Виртуальный грабеж

25.11.2013

Оригинал: expert.ru
Опубликовано в журнале «Эксперт» №47 (877)
Автор: Алексей Грамматчиков
 

Современному грабителю не нужно надевать черную маску и наводить на жертву пистолет. Он может тихо сидеть у компьютера и похищать миллионы. Развитие услуг интернет-банкинга повлекло за собой и распространение различного рода виртуального мошенничества.

Сами банки по понятным причинам не очень охотно говорят об этой проблеме и нередко занижают ее значение. Однако, согласно данным независимой компании Group-IB, ежедневно в московских банках происходит до нескольких десятков хищений со стороны интернет-мошенников. Общие объемы мошенничества в российских системах интернет-банкинга по итогам прошлого года оцениваются той же компанией в 446 млн долларов. Правда, обнадеживает то, что в последнее время, несмотря на рост числа пользователей интернет-банкинга, размер украденных таким путем средств несколько снизился: в 2011 году в России из электронных кошельков граждан было похищено 490 млн долларов.

Снижение объемов виртуальных банковских краж объясняется несколькими факторами. С одной стороны, за последний год сами банки сделали немало, чтобы внедрить системы защиты от атак мошенников. Например, многие из них перешли на использование систем двухфакторной аутентификации, когда клиент интернет-банка помимо своего пароля вводит в систему дополнительный пароль, поступающий ему на мобильный телефон в SMS. С другой стороны, стоит признать, что в последнее время правоохранительные органы заметно активизировали борьбу с киберпреступностью. Так, за последний год был проведен ряд успешных операций по ликвидации действующих в этой сфере крупных преступных групп.

Тем не менее все эти меры, к сожалению, далеки от того, чтобы сделать проблему безопасности интернет-банкинга в нашей стране менее острой. В ответ на хитроумные механизмы защиты злоумышленники придумывают все новые трюки, чтобы через сеть добраться до банковских счетов граждан и компаний.

Вирусная атака

Самая распространенная схема виртуального банковского ограбления — использование преступниками вредоносного программного обеспечения, или вирусов. Проникнув в компьютер жертвы, так называемая троянская вирусная программа способна похитить пароли, ключи электронной подписи и прочую секретную информацию, которая дает доступ к банковскому счету их владельца.

Ужас банковских систем последнего времени — подмена электронного документа для пользователя. Человек на зараженном компьютере может видеть на экране привычную веб-страницу своего банковского интернет-сервиса. Но на самом деле это может быть подложная веб-страница. Вводя в нее, например, логин и пароль от своего виртуального счета, пользователь отсылает эти данные не в свой банк, а злоумышленникам.

Крайним в подобной ситуации часто оказывается клиент. Банки в договоре об интернет-услугах прописывают столь строгие требования, что клиентам крайне сложно их выполнить. Взять хотя бы условие использовать на компьютере только лицензионное программное обеспечение. Российская реальность такова, что редкий пользователь сегодня имеет на своем компьютере полностью лицензионный софт. И банки в случае кражи указывают на этот факт и отказываются компенсировать клиентам потери.

Проблема осложняется и тем, что в последнее время все больше пользователей интернет-банкинга совершают банковские онлайн-операции с помощью мобильных устройств. А как раз эта техника сейчас наиболее уязвима для хакерских атак.

«Сейчас интернет-банкинг использует каждый десятый пользователь интернета, и угрозы, разумеется, возросли в несколько раз, — говорит Павел Сакадынский, директор московского филиала КБ “Энерготрансбанк”. — Прежде всего стоит отметить бум вредоносного ПО для устройств на базе Android. По нашим данным, за последние месяцы количество вредоносных программ, написанных под Android, выросло почти на 37 процентов. При этом хакеры могут нанести вред не только непосредственно владельцу смартфона. Если гаджет, например, подключен к офисной точке Wi-Fi, хакер может проникнуть и в корпоративную сеть предприятия».

Злоумышленники уже научились взламывать упомянутые выше новые системы двухфакторной защиты. «Классические SMS с одноразовыми паролями уже не могут обеспечить хороший уровень защищенности, — подчеркивает Алексей Тюрин, директор департамента аудита компании Digital Security. — Проблема в том, что пользователи часто ставят на смартфоны множество приложений и разрешают им доступ к SMS. Этим и пользуются вирусописатели. Уже существуют продвинутые банковские вирусы, которые работают совместно: и на компьютере, и на смартфоне. Вирус на компьютере позволяет создать и отправить платежное поручение, а SMS с паролем для подтверждения платежа приходит на смартфон, откуда через соответствующее приложение переправляется злоумышленнику. Чтобы увеличить количество зараженных смартфонов и компьютеров, разрабатываются технологии, когда вирус может перебираться с устройства на устройство».

Внутренняя угроза

Понятно, что индустрия защиты от киберпреступников тоже не стоит на месте. Наиболее перспективные сейчас способы защиты от банковских интернет-мошенников — персональные средства аутентификации в виде USB-брелоков (так называемые токены) или смарт-карт.

