Быстрая навигация: Каталог статей Иные вопросы ДБО под прицелом: кибермошенники против новейших решений для защиты интернет-банкинга (Афанасьев Н.В.)

ДБО под прицелом: кибермошенники против новейших решений для защиты интернет-банкинга (Афанасьев Н.В.)

Дата размещения статьи: 02.01.2015

Практика показывает, что киберпреступники постоянно совершенствуются в умении обманывать новейшие системы защиты. Какими способами мошенники реализуют свои атаки? Что делать банку, чтобы защитить клиентов и снизить риск кражи денежных средств с их счетов? Каковы самые надежные методы блокирования подозрительных транзакций? Какие устройства наиболее безопасны на сегодняшний день?

Согласно статистике, число пострадавших от хакеров россиян в минувшем году превысило 30 млн человек, при этом около 80% атак было нацелено на клиентов банков. Только по официальным данным Центробанка, в 2013 г. в системах ДБО российских банков было зарегистрировано более 18 тыс. инцидентов.
Особое внимание киберпреступники уделяют корпоративным клиентам кредитных организаций. В частности, за 2012 г. сумма средств, украденных с корпоративных счетов, составила 435,85 млн долл. США, а средний ущерб от одного инцидента - от 600 тыс. до 3 млн руб. Исходя из интереса, который преступники проявляют к системам ДБО для корпоративных клиентов, на рынке появилось большое количество решений, обеспечивающих защиту именно этого сегмента интернет-банкинга.
Когда дистанционный банкинг только зарождался, киберпреступникам не нужно было придумывать сложные схемы: они просто копировали ключи электронной подписи клиента и с их помощью переводили деньги на свои счета. Однако российские банки достаточно быстро пресекли подобные атаки с помощью устройств, предназначенных для защищенного хранения ключей электронной подписи на стороне клиента, которые были внедрены в системы ДБО. Сначала это были токены и смарт-карты, содержащие криптоконтейнеры, позже - устройства с неизвлекаемым ключом электронной подписи, который аппаратно генерируется "на борту" электронного ключа и никогда не покидает его. Эти меры действительно на какое-то время снизили риск кражи денежных средств. Но киберпреступники все же сумели адаптироваться к новым условиям, придумав иные способы вывода денег со счетов клиентов банков.
Новые атаки кибермошенники реализуют следующими способами:
- хакер получает удаленное управление над компьютером пользователя, перехватывает PIN-код токена или смарт-карты и подписывает поддельные платежные поручения от лица клиента банка с помощью его электронной подписи в те моменты, когда устройство подключено к компьютеру;
- компьютер жертвы заражается специальным трояном, который способен незаметным для пользователя способом подменять реквизиты подписываемых платежных поручений, одновременно изменяя отображаемые пользователю остатки на счетах, из-за чего факт совершения кражи еще долго остается незамеченным.
Для снижения рисков кражи денежных средств банки стали применять серверные системы фрод-мониторинга, предназначенные для выявления и блокирования подозрительных транзакций. При правильной настройке такие системы действительно способны снизить риски и в ряде случаев успешно справляются с выявлением поддельных платежных поручений на основании различных эвристик и статистик. Например, правильно настроенная система фрод-мониторинга наверняка заблокирует операцию, отправляющую на счет нового контрагента крупную сумму денег.
Надежным способом блокирования подозрительных транзакций является и использование "белого списка" контрагентов. В этом случае система фрод-мониторинга может:
- разрешать производимые в адрес таких получателей транзакции без дополнительных проверок;
- устанавливать лимит на транзакции в адрес других получателей.
При таком подходе перевод суммы, превышающей установленный лимит (или большое количество мелких транзакций), адресованной контрагенту, не входящему в список доверия клиента банка, скорее всего, будет заблокирован системой фрод-мониторинга.
Однако существует возможность обмануть даже те системы фрод-мониторинга, которые используют такой, казалось бы, надежный "белый список". Дело в том, что важен не только сам факт использования такого списка, но и то, каким образом он был изначально сформирован и как в него впоследствии вносились изменения.
Если "белый список" формируется пользователем на его компьютере, который априори считается недоверенной средой, подписывается перед отправкой в банк электронной подписью пользователя в этой же недоверенной среде, то существует возможность включения в перечень доверенных лиц "левых" получателей. Произвести такую операцию может специальный троян, при этом пользователь даже не заподозрит подмены. Аналогичные несанкционированные изменения вирус может внести в "белый список" во время санкционированной пользователем легальной операции внесения изменений.
После этого кибермошенники беспрепятственно смогут "уводить" денежные средства пользователя на счета "левых" получателей, которые будут находиться в "белом списке".
Примечательно, что изменения в список могут быть внесены трояном, даже если пользователь распечатывает список доверенных контрагентов на принтере. Вирус просто внесет нужные правки в момент отправки подготовленного документа на печать. Если "белый список" представляет собой несколько десятков получателей, то пользователь может не заметить в нем несоответствий и представить в банк в уже измененном виде.
Таким образом, несмотря на то что серверные системы фрод-мониторинга способны снизить риски кражи денежных средств со счетов клиентов банков, нельзя забывать о том, что киберпреступники постоянно совершенствуются в умении обманывать такие системы.
В такой ситуации возникает закономерный вопрос: что делать? Ответ прост: мы должны доверять среде, в которой создаются и подписываются платежные поручения, а также "белые списки" получателей. Как было показано выше, компьютер пользователя в большинстве случаев не является доверенной средой, поэтому ее необходимо создать вне компьютера, где отсутствуют вирусы и угрозы удаленного управления.
Для реализации доверенной среды на рынке появились устройства типа TrustScreen, подключаемые к компьютеру пользователя. При подписании электронных документов с использованием смарт-карт или токенов они позволяют отображать на своем экране (в доверенной среде) содержимое этих документов, что обеспечивает защиту от подмены реквизитов в платежных поручениях.
Подобные устройства являются своего рода системой фрод-мониторинга на стороне клиента и блокируют попытки подмены платежных реквизитов и навязывания поддельных платежных поручений.
Однако киберпреступникам удалось найти уязвимости и в данных устройствах. Например, для того чтобы сервер системы ДБО мог доверять платежным поручениям пользователя, подписанным с использованием устройства типа TrustScreen, сервер должен иметь возможность гарантированно убедиться в том, что пользователь подтверждал транзакцию на доверенном устройстве. В противном случае злоумышленник может подменить на столе пользователя устройство на внешне идентичное, но с измененной начинкой, или реализовать массовую DDoS-атаку на такие устройства, вынуждая пользователей подключить токен напрямую к компьютеру. После этого специальный троян сможет сформировать поддельные платежные поручения, а банк будет считать, что продолжает работать с защищенным устройством.
Таким образом, можно сделать вывод, что наиболее безопасными на сегодняшний день являются устройства, которые:
- позволяют отображать на своем экране содержимое подписываемых документов;
- позволяют получать подтверждение непосредственно от пользователя;
- обеспечивают возможность строгой аутентификации себя на сервере ДБО с использованием стойких криптографических алгоритмов при выполнении транзакций.
Отмечу, что такие устройства уже есть на рынке и начали активно применяться в кредитно-финансовом секторе, в частности, для защиты банковских транзакций.

