В последнее время дистанционное банковское обслуживание, несмотря на его не бесспорную безопасность, становится все более привлекательным способом общения между клиентами и банковскими организациями. Уровень компьютерной грамотности в России растет, смартфоны и планшеты становятся для граждан нашей страны не роскошью, а привычными в обиходе предметами, и люди чувствуют себя вполне способными совершать несложные банковские операции в удаленном режиме. Неудивительно, что на этом фоне защита мобильного и интернет-банкинга является приоритетной задачей для финансовых учреждений. Они не только разрабатывают программы лояльности, но и плотно взаимодействуют с клиентами, предупреждая их о мошеннических атаках и рисках, связанных с использованием мобильного и интернет-банкинга.
ДБО набирает вес
На фоне интенсивного развития мобильных приложений и жесткой конкуренции среди банков, в России активно развивается система дистанционного банковского обслуживания (ДБО). Учитывая экономию времени при использовании мобильного банкинга, количество его пользователей растет с каждым годом. Согласно оценкам компании J’son & Partners Consulting, к концу 2015 года 5% пользователей планшетов и смартфонов будут хотя бы один раз в месяц совершать бесконтактные платежи дистанционно.
В середине 2014 года только 0,5% пользователей совершали подобные операции.
Эксперты рынка отмечают, что мобильный банкинг является одним из наиболее быстрорастущих сегментов ДБО. По предварительным данным компании J’son & Partners Consulting, в 2014 году оборот платежей через мобильный банкинг составил 15,2 млрд рублей. Если верить прогнозам, то к концу 2015 года этот показатель может возрасти по сравнению с прошлым годом на 30%.
Примерно на столько же – в среднем на 28% – этот показатель будет увеличиваться в 2016, 2017 и 2018 годах.
Тем временем финансовые учреждения стараются усовершенствовать мобильный банкинг, добиться улучшения и простоты использования сервиса. Считается, что ДБО является наиболее выгодным инструментом для кредитных учреждений, поскольку дистанционное обслуживание позволяет сократить расходы кредитных организаций на открытие дополнительных отделений и повысить уровень обслуживания клиентов. По мнению экспертов, мобильный банкинг чаще всего используется молодыми людьми, которые охотно тестируют новые продукты. Также кредитные учреждения модернизируют и совершенствуют web-приложения, в том числе для юридических лиц. Это, в свою очередь, позво-ляет компаниям быстро совершать платежи, не тратя дополнительное время на посещение отделения банка. Нововведения расширяют возможности организаций совершать различные транзакции по счетам.
И снова нечто человеческое…
Принимая во внимание статистику и развитие ДБО, немаловажным является вопрос безопасности мобильных и web-приложений. Аналитики отмечают высокие риски использования мобильного и интернет-банкинга вви-ду того, что в финансовых учреждениях существуют проблемы в области безопасности. Так, по мнению ряда экспертов, несовершенными остаются системы аутентификации.
Безусловно, это проблема не только нашей страны: и в России, и во всем мире компании работают над усиле-нием средств защиты мобильного банкинга и интернет-банкинга. Большинство кредитных учреждений гарантируют надежную защиту персональных данных и финансов. В безопасности клиентских данных и транзакций в первую очередь заинтересован Центральный банк: не случайно регулятор рынка утвердил указание, в котором прописаны требования к обеспечению защиты информации при осуществлении переводов денежных средств. Также было опубликовано и указание о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении транзакций.
Основной причиной, благодаря которой происходят атаки на системы ДБО, является, по мнению экспертов рынка, человеческий фактор. Сотрудники отдела безопасности Банка Зенит уверены в том, что угрозы электронных нападений увеличиваются из-за беспечности и доверчивости клиентов. С таким мнением согласна и начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева. «Зачастую человек не осознает всей важности соблюдения этих правил до тех пор, пока сам не станет жертвой мошенничества. Хотя нужно отметить, что порой мошенники используют самые совершенные методы и инструменты, защищаться от которых на клиентском устройстве рядовому пользователю довольно проблематично. Однако такие атаки сложны в использовании и проводятся достаточно редко, поэтому соблюдение рекомендаций банка по безопасной работе в каналах ДБО в большинстве случаев позволяет защититься от действий мошенников», – уверена Елена Дегтева. Также бывают случаи злоумышленных действий со стороны недобросовестных работников банка. «Но они быстро и легко раскрываются, так как все действия сотрудников в системах банка протоколируются, а наиболее рисковые операции подвергаются дополнительному контролю», – уточнила Елена Дегтева (ВТБ24).
