Клерк.Ру

Против лома есть приемы

Как защитить от посягательств систему «Клиент-Банк»? Система «Клиент-Банк» представляет собой разработанный банком или сторонними вендорами online-сервис или отдельный программный комплекс, который дает возможность пользователю дистанционно взаимодействовать с кредитной организацией посредством компьютера или телефона.

Функциональность данного online-сервиса очень заманчива для клиентов финансовых учреждений, однако она таит в себе и ряд опасностей, связанных прежде всего с уязвимостью удаленных каналов обслуживания, проще говоря, с рисками пользования Интернетом.

В настоящее время существуют несколько видов атак на системы «Клиент-Банк». Стоит уделить внимание самым распространенным из них.

Сленговое слово «фишинг» означает получение злоумышленниками информации, которую клиент добровольно предоставляет о себе (например, номер кредитной карты, пароль и т.д.). Как правило, клиенту банка направляется   тщательно составленное письмо якобы от имени службы технической поддержки, содержащее просьбу о предоставлении конфиденциальных данных. Нередко подобные запросы объясняются проведением технических работ на сервере.

Даже такая высокотехнологичная система, как «Клиент-Банк», может быть атакована с помощью психологических приемов. Речь идет о социальной инженерии. Подобный способ имеет место, когда жертва работает в крупной компании, знать всех сотрудников   которой   невозможно. Этим часто пользуется взломщик: получив данные инвентаризации, злоумышленник может связаться с сотрудником фирмы от имени администратора и запросить у него пароль или иные конфиденциальные сведения. Отсутствие визуального контакта, тонкие психологические уловки зачастую не оставляют шанса вовремя распознать обман.

Вирусные атаки - один из самых старых и распространенных способов посягательства на чужой компьютер. В целях кражи денег с банковского счета вирусная программа способна похищать конфиденциальную информацию пользователя (в том числе пароли к интернет-банку), шпионить за клиентом, накапливая и передавая важные данные злоумышленникам. Также вирусная программа способна перенаправлять пользователя на подложные сайты, специально созданные мошенниками. Наиболее распространенный вид вирусов, разработанных и используемых для этих целей, - различные модификации троянов.

Один из самых сложных незаконных способов доступа к системе «Клиент-Банк» осуществляется с помощью ложного DNS-сервера (Dummy DNS Server). Это становится возможным, когда настройки сети осуществляются в автоматическом режиме. При этом компьютер, включаемый в сеть, делает запрос через отправку широковещательного пакета, пытаясь выяснить, кто выступит в качестве его DNS-сервера. Последний ищется для того, чтобы компьютер мог отправлять ему DNS-запросы.

Широковещательные запросы могут перехватываться злоумышленниками, которые имеют физический доступ к сети. При этом взломщик выдает свой компьютер за DNS-сервер и таким образом получает возможность направлять ничего не подозревающего пользователя по необходимому маршруту.

Система «Клиент-Банк» может быть взломана с помощью установки шпионского программного обеспечения на смартфон или компьютер, при этом ПО тщательно маскируется под реальное приложение от банка. Пользователь вводит в приложении-клоне пароль, который перехватывается злоумышленником. Риску в данном случае подвергаются как постоянный, так и разовые пароли, высылаемые с помощью SMS-сообщений. Интерфейс шпионского программного обеспечения практически неотличим от оригинального банковского.

Начальник управления ИТ бюро кредитных решений банка «Пойдем!» Максим Бабенко рассказывает: «В нашем банке используются различные специализированные системы по обнаружению и предотвращению атак шпионского ПО, которые подтвердили свою высокую эффективность. Но помимо технических средств защиты в «Пойдем!» большое значение уделяется архитектуре всех производственных систем и рабочих процессов, поскольку их влияние на снижение риска несанкционированного доступа к счетам клиентов исключительно велико».

Существуют как элементарные, так и довольно сложные рекомендации, знание которых поможет уберечь пользователя от взлома системы «Клиент-Банк». Нужно избегать передачи любой конфиденциальной информации третьим лицам. Важно помнить, что администратор не должен запрашивать у вас пароль - у него есть возможность получить полный доступ к системе без посторонней помощи. Выписанные на бумагу данные авторизации в системе «Клиент-Банк» должны быть надежно спрятаны от чужих глаз. Желательно не допускать к сети посторонних лиц.

Вице-президент Уральского банка реконструкции и развития Юрий Миронов предостерегает: «Нельзя забывать о том, что в 99% случаев атаки совершаются не на ПО интернет-банка, а на рабочие места пользователей, то есть на их персональные компьютеры. Банк постоянно заботится о своих клиентах в данном направлении, вот и в 2014 году, продолжая эту работу, УБРиР начнет предоставлять новое программное решение, позволяющее безопасно работать в интернет-банке. Ведь мы учитываем, что рабочие места пользователей могут быть уязвимы, и помогаем клиентам сделать их безопасными».

Выбирая антивирусное программное обеспечение, следует обращать внимание не только на широко известные продукты, такие как Eset NOD32, антивирус Касперского, Dr.Web. По словам экспертов, весьма эффективно использование разработок, которые способны проверять реестр. Речь идет о таких антивирусах, как Spybot, Ad-Aware, XSpy.

Использование системы «Клиент-Банк» иногда предполагает наличие у клиента цифрового криптографического ключа для генерации электронно-цифровой подписи, который нередко помещается на внешний носитель. Как правило, банки предлагают устройства eToken, Rutoken или Touch Memory. Необходимо оставлять их в компьютере лишь до тех пор, пока совершается банковская операция. В противном случае может произойти так называемая компрометация ключа (доступ к нему получает третье недобросовестное лицо).

