Дата размещения статьи: 02.01.2015
Практика показывает, что киберпреступники постоянно совершенствуются в умении обманывать новейшие системы защиты. Какими способами мошенники реализуют свои атаки? Что делать банку, чтобы защитить клиентов и снизить риск кражи денежных средств с их счетов? Каковы самые надежные методы блокирования подозрительных транзакций? Какие устройства наиболее безопасны на сегодняшний день?
Согласно статистике, число пострадавших от хакеров россиян в минувшем году превысило 30 млн человек, при этом около 80% атак было нацелено на клиентов банков. Только по официальным данным Центробанка, в 2013 г. в системах ДБО российских банков было зарегистрировано более 18 тыс. инцидентов.
Особое внимание киберпреступники уделяют корпоративным клиентам кредитных организаций. В частности, за 2012 г. сумма средств, украденных с корпоративных счетов, составила 435,85 млн долл. США, а средний ущерб от одного инцидента - от 600 тыс. до 3 млн руб. Исходя из интереса, который преступники проявляют к системам ДБО для корпоративных клиентов, на рынке появилось большое количество решений, обеспечивающих защиту именно этого сегмента интернет-банкинга.
Когда дистанционный банкинг только зарождался, киберпреступникам не нужно было придумывать сложные схемы: они просто копировали ключи электронной подписи клиента и с их помощью переводили деньги на свои счета. Однако российские банки достаточно быстро пресекли подобные атаки с помощью устройств, предназначенных для защищенного хранения ключей электронной подписи на стороне клиента, которые были внедрены в системы ДБО. Сначала это были токены и смарт-карты, содержащие криптоконтейнеры, позже - устройства с неизвлекаемым ключом электронной подписи, который аппаратно генерируется "на борту" электронного ключа и никогда не покидает его. Эти меры действительно на какое-то время снизили риск кражи денежных средств. Но киберпреступники все же сумели адаптироваться к новым условиям, придумав иные способы вывода денег со счетов клиентов банков.
Новые атаки кибермошенники реализуют следующими способами:
- хакер получает удаленное управление над компьютером пользователя, перехватывает PIN-код токена или смарт-карты и подписывает поддельные платежные поручения от лица клиента банка с помощью его электронной подписи в те моменты, когда устройство подключено к компьютеру;
- компьютер жертвы заражается специальным трояном, который способен незаметным для пользователя способом подменять реквизиты подписываемых платежных поручений, одновременно изменяя отображаемые пользователю остатки на счетах, из-за чего факт совершения кражи еще долго остается незамеченным.
Для снижения рисков кражи денежных средств банки стали применять серверные системы фрод-мониторинга, предназначенные для выявления и блокирования подозрительных транзакций. При правильной настройке такие системы действительно способны снизить риски и в ряде случаев успешно справляются с выявлением поддельных платежных поручений на основании различных эвристик и статистик. Например, правильно настроенная система фрод-мониторинга наверняка заблокирует операцию, отправляющую на счет нового контрагента крупную сумму денег.
Надежным способом блокирования подозрительных транзакций является и использование "белого списка" контрагентов. В этом случае система фрод-мониторинга может:
- разрешать производимые в адрес таких получателей транзакции без дополнительных проверок;
- устанавливать лимит на транзакции в адрес других получателей.
При таком подходе перевод суммы, превышающей установленный лимит (или большое количество мелких транзакций), адресованной контрагенту, не входящему в список доверия клиента банка, скорее всего, будет заблокирован системой фрод-мониторинга.
Однако существует возможность обмануть даже те системы фрод-мониторинга, которые используют такой, казалось бы, надежный "белый список". Дело в том, что важен не только сам факт использования такого списка, но и то, каким образом он был изначально сформирован и как в него впоследствии вносились изменения.
Если "белый список" формируется пользователем на его компьютере, который априори считается недоверенной средой, подписывается перед отправкой в банк электронной подписью пользователя в этой же недоверенной среде, то существует возможность включения в перечень доверенных лиц "левых" получателей. Произвести такую операцию может специальный троян, при этом пользователь даже не заподозрит подмены. Аналогичные несанкционированные изменения вирус может внести в "белый список" во время санкционированной пользователем легальной операции внесения изменений.
После этого кибермошенники беспрепятственно смогут "уводить" денежные средства пользователя на счета "левых" получателей, которые будут находиться в "белом списке".
