Сергей Никитин: Интернет-банкинг — удобство в ущерб безопасности?

27 марта 2009 17:00

Обслуживание клиентов — это приоритетное направление работы любого банка. Все большее число кредитных организаций используют дистанционное обслуживание с помощью интернет-банкинга для расширения спектра услуг, предоставляемых своим вкладчикам. Очень удобной для клиентов является возможность, не выходя из дома или, наоборот, находясь в любой точке земного шара, осуществлять управление счетом, оплачивать различные услуги. Однако кроме неоспоримых преимуществ интернет-банкинг таит в себе и немало угроз: подобный способ общения клиентов с банком вызывает чрезвычайный интерес со стороны злоумышленников. Причина этого в том, что сервис дистанционного обслуживания предназначен по большей части для оказания финансовых услуг, а современные киберпреступные сообщества интересуются именно получением прибыли. Риски безопасности дистанционных каналов доставки банковских услуг — в статье Сергея Никитина (“Лаборатория Касперского”).

Клиент или банк — кто более удобная цель?

Поскольку в процессе оказания услуги участвуют две стороны — клиент и банк, то атакам злоумышленников подвергаются они обе. Традиционно финансовые учреждения уделяют большое внимание построению своих систем безопасности, в том числе и информационных ресурсов. Этому способствуют как требования регуляторов, в роли которых выступает государство и центральный банк, так и потребности рынка. Практически во всех автоматизированных банковских системах используются надежные средства защиты, в том числе и от вредоносного ПО, применяются политики безопасности, проводится соответствующее обучение сотрудников. С учетом всего вышесказанного проникнуть извне в вычислительные сети банков злоумышленникам чрезвычайно сложно. Но сложность не останавливает киберпреступников, так как затраченные усилия с лихвой окупятся возможным кушем.

Банки, как сосредоточение финансовых средств, всегда были и будут целью злоумышленников, что особенно актуально сегодня как в связи с мировым финансовым кризисом, оставившим без работы массу специалистов, так и с появлением организованных групп IT-бандитов. Это подтверждают данные вирусных аналитиков «Лаборатории Касперского», которые ежедневно фиксируют появление сотен вредоносных программ, созданных для проведения атак на банковские системы.

Иногда попытки взломать банковскую сеть оканчиваются успехом. Несмотря на то что пострадавший банк всеми силами стремится к сокрытию информации об инциденте (распространение которой грозит ему серьезными финансовыми и имиджевыми потерями), бывает, что она просачивается в СМИ, как это было с историей о взломе сетей Банка Москвы машинистом метрополитена. Стоит особо отметить, что ввиду сложности проникновения в банковскую сеть извне, злоумышленники все чаще прибегают к помощи инсайдеров, подкупая или запугивая сотрудников банка с целью получения информации, которая поможет им проникнуть внутрь защитного периметра, — паролей, логинов, подробных описаний политик безопасности или деталей построения систем ИБ.

Кроме банка атаке может подвергнуться и второй участник системы интернет-банкинга — клиент. Клиент может быть как физическим, так и юридическим лицом. В случае если клиентом Интернет-банка выступает юридическое лицо, можно надеяться на адекватный уровень защиты рабочего места, с которого осуществляется доступ к информационным ресурсам банка. Большинство организаций сегодня осознают важность обеспечения информационной безопасности для своего бизнеса и применяют соответствующие средства защиты. Все это кардинально отличает их от клиентов — физических лиц, которые и являются самым уязвимым звеном системы интернетбанкинга. Банку очень сложно добиться от человека соблюдения требований информаци-онной безопасности. Даже несмотря на то, что этот пункт часто включается в договор об оказании услуг и в нем четко прописывается, какое защитное ПО должен использовать клиент, проконтролировать исполнение такого условия очень сложно. И даже если требование формально выполняется, т. е. средство защиты установлено, никто не может гарантировать, что клиент правильно его использует. Есть, конечно, люди, которые аккуратно относятся к своим ПК, дорожат их работоспособностью и хранящейся на них информацией, а в случае, если с них регулярно совершаются финансовые операции, то уровень пиетета еще более возрастает: на компьютере устанавливается защита, ПО регулярно обновляется и т. д. Но, к сожалению, таких пользователей не так много, а кроме того, некоторые пользуются интернет-банкингом вне дома (собственно, такая возможность является одним из основных преимуществ этой системы), т. е. в общедоступных местах (интернет-кафе и т. п.), где безопасности могут не уделять должное внимание. Используя бреши в безопасности клиентских компьютеров, злоумышленники могут внедрять вредоносное ПО в банковские системы и осуществлять свою дальнейшую разрушительную деятельность.

