На сегодняшний день банки предлагают достаточно широкий спектр услуг, объединенных общим термином – дистанционное банковское обслуживание (ДБО).
С точки зрения способов оказания услуг ДБО, выделяют следующие виды: интернет-банкинг, мобильный банкинг, внешние сервисы (с использованием киосков, банкоматов, ATM), телефонный банкинг – услуги ДБО на основе банковской системы голосовых сообщений, классический банк-клиент.
В последнее время хищения денежных средств через системы ДБО стали острой проблемой для большинства банков и их клиентов. В финансово-кредитных
организациях, имеющих развитую систему ДБО, фиксируется от 6 до 8 попыток проникновения в системы ДБО в неделю. При этом убытки от противоправных действий киберпреступников в рамках ДБО в среднем для одного банка составляют около 10 млн рублей в год, и эти суммы увеличиваются из года в год. Так, по данным Центрального банка России, в 2011 году отмечался двукратный рост числа зарегистрированных краж денежных средств из систем ДБО.
Очевидно, что с развитием рынка услуг ДБО все большее значение приобретают вопросы, связанные с появлением новых видов банковских рисков и применением адекватных мер безопасности электронных услуг для банка и клиента.
Война брони и снаряда
Оставим за рамками нашего рассказа проблему безопасности программно-аппаратного комплекса, на котором развернута серверная часть ДБО, и посмотрим на то, что творится у клиента. Одним из факторов риска в системе защиты ДБО является сложность обеспечения доверенной среды исполнения на стороне пользователя.
Наиболее распространенным средством аутентификации пользователей были пароли, и первая волна вредоносного программного обеспечения (ПО) была направлена именно на кражу паролей.
Криптографические ключи и сертификаты, если они не были защищены специальными аппаратными устройствами: токенами, смарт-картами, – также стали легкой «добычей» при использовании вредоносного ПО типа «троянский конь». Конечно, существуют способы защиты от подобных атак, например, своевременная установка обновлений операционной системы (ОС) и ПО на стороне клиента банка, применение антивирусного ПО или персонального межсетевого экрана со средствами обнаружения вторжений и т.п. Да и просто – ответственное поведение пользователя – отказ от посещения сайтов с «плохой репутацией» и загрузки ПО из непроверенных источников. Но большая часть пользователей пренебрегает этими мерами предосторожности.
Кроме того, 0-day-уязвимости в ОС и прикладном ПО, прежде всего в java-машинах, flash-плеерах, плагинах браузеров, ПО Acrobat Reader и др., сейчас активно эксплуатируются киберпреступниками для проведения поэтапных атак на пользователей ДБО. Поиск 0-day-уязвимостей и создание на их основе вредоносного ПО, например с функциями «троянский конь» или для обхода антивирусных программ, взлома популярных веб ресурсов и размещения на их страницах ссылок (iframe) с «плохим» ПО, используемым в дальнейшем для осуществления нападения на компьютер жертвы, –это отдельный
бизнес. Можно приобрести любые, нужные для осуществления киберпреступления, софт и услуги.
Что противопоставил этому вызову рынок?
Одна из защитных мер была известна давно –это аппаратное устройство для защиты криптографических ключей –смарт-карта или токен. Другая – одноразовые пароли, которые выдаются в банкомате, печатаются на скретч-карте или высылают-
ся с помощью SMS на мобильный телефон клиента.
Каждая значимая банковская операция подтверждается новым одноразовым паролем.
Однако и эти средства защиты были взломаны –атаки типа «человек посередине» и фишинговые методы также активно используются мошенниками для обхода одноразовых паролей.
«Человек посередине» – это метод компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протоколы передачи, удаляя, искажая информацию или навязывая ложную.
В случае фишинга схема действий такова: клиент заманивается на фишинговый сайт, внешне очень похожий на сайт реального банка с системой ДБО. «Сайт-злоумышленник» предлагает точно такую же последовательность действий, как и легитимный – запрашивает пароль, позволяет сформировать банковскую операцию, а потом запрашивает одноразовый пароль на совершение этой операции. Пользователь вводит необходимые данные, и, таким образом, пароли становятся доступны кибермошенникам, которые используют их для манипуляции со счетом жертвы и хищения денежных средств.