Примечательно, что изменения в список могут быть внесены трояном, даже если пользователь распечатывает список доверенных контрагентов на принтере. Вирус просто внесет нужные правки в момент отправки подготовленного документа на печать. Если "белый список" представляет собой несколько десятков получателей, то пользователь может не заметить в нем несоответствий и представить в банк в уже измененном виде.
Таким образом, несмотря на то что серверные системы фрод-мониторинга способны снизить риски кражи денежных средств со счетов клиентов банков, нельзя забывать о том, что киберпреступники постоянно совершенствуются в умении обманывать такие системы.
В такой ситуации возникает закономерный вопрос: что делать? Ответ прост: мы должны доверять среде, в которой создаются и подписываются платежные поручения, а также "белые списки" получателей. Как было показано выше, компьютер пользователя в большинстве случаев не является доверенной средой, поэтому ее необходимо создать вне компьютера, где отсутствуют вирусы и угрозы удаленного управления.
Для реализации доверенной среды на рынке появились устройства типа TrustScreen, подключаемые к компьютеру пользователя. При подписании электронных документов с использованием смарт-карт или токенов они позволяют отображать на своем экране (в доверенной среде) содержимое этих документов, что обеспечивает защиту от подмены реквизитов в платежных поручениях.
Подобные устройства являются своего рода системой фрод-мониторинга на стороне клиента и блокируют попытки подмены платежных реквизитов и навязывания поддельных платежных поручений.
Однако киберпреступникам удалось найти уязвимости и в данных устройствах. Например, для того чтобы сервер системы ДБО мог доверять платежным поручениям пользователя, подписанным с использованием устройства типа TrustScreen, сервер должен иметь возможность гарантированно убедиться в том, что пользователь подтверждал транзакцию на доверенном устройстве. В противном случае злоумышленник может подменить на столе пользователя устройство на внешне идентичное, но с измененной начинкой, или реализовать массовую DDoS-атаку на такие устройства, вынуждая пользователей подключить токен напрямую к компьютеру. После этого специальный троян сможет сформировать поддельные платежные поручения, а банк будет считать, что продолжает работать с защищенным устройством.
Таким образом, можно сделать вывод, что наиболее безопасными на сегодняшний день являются устройства, которые:
- позволяют отображать на своем экране содержимое подписываемых документов;
- позволяют получать подтверждение непосредственно от пользователя;
- обеспечивают возможность строгой аутентификации себя на сервере ДБО с использованием стойких криптографических алгоритмов при выполнении транзакций.
Отмечу, что такие устройства уже есть на рынке и начали активно применяться в кредитно-финансовом секторе, в частности, для защиты банковских транзакций.
Если вы не нашли на данной странице нужной вам информации, попробуйте воспользоваться поиском по сайту:
Звонки бесплатны.
Работаем без выходных
Целью законопроекта является защита прав заемщиков по договору потребительского кредита (займа). В соответствии с указанной целью, законопроект направлен на совершенствование порядка расчета полной стоимости потребительского кредита, касающегося максимально точной оценки расходов заемщика, которые связанны с получением потребительского кредита.
В связи с тем, что деятельность платежных агентов сконцентрирована в социально значимых сегментах рынка платежных услуг, законопроектом устанавливаются расширенные требования к лицам, осуществляющим деятельность по приему платежей физических лиц. Также Банк России наделяется полномочиями по осуществлению контроля (надзора) за деятельностью операторов по приему платежей.
Целью законопроекта является недопущение заключения сделок, влекущих отчуждение собственниками общего долевого имущества, в результате которых не выделенная в натуре доля в праве на неделимый объект собственности переходит к посторонним лицам в нарушение прав и законных интересов совладельцев.
Законопроект обращен на урегулирование отношений, связанных с открытием счетов эскроу. В целях исключения давления со стороны застройщика на участников строительства и урегулирования отношений предлагается уточнить в Законе № 214-ФЗ "Об участии в долевом строительстве..." норму о сроке условного депонирования.
Целью законопроекта является создание правовой базы для деятельности информсистемы информационных ресурсов агропромышленного комплекса, которая дозволит обеспечить перевод в электронный вид, убыстрение процессов получения и увеличение эффективности мер госпомощи в сфере сельхозпроизводства, также сокращение издержек сельскохозяйственных производителей товаров на представление отчетности и её перевод в электронный вид.
Дата размещения статьи: 12.01.2022
Дата размещения статьи: 12.01.2022
Дата размещения статьи: 12.01.2022
Дата размещения статьи: 12.01.2022
Дата размещения статьи: 12.01.2022
Навигация