Если вы не нашли на данной странице нужной вам информации, попробуйте воспользоваться поиском по сайту:

Вернуться на предыдущую страницу

Последние новости

Бесплатная консультация юриста по телефонам:

Вся Россия

Звонки бесплатны.
Работаем без выходных

29 декабря 2021 г.
Проект Федерального закона № 48749-8 "О внесении изменений в Федеральный закон "О потребительском кредите (займе)" и отдельные законодательные акты Российской Федерации"

Целью законопроекта является защита прав заемщиков по договору потребительского кредита (займа). В соответствии с указанной целью, законопроект направлен на совершенствование порядка расчета полной стоимости потребительского кредита, касающегося максимально точной оценки расходов заемщика, которые связанны с получением потребительского кредита.

25 декабря 2021 г.
Проект Федерального закона № 46071-8 "О внесении изменений в Федеральный закон "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами" и отдельные законодательные акты Российской Федерации"

В связи с тем, что деятельность платежных агентов сконцентрирована в социально значимых сегментах рынка платежных услуг, законопроектом устанавливаются расширенные требования к лицам, осуществляющим деятельность по приему платежей физических лиц. Также Банк России наделяется полномочиями по осуществлению контроля (надзора) за деятельностью операторов по приему платежей.

20 декабря 2021 г.
Проект Федерального закона № 42326-8 "О внесении изменений в части первую и вторую Гражданского кодекса Российской Федерации"

Целью законопроекта является недопущение заключения сделок, влекущих отчуждение собственниками общего долевого имущества, в результате которых не выделенная в натуре доля в праве на неделимый объект собственности переходит к посторонним лицам в нарушение прав и законных интересов совладельцев.

10 декабря 2021 г.
Проект Федерального закона № 36447-8 "О внесении изменений в часть 4 статьи 15.5 ФЗ "Об участии в долевом строительстве многоквартирных домов и иных объектов недвижимости и о внесении изменений в некоторые законодательные акты РФ"

Законопроект обращен на урегулирование отношений, связанных с открытием счетов эскроу. В целях исключения давления со стороны застройщика на участников строительства и урегулирования отношений предлагается уточнить в Законе № 214-ФЗ "Об участии в долевом строительстве..." норму о сроке условного депонирования.

3 декабря 2021 г.
Проект Федерального закона № 29564-8 "О внесении изменения в Федеральный закон "О развитии сельского хозяйства"

Целью законопроекта является создание правовой базы для деятельности информсистемы информационных ресурсов агропромышленного комплекса, которая дозволит обеспечить перевод в электронный вид, убыстрение процессов получения и увеличение эффективности мер госпомощи в сфере сельхозпроизводства, также сокращение издержек сельскохозяйственных производителей товаров на представление отчетности и её перевод в электронный вид.