%images[2]%

Основные угрозы

Как правило, под атакой на клиента понимают попытки перенаправления финансовых потоков со счета клиента на счет злоумышленников. Осуществить подобное можно, завладев персональными данными клиента, поэтому у киберпреступников чрезвычайно популярны следующие способы атаки на клиентов:

1. Заражение компьютеров пользователей вредоносным ПО. Как уже говорилось выше, «Лаборатория Касперского» регистрирует в день сотни новых программ, которые различными способами воруют логины и пароли для доступа к системам интернет-банкинга. Кроме того, в тех же целях используются и клавиатурные шпионы, перехватывающие все вводимые символы, а также программы, сканирующие память и жесткий диск компьютера в поисках нужных хакерам данных. С помощью внедренной на компьютер пользователя троянской программы эти сведения впоследствии отправляются злоумышленнику. В основном такие программы похожи друг на друга и их авторы больше рассчитывают на количество, нежели на качество, но бывают и исключения. Как правило, это заказное ПО, написанное специально для атаки на конкретного человека, учитывающее особенности установленной на его ПК защитной системы.

2. Фишинг также является очень популярным способом атаки пользователей. Это особый вид интернетмошенничеств, заключающийся в создании поддельного сайта банка или письма, якобы направленного банком пользователю. Их цель — заставить человека перейти на фальшивую страницу, которая ничем не отличается от настоящей, и ввести на ней свои конфиденциальные данные (логин, пароль, номер кредитной карточки и т. д.). Естественно, эти данные пересылаются злоумышленнику. Для сокрытия мошенничества используется следующий прием: после ввода клиентом своих конфиденциальных данных возникает сообщение об ошибке, после чего происходит переход на настоящую страницу банка, где клиент снова вводит данные, попадает в свой личный кабинет и продолжает работу. В результате человек даже не подозревает, что его данные были похищены. В фишинге активно используются методы социальной инженерии и другие ухищрения, например использование украденных ранее личных данных пользователя (имя, фамилия, адрес) для придания письму большей достоверности. Причины популярности фишинга у кибермошенников очевидны — для создания поддельной страницы банка, подложного письма и организации спам-рассылки не требуется ни особое умение, ни какие-либо серьезные финансовые вложения. Опять же, несмотря на постоянно возрастающий уровень исполнения, фишинг — явление массовое, и его разработчики рассчитывают на количество, а не на качество.

У обоих методов есть одна особенность — использование одновременно нескольких типов инструментов в одной атаке. Например, для того чтобы вредоносное ПО попало на компьютер клиента, может быть использован спам и фишинг, для сбора данных применяется кей-логгер, а отправка полученной информации поручается троянской программе. Фишинговые письма могут доставляться спамерами по различным каналам: по электронной почте, через интернет-пейджеры и социальные сети и т. д.

В противоположность атакам на клиента атаки на банки являются гораздо более сложными технологически. Если сконструировать фишинговую страницу или написать несложную троянскую программу может большинство IT-специалистов, то для атаки на банк нужно обладать более высоким уровнем подготовки. Как правило, это удел либо чрезвычайно талантливых одиночек, либо организованных преступных групп, зачастую международных, имеющих в своем составе как хакеров, так и «обычных» преступников.