Руководитель службы информа-ционных технологий Лето Банка Сергей Чиков считает, что человеческий фактор в самих банках является вторичным. «Особенно это становится
очевидным в условиях тотальной унификации и доступности различных репозиториев, когда все большую активность приобретает услуга по анализу кода на предмет возможных «закладок». Все чаще на рынке появляется информация, что при использовании той или иной бесплатной библио-теки наряду с полезными функциями информационные системы приобретают уязвимость, в том числе и «back door» (программы, которые устанавливают взломщики. – Прим. ред.)», – комментирует специалист.
Предпосылками для проведения кибер-атак, по мнению Сергея Чикова (Лето Банк), в большей степени является неграмотность клиентов. Специа-лист уверен в том, что зачастую используются мобильные устройства с устаревшими операционными системами. При установке приложений мало кто обращает внимание на то, к каким компонентам мобильных устройств запрашивается доступ, в то время как одноразовые пароли предоставляются третьим лицам.
Способы атаки
По наблюдениям экспертов в сфере ИБ, наиболее частые виды атак на системы защиты мобильных и web-приложений – это получение контроля управления личным кабинетом или счетом в системе дистанционного банковского обслуживания путем компрометации клиентского устройства (смартфона, компьютера) с последующим выводом со счетов средств клиента. «Инструменты для этого могут быть использованы самые разнообразные: начиная с элементарного – зловредного вложения в электронное сообщение или ссылки на зараженный сайт, и заканчивая АРТ-атакой на целевого клиента с использованием методов социальной инженерии», – поясняет Елена Дегтева (ВТБ24). С данным мнением солидарны сотрудники отдела безопасности Банка Зенит, которые уверены в том, что основными и очень частыми видами атак при использовании мобильных и web-при-ложений является кража логинов и паролей.
«В целом, основные атаки, с которыми сталкивается банк, – это DDoS- атаки в части web-приложений и вре-доносное ПО на клиентских устройствах и «man in the middle» (термин в криптографии, обозначающий ситуацию, когда атакующий может читать и видоизменять сообщения по своей воле. – Прим. ред.). По статистике, наряду с вредоносным ПО частый тип атаки – удаленное управление», – отмечает руководитель службы информационных технологий Лето Банка Сергей Чиков.
По мнению начальника управления безопасности банка «Глобэкс» Александра Щелканова, при использовании мошенниками грамотно спланированных схем атак, риск для клиента лишиться своих средств становится вполне реальным. «В случае успеха подобной атаки мошенники могут похитить средства клиента, даже если он выполняет большую часть требований безопасности, описанных банком в договоре на ДБО», – уверен сотрудник банка. Также Александр Щелканов считает, что суть подобных атак предельно проста. Злоумышленники получают дубликаты SIM-карты, привязанной к телефонному номеру клиента, зарегистрированного в системе ДБО. Для этого они обращаются в офис оператора сотовой связи, предоставляя поддельные документы, удостове-ряющие личность жертвы. После этого SIM-карта, находящаяся в мобильном телефоне клиента, внезапно перестает работать. При этом мошенники стараются произвести подмену преимущественно в ночное время, чтобы владелец мобильного устройства как можно дольше не обнаружил проблем в работе своего телефона. За это время злоумышленники на новую SIM-карту получают пароли для подтверждения операций с его счетом и выводят средства жертвы на подконтрольные счета или в подконтрольные им электронные кошельки. «При этом часто в подобных схемах мошенничества участвуют и сами сотрудники операторов связи», – поясняет специалист.
