Способы противодействия мошенничеству с использованием систем дистанционного банковского обслуживания

Дистанционное банковское обслуживание (ДБО) — общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом удаленным образом (то есть без его визита в банк), чаще всего с использованием компьютерных и телефонных сетей.

Для описания технологий ДБО используются различные в ряде случаев пересекающиеся по значению термины: Клиент-Банк, Банк-Клиент, Интернет-Банк, Система ДБО, Электронный банк, Интернет-Банкинг, on-line banking, remote banking, direct banking, home banking, internet banking, PC banking, phone banking, mobile-banking, WAP-banking, SMS-banking, GSM-banking, TV-banking.

Платёжная систе́ма — совокупность правил, процедур и технической инфраструктуры, обеспечивающих перевод стоимости от одного субъекта экономики другому. Платёжные системы являются одной из ключевых частей современных монетарных систем. Электронные платёжные системы являются подвидом платёжных систем, которые обеспечивают осуществление транзакций электронных платежей через сети (например, Интернет) или платёжные чипы.

Банковская транзакция – операция, состоящая в переводе денежных средств с одного счета на другой; сделка купли-продажи.

Банкомат (от банковский автомат, иногда ATM от англ. Automated teller machine) — программно-технический комплекс, предназначенный для автоматизированных выдачи и приёма наличных денежных средств как с использованием платёжных карт, так и без, а также выполнения других операций, в том числе оплаты товаров и услуг, составления документов, подтверждающих соответствующие операции.

Троянцы (Trojans) — вредоносные программы, осуществляющие несанкционированные пользователем действия на его компьютере. Эти действия необязательно будут разрушительными, но они всегда направлены во вред пользователю.

Банковские троянцы — вредоносные программы, предназначенные для кражи конфиденциальной информации и получения несанкционированного доступа к систе мам дистанционного банковского обслуживания, используемым компаниями.

Ботнет (Botnet) — сеть компьютеров, зараженных троянцами-ботами. Ботнет используется для рассылки спама или проведения сетевых атак, например подбора паролей или DоS-атак.

Бэкдоры (Backdoors) — программы, предназначенные для удаленного управления зараженной системой. Часто используются для обхода существующей системы безопасности.

К категории банковских троянцев принято относить вредоносные программы, предназначенные для похищения конфиденциальной информации и обеспечения несанкционированного доступа к системам дистанционного банковского обслуживания (ДБО). Многие банковские троянцы также сочетают в себе функции бэкдора и шпионских программ.

Развитие вредоносных программ и появление новых методикражи финансовых средств привели к компрометации средств защиты, ранее рекомендованных для применения.

Одним из наиболее распространенных методов проникновения банковских троянцев в операционную систему является их загрузка другими вредоносными программами: троянцами-загрузчиками. Также большую опасность для компаний представляет возможность заражения при просмотре инфицированных веб-страниц — с использованием различных уязвимостей прикладного ПО. Помимо этого, банковские троянцы могут проникнуть на компьютер жертвы другими методами — в виде вложений в сообщения, массово рассылаемые по каналам электронной почты, на инфицированных съемных носителях, с использованием методов социальной инженерии.

Типичными представителями семейства банковских троянцев являются Trojan.Carberp, Trojan.PWS.Ibank, Trojan.PWS.Panda (также известен как Zeus и Zbot) и Trojan.PWS.SpySweep (также известен как SpyEye). Для мобильной платформы Android на сегодняшний деньизвестен банковский троянец Android.SpyEye.1.

Причины актуальности угрозы следующие:
1. Вредоносные программы перед выпуском тестируются на актуальных антивирусах — и некоторое время после релиза не обнаруживаются ими. В то же времядля перевода денег криминальной структурой, имеющей четкую организацию, требуется от одной до трех минут.
2. Огромное количество новейших вирусов появляется ежедневно. По данным http://updates.drweb.com, каждый день выходит несколько десятков экземпляров только Trojan.Carberp. Системы защиты вредоносных программ постоянно совершенствуются. Злоумышленники нередко используют различные файловые упаковщики для того, чтобы избежать обнаружения антивирусными программами. Таким образом, одновременно может существовать до нескольких сотен образцов одного и того же опасного приложения, отличающихся только способом упаковки исполняемого файла. В результате троянец может проникнуть в операционную систему, если в вирусных базах пока еще отсутствует сигнатурная запись для какой-либо отдельной модификации вредоносной программы.
3. Злоумышленники изобретают все более изощренные пути распространения вредоносных программ — в том числе с применением методов социальной инженерии, а также с использованием уязвимостей прикладного ПО (например, пакета уязвимостей BlackHole Exploit Kit различных версий). Если пользователь не принял достаточных мер для обеспечения защиты своего компьютера, момент заражения может остаться для него незамеченным.
4. Для противодействия современным угрозам необходимо принимать не только технические, но и организационные меры, закупать дополнительное программное обеспечение — к чему большинство потенциальных жертв не готово.

В 2011 году 40% атак увенчались успехом, при этом средняя сумма хищения составляла 110 тыс. грн.

Цель проникновения:
1) похищение сертификатов систем защищенного документооборота и паролей от программ с целью обеспечения несанкционированного доступа к системам дистанционного банковского обслуживания и торговым
платформам (Trojan.Carberp, Trojan.PWS.Panda);
2) перевод денежных средств на счета злоумышленников через системы ДБО;
3) похищение конфиденциальной информации (Trojan.PWS.SpySweep, Android.SpyEye.1);
4) перехват нажатий клавиш, данных, вводимых с использованием экранной клавиатуры, создание снимков экрана, иные способы шпионажа;
5) включение зараженных машин в управляемые бот-неты, координируемые из одного (или нескольких)командных центров (Trojan.Carberp);
6) запуск и удаление различных программ на инфицированном компьютере (Trojan.Carberp, Trojan.PWS.SpySweep, Trojan.PWS.Panda);
7) возможность выполнения на инфицированном компьютере поступающих из удаленного центра команд, в том числе команды на удаление операционной системы.

Банковские троянцы обладают весьма развитым вредоносным функционалом. Так, троянцы семейства Trojan.Carberp имеют функционал по приему команд от управляющего центра, способны служить прокси-сервером, с помощью которого злоумышленники могут анонимно работать в Интернете.

Методы перехвата информации:

1. Веб-инжекты: встраивание троянцем в отображаемую в браузере веб-страницу постороннего содержимого, в частности полей форм.
2. Похищение файлов cookies.
3. Установка в инфицированную систему поддельных цифровых сертификатов (в том числе с целью обеспечения сеансов связи с использованием защищенных протоколов).
4. Запись нажатий пользователем клавиш.
5. Перехват и анализ сетевого трафика.
6. Создание и передача злоумышленникам снимков экрана (в том числе в процессе ввода каких-либо данных в экранные формы с использованием виртуальной клавиатуры).
7. Перехват и передача злоумышленникам изображения с подключенной к компьютеру веб-камеры.
8. Перехват и передача злоумышленникам аудиопотока с подключенного к ПК микрофона.
9. Перехват сохраненных в системе паролей.
10. Встраивание в процессы программ системы «Банк-Клиент» (Trojan.Carberp — на данный момент существуют версии программы под большинство систем дистанционного банковского обслуживания).

Список использованных источников:

Электронный ресурс.- https://ru.wikipedia.org/wiki/ Дистанционное – банковское обслуживание
Электронный ресурс.- https://ru.wikipedia.org/wiki/Платёжная_система
Электронный ресурс.- http://news.drweb.com/?i=2891&c=34&lng=ru&p=0
Электронный ресурс.- http://vms.drweb.com/search/?q=trojan.carberp