Применяемое для атаки банков ПО часто разрабатывается на заказ и специально тестируется таким образом, чтобы не быть обнаруженным средствами защиты конкретной финансовой организации. Для этого в процессе подготовки злоумышленниками активно используется инсайдерская информация о системе безопасности, которая будет подвергнута атаке. Кроме того, в случае успеха атаки для легализации и обналичивания похищенных сумм применяются специальные схемы со множеством ничего не подозревающих участников в качестве подставных лиц в разных странах. Помимо задачи обхода более технологически совершенной защиты, при атаке на банк преступники идут на гораздо больший риск, ведь противодействовать им будет не только электронная система защиты, но и вполне реальные люди из службы безопасности банка и правоохранительных органов. Кроме написания специализированного вредоносного ПО при атаке на банки злоумышленники практикуют и различные способы перенаправления и перехвата информации, передающейся в банк от клиента. Для этого используются специальные программы, уязвимости в легальном ПО, специальные подставные серверы и т. д.

%images[3]%

Что противопоставляется мошенникам?

Естественно, и банки, и пользователи заинтересованы в том, чтобы обеспечить безопасность системы интернетбанкинга. Пользователи рискуют своими деньгами, а банки как финансовыми средствами, так и репутацией. В условиях роста популярности предоставления банковских услуг через Сеть обеспечение их безопасности является для банков дополнительным конкурентным преимуществом, которое они стараются реализовать. Это обеспечивается как административными мерами (включение в договор об оказании услуг пунктов, обязывающих пользователя применять определенный комплекс защитных средств; информирование и обучение клиентов), так и чисто техническими способами. К последним, в частности, относятся:

1) совершенствование собственных систем безопасности. Несмотря на то что эта работа требует больших расходов, банки вынуждены проводить ее, так как потери от хакерских атак и интернет-мошенничеств приносят гораздо большие убытки;

2) использование в системе интернет-банкинга только шифрованных каналов связи (VPN, HTTPS и т. д.);

3) использование двухфакторной авторизации и одноразовых кодов доступа.

Кроме того, банк заинтересован в том, чтобы пользователь не нарушал требования ИБ при работе, для чего он может прописать в договоре об оказании услуг некоторые моменты, снижающие риски, — использование защитного ПО, запрет на вход систему из публичных мест без использования средств защиты (например, e-Token) и т. д. Со своей стороны, пользователь также заинтересован в том, чтобы не стать жертвой киберпреступников и не потерять деньги. В этом ему может помочь строгое соблюдение требований договора с банком, а также выполнение таких элементарных правил, как использование антивирусного приложения на своем компьютере, своевременное обновление всех установленных на ПК программ, осторожность при переходе по ссылкам из подозрительных писем, и других мер.

Что в итоге?

Что же ждет нас в будущем? К сожалению, прогноз неутешительный. Эксперты «Лаборатории Касперского» и портала VirusList.com считают, что количество атак на банковские системы будет только расти. Этому способствует и переход киберпреступности полностью на коммерческую основу и ее вхождение в международное преступное сообщество, и мировой финансовый кризис, оставивший без работы как массу банковских служащих, так и IT-специалистов, которые не прочь отомстить бывшим работодателям. Кроме количества будет расти и качество атак — вредоносное программное обеспечение станет более совершенным, средства доставки получат большую проникающую способность, фальшивые письма и страницы станут выглядеть еще более достоверно. В этой ситуации как банкам, так и их клиентам остается только не жалеть средств (в разумных пределах, конечно) на обеспечение информационной безопасности и пользоваться защитными средствами, которые в своем развитии также не стоят на месте и при условии грамотного использования и своевременной установки могут успешно противостоять злоумышленникам.



© 2020 БАНКОВСКИЕ ТЕХНОЛОГИИ
Первое издание на российском рынке, посвященное информационным технологиям для банков.
Москва, Проспект Мира, д.3, корп. 1
+7 (495) 120-81-42
info@int-bank.ru

Свидетельство СМИ ФС77-39103 от 11 марта 2010 года.
По вопросам сайта просим обращаться к администрации сайта: info@int-bank.ru.
При использовании материалов необходимо давать ссылку на www.banktech.ru.