На такие устройства вирусам проникнуть очень сложно, так как они хранятся отдельно от компьютера. При необходимости совершения сделки устройство подключается к компьютеру, и в нем генерируется нужный разрешающий код для доступа к банковскому счету. «Мы считаем перспективным применение токенов, причем моделей с экранами вместо обычных токенов, — говорит Алексей Тюрин. — Дело в том, что клиент, подписывая платежное поручение с помощью обычного токена, получает информацию о том, что подписывает, только через свой компьютер. Злоумышленник различными способами может подменить информацию на ПК клиента, и тот подпишет и отправит деньги злоумышленнику. Здесь могут спасти токены с экранами, которые являются дополнительным доверенным каналом получения информации о будущем платеже».

Одновременно наблюдатели критикуют позицию многих банков, которые совершенствуют свои системы защиты без особого рвения. «У ряда банков простая арифметика: если сумма убытков от мошенничества меньше, чем затраты на внедрение дополнительных мер безопасности, не имеет смысла что-то менять, — продолжает Алексей Тюрин. — Если банк составляет “правильный” договор, который перекладывает на клиентов всю ответственность за инциденты мошенничества, то, согласно российскому законодательству, клиентам очень трудно вернуть свои деньги даже в том случае, если хищение осуществлялось через уязвимости в системе самого банка. Наши исследования в области анализа защищенности систем дистанционного банковского обслуживания показывают, что примерно в 80–90 процентах случаев потенциальные возможности хищения денежных средств у клиентов существуют из-за проблемы с информационной безопасностью в самих банках. К сожалению, клиентам очень сложно доказать, что виноват именно банк».

Не стоит забывать и про такую опасность, как внутренние угрозы банков. «Мне представляется, что в скором времени массовый потребитель банковских услуг осознает простую вещь: внутренние угрозы опаснее внешних, — заявляет Николай Федотов из InfoWatch. — То, что это верно для других областей, уже всем очевидно. И только банки всеми силами привлекают внимание публики к внешним злоумышленникам — и старательно отвлекают от внутренних. Хотя именно инсайдеры-злоумышленники виноваты в большинстве хищений и других инцидентов».

«Основной защитой любой системы является грамотность ее пользователей, — продолжает тему Аркадий Прокудин, заместитель руководителя центра компетенции информационной безопасности компании “АйТи”. — До сих пор встречаются сотрудники, которые записывают пароли на бумажках и клеят их на монитор. Или используют пароли вроде 12345678, 00000 или “пустой” пароль. На мой взгляд, обученный специалист, соблюдающий политику безопасности компании, — это уже организация защиты на 50 процентов, все остальное доводится дополнительными решениями».

Наконец, участники рынка говорят о необходимости усиления роли государства в области регулирования интернет-банкинга. По последним данным, Банк России собирается в ближайшее время подготовить новый обязательный перечень правил для банков, предоставляющих услуги интернет-платежей. В частности, активно обсуждается идея обязательно указывать в банковских реквизитах еще и IP-адрес каждого клиента.

Как банки могут снизить угрозу интернет-банкинга

Дмитрий Бирюков, заместитель начальника отдела информационной безопасности банковских систем компании «Астерос»:

— Прежде всего стоит отметить, что само понятие «интернет-банкинг» в России весьма расплывчато. В российском законодательстве до сих пор не существует нормативного документа с соответствующей четкой формулировкой. Эта деятельность регулируется различными федеральными законами, а также нормативными актами Банка России. Но до тех пор, пока нет официального определения, каждая кредитная организация в договоре с клиентом на дистанционное банковское обслуживание вынуждена сама описывать, что она понимает под интернет-банкингом. От того, насколько полно и грамотно составлен этот документ, зависят последствия споров между банком и клиентом. Для примера: типовой договор Bank of America с клиентом занимает около 60 страниц и описывает практически все возможные случаи и распределение ответственности между сторонами. Особое внимание в подобном документе уделяется как раз вопросам обеспечения информационной безопасности.

Ну а если говорить о том, какими средствами сегодня можно обеспечивать защиту интернет-банкинга, то первое, что нужно сделать, — в дополнение к имеющейся технической и эксплуатационной документации на системы, обеспечивающие предоставление услуг интернет-банкинга для клиентов, разработать пакет организационно-распорядительных документов по обеспечению информационной безопасности. Затем необходимо продумать регламенты и инструкции для сотрудников самого банка. И наконец, разработать инструктивные документы для клиентов, пользующихся данной услугой. Эта информация должна быть понятно и юридически грамотно отражена в заключаемых с клиентами договорах на дистанционное банковское обслуживание.

С точки зрения программно-технических мер защиты обязательной на сегодня является система двухфакторной аутентификации при осуществлении интернет-банкинга. Помимо этого в банках сейчас действует довольно много систем, прямо или косвенно помогающих защите данных, — от самых простейших до сложных аналитических решений для обнаружения вторжения, систем мониторинга и противодействия мошенничеству.

Важной частью работы по обеспечению безопасности является информирование и обучение клиентов банка в области дистанционного банковского обслуживания (ДБО). Они должны уметь использовать имеющиеся у банка технологии ДБО и быть проинформированы о возможных рисках.