В целях безопасности операций, проводимых через систему «Клиент-Банк», на компьютере должен быть установлен межсетевой экран (брандмауэр, фаервол), который будет препятствовать атакам вирусов и шпионских ПО через незанятые порты. Важно соблюдать осторожность при работе с системой «Клиент-Банк» на компьютерах общего пользования -взаимодействовать с программой только через режим просмотра.

Наиболее прогрессивным на сегодняшний день методом борьбы со взломом системы «Клиент-Банк» является генерирование одноразовых паролей. Каждый сеанс входа в систему и проведения операции сопровождается отправкой сообщения с новой комбинацией символов.

Существуют так называемые заранее сгенерированные одноразовые пароли, их в большом количестве помещают на материальный носитель, после чего передают в пользование клиенту. При необходимости с очередного пароля стирается защитное покрытие (если речь идет о карте) либо вскрывается ПИН-конверт, после чего данные вводятся для авторизации в системе. Так как те же самые пароли хранятся на сервере банка, клиент беспрепятственно пользуется услугами организации дистанционно.

Динамически генерируемые пароли, в отличие от заранее сгенерированных, высылаются клиенту непосредственно перед входом в систему «Клиент-Банк». Каналы отправки могут варьироваться: почта, мобильный телефон, банкомат в равной степени выполняют функцию передачи сообщения от банка пользователю. Подобный способ исключает вероятность потери карты или конверта с паролем, но делает данные более уязвимыми для мошенников в сети: информация может быть украдена.

Тем не менее данный способ защиты успешно применяется многими российскими банками. Максим Бабенко (банк «Пойдем!») рассказал о защите системы «Клиент-Банк» в кредитной организации: «Безопасность работы системы обеспечивается на стороне компании Faktura.ruвысоким уровнем защищенности от вмешательства третьих лиц. Обмен информацией производится по защищенным каналам связи с использованием специального протокола. Безопасность на стороне клиента обеспечивается применением двухфак-торной авторизации с использованием динамических паролей. Для входа в систему клиенту дополнительно необходимо ввести пароль, который динамически генерируется и отправляется посредством SMS-сообщений. Аналогичным способом необходимо подтверждать и совершение операций по счету».

Эксперты ХКФ Банка также отдают предпочтение динамически генерируемым паролям: «Для обеспечения надлежащего уровня безопасности используется виртуальная клавиатура и специальные проверочные символы (CAPTCHA). Для совершения операций в интернет-банке используется несколько уровней идентификации, каждая операция совершается с помощью отдельного SMS-кода. Клиенты могут самостоятельно настраивать уровень безопасности. У них есть возможность установить вход в интернет-банк по одноразовому паролю, не допуская вероятности получения информации по своим счетам третьими лицами».

В наши дни также используются устройства, предназначенные для генерирования паролей для входа в систему «Клиент-Банк». Они, как правило, невелики по размеру и просты в применении. Одноразовый пароль генерируется при нажатии специальной клавиши. Пароль активен не более одной минуты, его создание не зависит от Интернета, а само устройство жестко привязано к своему владельцу, благодаря чему вероятность атаки злоумышленника сводится к минимуму.

Безусловно, предупредить совершение преступления легче, чем его раскрыть. Но как поступают банки в случаях, когда кражи все-таки происходят? Имеет место целый комплекс мер, помогающих раскрыть преступление. «Но если такое событие все же произойдет (кража денег у клиента - прим. ред.), и клиент обратится в банк с информацией о том, что его средства были похищены со счета, или человек обнаружит попытку несанкционированного доступа к его счету в интернет-банке, или банковская анти-фродовая система выявит попытку мошенничества, то мы незамедлительно блокируем доступ к счетам клиента через интернет-банк и связываемся с банком-получателем для блокировки денежных средств», - комментирует Юрий Миронов (УБРиР). После этого, по словам специалиста, проводится индивидуальная работа с клиентом, предоставляются материалы служебного расследования по факту инцидента. При необходимости эксперты банка помогают пострадавшему от действий злоумышленников клиенту подготовить заявления в правоохранительные органы, в судебные инстанции, исковое заявление о возврате похищенных средств.

Эксперты банков признают: идеального способа защиты от посягательств злоумышленников на средства банковских клиентов на сегодняшний день не существует. В значительной степени сотрудникам отделов безопасности финансово-кредитных организаций помогает сочетание тех или иных современных методов.

Мнение эксперта

Сергей КОТОВ, эксперт по информационной безопасности компании «Аладдин Р.Д.»

Современные атаки на системы типа «Банк-Клиент» становятся более ухищренными. Злоумышленник быстро адаптируется к современным средствам защиты, и банкам приходится держать руку на пульсе, отслеживая новинки в сфере безопасности. Сейчас актуальной становится угроза подмены подписываемых документов (платежных поручений) в системах типа «Банк-Клиент».

Компания «Аладдин Р.Д.» представила рынку новое решение в сфере обеспечения безопасности при работе в системе «Банк-Клиент» в недоверенной среде (на любом компьютере).

«Антифрод-терминал» предназначен для защиты от большинства известных атак в системах типа «Банк-Клиент», таких как удаленное управление компьютером и атаки с подменой подписываемых документов. «Антифрод-терминал» может в безопасной среде подписывать как одиночные, так и групповые документы (платежные поручения, работа с белыми списками), отображая подписываемые данные на своем мониторе.

Особенностью «Антифрод-терминала» является ведение журнала операций, в котором фиксируются все действия клиента и который может служить доказательной базой при расследовании инцидентов (ст. 9 закона о НС).