Безопасность превыше всего
Вне зависимости от того, кто прав, а кто виноват в том, что некоторые атаки на счета клиентов оказываются успешными, ясно одно – закрывать «дыры», сквозь которые могут просочиться злоумышленники, приходится финансово-кредитным организациям. Однако есть эксперты, которые считают, что пик атак на системы защиты мобильного банкинга пришелся на 2013-2014 годы, и в перспективе их число будет снижаться. «На данный момент количество подобных атак уменьшается», – уверен начальник управления безопасности банка «Глобэкс» Александр Щелканов.
Основные причины снижения активности электронных нападений в том, что операторы связи стали уделять больше внимания кадровой безопасности и обучению собственных сотрудников. Другой причиной, по мнению Александра Щелканова, является то, что многие крупные банки, столкнувшись с данной проблемой, разработали механизмы, направленные на проверку подлинности клиентов.
Сотрудники Банка Зенит для снижения активности атак со стороны мошенников производят установку последних версий серверов-приложений, закрытие и шифрование каналов. Также банк информирует своих клиентов о возможных угрозах и просит соблюдать известные правила информационной безопасности.
Лето Банк исходит из предположения, что все устройства, с помощью которых клиенты коммуницируют с банком, априори содержат вредоносное ПО. «В этом контексте основной упор делается на системы, способные на прогноз ситуации и проактивные действия. Таким образом, основная ставка делается на внедрение антифрод-системы, обеспечивающей в online-режиме анализ транзакций клиента и сопоставление его действий ранее сохраненному профилю. Вторым аспектом является поведенческий анализ всех инфраструктурных компонентов сис-тем ДБО и банковского бэка (АБС) с помощью JSOC (Jet Security Operations Center, центра реагирования на инциденты информационной безопасности. – Прим. ред.). В случае с Лето Банк JSOC обеспечивает мониторинг, анализ и управляющие воздействия по всем подозрительным активностям в инфраструктуре», – уточнил руководитель службы ИТ Лето Банка Сергей Чиков.
Еще одним методом «латать дыры» в безопасности мобильного банкинга является постоянный анализ публикаций о новых угрозах и их актуальности для систем ДБО. Также банки осуществляют регулярные проверки на уязвимость (тесты на проникновение) с привлечением внешних компаний. «Разработка и доработка приложений должна проходить тщательную экспертизу, в том числе в подразделении информационной безопасности, на этапе технического задания, тестирования и приемки в эксплуатацию. Кроме того, не следует забывать о необходимости постоянного взаимодействия с клиентами, об их информировании о новых видах угроз и рекомендациях по безопасности при работе в каналах ДБО», – комменти-рует начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева.
Для защиты клиентов от мошеннических атак многие банки разрабатывают программу лояльности. «Основная нагрузка по защите клиента от подобных атак в любом случае должна ложиться на банк», – считает Александр Щелканов (Банк «Глобэкс»). Он также отметил, что у банка есть несколько способов по организации защиты от подмены SIM-карт. Во-первых, кредитная организация взаимодействует с операторами связи и своевременно получает информацию о факте смены клиентом SIM-карты. Вторым способом защиты клиентов является настройка системы ДБО на автоматическую процедуру проверки IMSI (International Mobile Subscriber Identity, Международного идентификатора мобильного абонента. – Прим. ред.). Тем временем в Банке Зенит для предотвращения злоумышленных атак используется система риск-мониторинга.
«Различные механизмы, как по стимулированию наших клиентов к использованию механизмов защиты, так и вознаграждения различных организаций и частных лиц при предоставлении информации о наличии «дыр» в системе безопасности, банк пока не предусматривает. В настоящий момент для бан-ка наиболее эффективным решением является внедрение антифрод-системы», – уточнил Сергей Чиков. В частности, Лето Банк ведет непрерывную работу по внедрению комплекса для усиления безопасности мобильных и web-приложений. Специалисты банка мониторят рынок на предмет появления новых угроз с помощью подрядной организации. «Постоянно обновляется список уязвимостей и угроз, которые находятся на мониторинге JSOC. Планируется к внедрению антифрод-система ДБО», – пояснил сотрудник банка.
