Мудрый Экономист

Дбо под прицелом: кибермошенники против новейших решений для защиты интернет-банкинга

"Банковский ритейл", 2014, N 3

Практика показывает, что киберпреступники постоянно совершенствуются в умении обманывать новейшие системы защиты. Какими способами мошенники реализуют свои атаки? Что делать банку, чтобы защитить клиентов и снизить риск кражи денежных средств с их счетов? Каковы самые надежные методы блокирования подозрительных транзакций? Какие устройства наиболее безопасны на сегодняшний день?

Согласно статистике, число пострадавших от хакеров россиян в минувшем году превысило 30 млн человек, при этом около 80% атак было нацелено на клиентов банков. Только по официальным данным Центробанка, в 2013 г. в системах ДБО российских банков было зарегистрировано более 18 тыс. инцидентов.

Особое внимание киберпреступники уделяют корпоративным клиентам кредитных организаций. В частности, за 2012 г. сумма средств, украденных с корпоративных счетов, составила 435,85 млн долл. США, а средний ущерб от одного инцидента - от 600 тыс. до 3 млн руб. Исходя из интереса, который преступники проявляют к системам ДБО для корпоративных клиентов, на рынке появилось большое количество решений, обеспечивающих защиту именно этого сегмента интернет-банкинга.

Когда дистанционный банкинг только зарождался, киберпреступникам не нужно было придумывать сложные схемы: они просто копировали ключи электронной подписи клиента и с их помощью переводили деньги на свои счета. Однако российские банки достаточно быстро пресекли подобные атаки с помощью устройств, предназначенных для защищенного хранения ключей электронной подписи на стороне клиента, которые были внедрены в системы ДБО. Сначала это были токены и смарт-карты, содержащие криптоконтейнеры, позже - устройства с неизвлекаемым ключом электронной подписи, который аппаратно генерируется "на борту" электронного ключа и никогда не покидает его. Эти меры действительно на какое-то время снизили риск кражи денежных средств. Но киберпреступники все же сумели адаптироваться к новым условиям, придумав иные способы вывода денег со счетов клиентов банков.

Новые атаки кибермошенники реализуют следующими способами:

Для снижения рисков кражи денежных средств банки стали применять серверные системы фрод-мониторинга, предназначенные для выявления и блокирования подозрительных транзакций. При правильной настройке такие системы действительно способны снизить риски и в ряде случаев успешно справляются с выявлением поддельных платежных поручений на основании различных эвристик и статистик. Например, правильно настроенная система фрод-мониторинга наверняка заблокирует операцию, отправляющую на счет нового контрагента крупную сумму денег.

Надежным способом блокирования подозрительных транзакций является и использование "белого списка" контрагентов. В этом случае система фрод-мониторинга может:

При таком подходе перевод суммы, превышающей установленный лимит (или большое количество мелких транзакций), адресованной контрагенту, не входящему в список доверия клиента банка, скорее всего, будет заблокирован системой фрод-мониторинга.

Однако существует возможность обмануть даже те системы фрод-мониторинга, которые используют такой, казалось бы, надежный "белый список". Дело в том, что важен не только сам факт использования такого списка, но и то, каким образом он был изначально сформирован и как в него впоследствии вносились изменения.

Если "белый список" формируется пользователем на его компьютере, который априори считается недоверенной средой, подписывается перед отправкой в банк электронной подписью пользователя в этой же недоверенной среде, то существует возможность включения в перечень доверенных лиц "левых" получателей. Произвести такую операцию может специальный троян, при этом пользователь даже не заподозрит подмены. Аналогичные несанкционированные изменения вирус может внести в "белый список" во время санкционированной пользователем легальной операции внесения изменений.

После этого кибермошенники беспрепятственно смогут "уводить" денежные средства пользователя на счета "левых" получателей, которые будут находиться в "белом списке".

Примечательно, что изменения в список могут быть внесены трояном, даже если пользователь распечатывает список доверенных контрагентов на принтере. Вирус просто внесет нужные правки в момент отправки подготовленного документа на печать. Если "белый список" представляет собой несколько десятков получателей, то пользователь может не заметить в нем несоответствий и представить в банк в уже измененном виде.

Таким образом, несмотря на то что серверные системы фрод-мониторинга способны снизить риски кражи денежных средств со счетов клиентов банков, нельзя забывать о том, что киберпреступники постоянно совершенствуются в умении обманывать такие системы.

В такой ситуации возникает закономерный вопрос: что делать? Ответ прост: мы должны доверять среде, в которой создаются и подписываются платежные поручения, а также "белые списки" получателей. Как было показано выше, компьютер пользователя в большинстве случаев не является доверенной средой, поэтому ее необходимо создать вне компьютера, где отсутствуют вирусы и угрозы удаленного управления.

Для реализации доверенной среды на рынке появились устройства типа TrustScreen, подключаемые к компьютеру пользователя. При подписании электронных документов с использованием смарт-карт или токенов они позволяют отображать на своем экране (в доверенной среде) содержимое этих документов, что обеспечивает защиту от подмены реквизитов в платежных поручениях.

Подобные устройства являются своего рода системой фрод-мониторинга на стороне клиента и блокируют попытки подмены платежных реквизитов и навязывания поддельных платежных поручений.

Однако киберпреступникам удалось найти уязвимости и в данных устройствах. Например, для того чтобы сервер системы ДБО мог доверять платежным поручениям пользователя, подписанным с использованием устройства типа TrustScreen, сервер должен иметь возможность гарантированно убедиться в том, что пользователь подтверждал транзакцию на доверенном устройстве. В противном случае злоумышленник может подменить на столе пользователя устройство на внешне идентичное, но с измененной начинкой, или реализовать массовую DDoS-атаку на такие устройства, вынуждая пользователей подключить токен напрямую к компьютеру. После этого специальный троян сможет сформировать поддельные платежные поручения, а банк будет считать, что продолжает работать с защищенным устройством.

Таким образом, можно сделать вывод, что наиболее безопасными на сегодняшний день являются устройства, которые:

Отмечу, что такие устройства уже есть на рынке и начали активно применяться в кредитно-финансовом секторе, в частности, для защиты банковских транзакций.

Н.В.Афанасьев

Менеджер по развитию продукта

"Аладдин Р.Д."