще и примерные ценовые диапазоны, отдавая распоряжения вроде: "Нефть выше $70 не покупать, какие бы ни были сигналы", "биткоин выше $20 тыс. не покупать, а покупать при росте Ethirium" и прочее – понятно, что примеры здесь условны и придуманы на ходу, важен принцип.

Аналогично, целый ряд финансовых компаний, прежде чем сделать перевод на сумму, превышающую некоторый минимум, даже получив распоряжение клиента, утверждает автоматом перевод, только если в заявке имя и фамилия клиента в его банковских реквизитах полностью совпадает с его именем и фамилией в базе данных компании, но даже в этом случае на последнем шаге высылает некий код на независимый носитель информации, чтобы уменьшить вероятность взлома. А при действительно больших суммах, или если получателем платежа не является сам владелец счета, дотошная финансовая компания или банк потребуют от клиента не только повторно выслать сканы документов, но позвонят ему и зададут ключевые контрольные вопросы о целях перевода, постараются удостовериться по деталям общения, что этот тот же самый человек, с которым они вели дела уже до этого. Фирма-клиент может заранее указать и список респодентов, в отношении которых она уверена, считая по своему согласию дополнительные меры безопасности излишними и лишь затягивающими процесс, но это должна быть выраженная воля самого партнера банка. Все новые технологии, наподобие идентификации клиента удаленно по лицу или по отпечатку пальца, разумеется, изменили кардинально ситуацию, давая дополнительные инструменты безопасности, облегчая жизнь и банку, и компании, и ускоряя процесс. И всё же важно, чтобы в определенных случаях где-то там в конце этой цепочки обмена данными находился ответственный и также облеченный полномочиями человек, контролирующий штатность выполнения всего процесса, а не бездушный робот — обвести которого вокруг его электронного пальца очень сложно, но всегда возможно, если компьютерный умелец нащупает в программе уязвимые места.

Авторские колонки и комментарии читайте в разделе "Блоги "ДП" .