Эффективные средства защиты – одноразовые пароли, формируемые на основании информации о транзакции, или криптографические USB-токены.
Настоящим ударом по безопасности систем ДБО стала атака «человек в браузере». Этот тип «троянской программы» применяется в тех случаях, когда криптографические ключи хранятся на токене и их нельзя украсть. Но можно «подсунуть» на подпись пользователю поддельное платежное поручение, а на экране компьютера клиента банка отобразить (с помощью вредоносного ПО) действительно сформированное пользователем платежное поручение. Весь процесс проходит скрытно, без каких-либо очевидных признаков для пользователя.
Средством защиты от «человека в браузере» может стать считыватель смарт-карт с возможностью визуального контроля подписываемого документа. Устройство позволяет показать клиенту в «защищенной среде» – на экране смарт-карты – номер счета, куда будет переведен его платеж, в надежде, что пользователь сравнит длинную последовательность цифр с той, что на экране компьютера. Увы, практика показывает, что не все пользователи применяют этот метод.
Что можно противопоставить атакам?
Решение есть!
Это реализация системы противодействия как внешнему, так и внутреннему мошенничеству, так называемые решения антифрод, работающие в реальном времени. Другими словами, это комплекс организационных и технических мер, обеспечивающих дополнительную защиту автоматизированных банковских систем и систем дистанционного банковского обслуживания.
Такие системы содержат наборы правил, позволяющие с высокой долей вероятности обнаружить транзакции, сформированные мошенниками. Это, например, «черные» и «белые» списки. В «черные» списки попадают те получатели платежей, которые уже были уличены в участии в мошеннических схемах, в «белые» – те, которым клиент платил и не обжаловал этот платеж. При анализе могут быть использованы, например, данные геотаргетинга – для обнаружения ситуаций, когда один и тот же пользователь работает почти одновременно из разных стран. Или система слежения за бот-сетью – сетью из «компьютеров-зомби», способных выполнять несанкционированные легальными пользователями действия (похищать данные, осуществлять рассылки спама, проводить
атаки отказа в обслуживании и т.д.).
Возможно также создание профиля пользователя, учитывающего различные параметры выполняемых операций: запрашиваемую сумму, дату и вре-
мя, географию – и определяющего уровень риск для каждой транзакции по этому профилю. Транзакции с высоким уровнем рисков можно запрещать или ограничивать по сумме, или требовать дополнительной авторизация для выполнения операции.
В комплексе с программно-аппаратными средствами противодействия компания «АСТ» применяет методику оценки защищенности системы ДБО. «АСТ» как аудитор систем ДБО осуществляет следующие виды технологических аудитов:
аудит внешнего периметра – проверки правил фильтрации, типовых конфигураций сервисов, тестирование на известные удаленные уязвимости в ОС и сервисах;
аудит архитектуры системы – проверки парольной политики, ролей пользователей, правил логики системы;
аудит защищенности web-приложений – поиск известных и новых уязвимостей в приложениях,
проверки на наличие скрытых скриптов и шифрования web-соединений;
аудит защищенности на уровне СУБД – контроль парольной политики СУБД, проверки на уязвимости и ошибки конфигурации, шифрование критичных данных и др.;
аудит защищенности клиентской части системы – поиск уязвимостей, анализ работы клиента с криптографией, проверка настроек и конфигураций клиентского ПО, системы хранения паролей на клиентской части и др.
По результатам проведенных проверок и выявленных уязвимостей определяются возможные векторы атак как на клиентов системы, так и на серверы ДБО.
Снижение рисков мошенничества в системах ДБО за счет дополнительного анализа типового поведения клиентов, анализа аномального поведения и введение дополнительных проверок позволяют снизить прямые финансовые потери банков, связанные с мошенничеством. Повысить репутацию и уровень доверия к банку в глазах клиентов, инвесторов и партнеров.