Число пострадавших от хакеров россиян в минувшем году превысило 30 млн

Согласно статистике, число пострадавших от хакеров россиян в минувшем году превысило 30 млн человек, при этом около 80% атак было нацелено на клиентов банков.

Только по официальным данным Центробанка, в 2013 году в системах ДБО российских банков было зарегистрировано более 18 тыс. инцидентов.

Особое внимание киберпреступники уделяют корпоративным клиентам кредитных организаций. В частности, за 2012 год сумма средств, украденных с корпоративных счетов, составила $435,85 млн, а средний ущерб от одного инцидента – от 600 тыс. руб. до 3 млн руб. Исходя из интереса, который преступники проявляют к системам ДБО для корпоративных клиентов, на рынке появилось большое количество решений, обеспечивающих защиту именно этого сегмента интернет-банкинга.

Когда дистанционный банкинг только зарождался, киберпреступникам не нужно было придумывать сложные схемы: они просто копировали ключи электронной подписи клиента и с их помощью переводили деньги на свои счета.

Однако российские банки достаточно быстро пресекли подобные атаки с помощью устройств, предназначенных для защищённого хранения ключей электронной подписи на стороне клиента, которые были внедрены в системы ДБО.

Сначала это были токены и смарт-карты, содержащие криптоконтейнеры, позже – устройства с неизвлекаемым ключом электронной подписи, который аппаратно генерируется «на борту» электронного ключа и никогда не покидает его. Эти меры действительно на какое-то время снизили риск кражи денежных средств.

Но киберпреступники все же сумели адаптироваться к новым условиям, придумав иные способы вывода денег со счетов клиентов банков. Новые атаки кибермошенники реализуют следующими способами: хакер получает удалённое управление над компьютером пользователя, перехватывает PIN-код токена или смарт-карты и подписывает поддельные платёжные поручения от лица клиента банка с помощью его электронной подписи в те моменты, когда устройство подключено к компьютеру; компьютер жертвы заражается специальным трояном, который способен незаметным для пользователя способом подменять реквизиты подписываемых платёжных поручений, одновременно изменяя отображаемые пользователю остатки на счетах, из-за чего факт совершения кражи ещё долго остаётся незамеченным. Для снижения рисков кражи денежных средств банки стали применять серверные системы фрод-мониторинга, предназначенные для выявления и блокирования подозрительных транзакций.

При правильной настройке такие системы действительно способны снизить риски и в ряде случаев успешно справляются с выявлением поддельных платёжных поручений на основании различных эвристик и статистик. Например, правильно настроенная система фрод-мониторинга наверняка заблокирует операцию, отправляющую на счёт нового контрагента крупную сумму денег. Надёжным способом блокирования подозрительных транзакций является и использование «белого списка» контрагентов. В этом случае система фрод-мониторинга может: разрешать производимые в адрес таких получателей транзакции без дополнительных проверок; устанавливать лимит на транзакции в адрес других получателей.

При таком подходе перевод суммы, превышающей установленный лимит (или большое количество мелких транзакций), адресованной контрагенту, не входящему в список доверия клиента банка, скорее всего, будет заблокирован системой фрод-мониторинга. Однако существует возможность обмануть даже те системы фрод-мониторинга, которые используют такой, казалось бы, надёжный «белый список». Дело в том, что важен не только сам факт использования такого списка, но и то, каким образом он был изначально сформирован, и как в него впоследствии вносились изменения.

Если «белый список» формируется пользователем на его компьютере, который априори считается недоверенной средой, подписывается перед отправкой в банк электронной подписью пользователя в этой же недоверенной среде, то существует возможность включения в перечень доверенных лиц «левых» получателей. Произвести такую операцию может специальный троян, при этом пользователь даже не заподозрит подмены. Аналогичные несанкционированные изменения вирус может внести в «белый список» во время санкционированной пользователем легальной операции внесения изменений. После этого кибермошенники беспрепятственно смогут «уводить» денежные средства пользователя на счета «левых» получателей, которые будут находиться в «белом списке». Примечательно, что изменения в список могут быть внесены трояном, даже если пользователь распечатывает список доверенных контрагентов на принтере. Вирус просто внесёт нужные правки в момент отправки подготовленного документа на печать.

Если «белый список» представляет собой несколько десятков получателей, то пользователь может не заметить в нём несоответствий и предоставить в банк в уже изменённом виде. Таким образом, несмотря на то, что серверные системы фрод-мониторинга и способны снизить риски кражи денежных средств со счетов клиентов банков, нельзя забывать о том, что киберпреступники постоянно совершенствуются в умении обманывать такие системы. В такой ситуации возникает закономерный вопрос – что делать? Ответ прост – мы должны доверять среде, в которой создаются и подписываются платёжные поручения, а также «белые списки» получателей. Как было показано выше, компьютер пользователя в большинстве случаев не является доверенной средой, поэтому её необходимо создать вне компьютера, где отсутствуют вирусы и угрозы удалённого управления.

Для реализации доверенной среды на рынке появились устройства типа TrustScreen, подключаемые к компьютеру пользователя. При подписании электронных документов с использованием смарт-карт или токенов они позволяют отображать на своём экране (в доверенной среде) содержимое этих документов, что обеспечивает защиту от подмены реквизитов в платёжных поручениях. Подобные устройства являются своего рода системой фрод-мониторинга на стороне клиента и блокируют попытки подмены платёжных реквизитов и навязывания поддельных платёжных поручений.

Однако киберпреступникам удалось найти уязвимости и в данных устройствах. Например, для того, чтобы сервер системы ДБО мог доверять платёжным поручениям пользователя, подписанным с использованием устройства типа TrustScreen, сервер должен иметь возможность гарантированно убедиться в том, что пользователь подтверждал транзакцию на доверенном устройстве. В противном случае злоумышленник может подменить на столе пользователя устройство на внешне идентичное, но с изменённой начинкой, или реализовать массовую DDoS-атаку на такие устройства, вынуждая пользователей подключить токен напрямую к компьютеру. После этого специальный троян сможет сформировать поддельные платёжные поручения, а банк будет считать, что продолжает работать с защищённым устройством.

Таким образом, можно сделать вывод, что наиболее безопасными на сегодняшний день являются устройства, которые: позволяют отображать на своём экране содержимое подписываемых документов; позволяют получать подтверждение непосредственно от пользователя; обеспечивают возможность строгой аутентификации себя на сервере ДБО с использованием стойких криптографических алгоритмов при выполнении транзакций.

Источник: futurebanking.ru