В ВТБ24 программы лояльности как таковой нет. «Но банк предоставляет большие размеры лимитов при использовании наиболее надежных средств защиты при подтверждении операций», – пояснила Елена Дегтева. Кроме того, поддержка защищенности систем ДБО на высоком уровне является приоритетным направлением для банка ВТБ24 среди прочих задач в сфере информационной безопасности. «В ближайшее время планируется внедрение комплексной системы выявления и предотвращения мошенничества для всех каналов ДБО и для всех клиентов (физических и юридических лиц)», – заключила Елена Дегтева.
Ответы на вызовы в сфере ИБ могут быть разными, ИБ-стратегии, которых придерживаются банки, тоже могут различаться, но в одном участники рынка едины: при использовании мобильного и интернет-банкинга клиентам финансовых учреждений следует быть предусмотрительными и не забывать о безопасности своих денежных средств. Несмотря на системы защиты, которые разрабатываются финансовыми учреждениями, угрозы со стороны мошенников могут быть высоки, учитывая, что мир информационных технологий не стоит на месте. Хакеры, понимая, что их прежние «карты» уже «биты», становятся все более изобретательными. Соответственно, секрет успеха в деле противодействия им – в повышенном внимании к соблюдению стандартов ИБ и со стороны профессиональных участников рынка, и со стороны клиентов финансово-кредитных организаций.
Мнение эксперта
Александр Крутиков, руководитель направления INSIDE Secure компании «Инсайд РУС»
Развитие современных технологий, повышение производительности мобильных устройств и их повсеместное распространение оказывают влияние на все сферы бизнеса. И, разумеется, банковский сектор не остается в стороне. Большинство крупных банков уже выпустили приложения для смартфонов с поддержкой различных функций дополнительного банковского обслуживания. С ростом количества мобильных устройств с NFC интерфейсом увеличивается число приложений, позволяющих использовать смартфон в качестве платежной карты. Это стало возможным благодаря технологии эмуляции карты (HCE – Host Card Emulation), которая поддерживается, например, в операционной системе Android, начиная с версии 4.4 (KitKat). Однако в операционной системе реализована лишь коммуникационная составляющая, передающая информацию от смартфона к считывающему устройству. Функции же безопасности, необходимые согласно требованиям ведущих платежных систем (Visa, MasterCard и т.д.), в операционной системе не поддерживаются.
В данной ситуации можно использовать специальные защищенные элементы, включенные, например, в SIM-карту, вмонтированные в смартфон производителем или же выполненные в формате SD-карты. Но этот метод неудобен для конечного пользователя, поскольку требует замены SIM-карты или покупки элемента безопасности в формате SD.
Альтернативой аппаратному решению является использование специальных программных продуктов, обеспечивающих функции безопасности в разрабатываемых приложениях. При этом уровень надежности защиты информации не будет уступать аппаратному решению.
Примером такого программного продукта может служить линейка Matrix компании INSIDE Secure. Она включает в себя решения MatrixHCE (защищенная технология эмуляции карты) и MatrixSSE (программный элемент безопасности для платежных приложений).
Важная особенность Matrix заключается в том, что его использование является неразличимым для стороннего наблюдателя и не меняет внутреннюю логику работы приложения. Входные и выходные потоки данных, переменные остаются прежними. Продукт INSIDE Secure MatrixSSE (SSE – Software Secure Element) позволяет пропустить через себя исходный код приложения и, не затрагивая схемы потоков данных, реализовать все необходимые функции безопасности. Защита приложения обеспечивается благодаря методам динамической криптографии Whitebox, обфускации (маскировки) данных, строгой аутентификации. В результате приложение становится защищенным продуктом, соответствующим требованиям платежных систем.
Продукт INSIDE Secure MatrixHCE, помимо функций безопасности, включает в себя механизм токенизации и позволяет быстро и без лишних затрат реализовать в приложении технологию HCE, превратив тем самым смартфон в банковскую карту.
Продукты серии INSIDE Secure Matrix – новинка не только на рынках России и СНГ, но и на мировом рынке. Однако они уже успели получить заслуженное признание. В ноябре 2014 года в рамках конференции Cartes Secure Connexions (Франция) MatrixHCE был отмечен наградой SESAMES Award как лучший продукт в сфере мобильных коммуникаций.
Начать дискуссию