Чтобы получить доступ к банковским счетам пользователей, киберпреступники используют широкий спектр технологий — от изощренных атак с использованием вредоносного кода до методов социальной инженерии, основанных на знании психологических тонкостей поведения клиентов. Мы рассмотрим типы атак для получения доступа к чужим банковским счетам, которые используют киберпреступники, а также способы противостояния этим атакам.
- Фишинг — одна из самых распространенных атак. Суть ее в том, что при помощи сообщения по электронной почте, социальной сети или SMS пользователя перенаправляют на ложный веб-сайт, который выглядит как оригинальный ресурс банка. Пользователь, не подозревая о подвохе, вводит персональную информацию (имя, пароль, номера кредитных карт, СМС-код), которая и попадает в руки мошенника. Данный вид мошенничества особо развит в сегменте интернет-банкинга. В качестве «противоядия» рекомендуется пользоваться онлайн-услугами банка, который применяет многофакторную аутентификацию (поскольку преступники вряд ли смогут реализовать такую функцию на фишинговом сайте). Вообще многофакторная аутентификация считается наиболее безопасной системой для предоставления доступа. Хотя зловредное ПО, если оно уже присутствует на компьютере, может функционировать и после аутентификации пользователя. Однако в данном случае ущерб будет ограничен лишь текущей сессией, поскольку после ее закрытия хакер не сможет зарегистрироваться заново.
- Кража базы паролей. Применяя зловредное ПО и другие технологии, хакеры воруют учетные данные пользователей для перепродажи другим преступникам либо эксплуатируют их сами для получения доступа к чужим банковским счетам. Чтобы застраховаться от утечки конфиденциальной информации, важно регулярно проверять компьютер на наличие вирусов.
- Атака «человек посередине» (Man-in-the-Middle). Очень распространенная некогда атака, посредством которой злоумышленник внедряет собственные сообщения в трафик между компьютером пользователя и сервером аутентификации. Таким образом, данные о платеже могут перехватываться на этапе, когда клиент их уже отправил, но они еще не дошли в банк. Мошенник изменяет данные под свои требования и только после этого отправляет их в банк. На сегодня практически все банки, предоставляющие услуги интернет-банкинга, для передачи данных от клиента в систему банка и обратно используют SSL-протокол, то есть вся информация шифруется. Такая мера безопасности позволяет защититься от распространенного ранее вида мошенничества.
- Атака «человек в браузере». Одна из самых изощренных тактик: с помощью троянской программы инфицируется веб-браузер пользователя, что позволяет перехватывать и модифицировать всю отправляемую информацию. Такой вид атаки дает возможность изменять веб-страницы и содержание операций таким образом, что пользователь этого не замечает. Весь процесс протекает скрытно, без каких-либо внешних признаков. Для защиты от этой атаки на компьютере клиента должен быть установлен регулярно обновляемый антивирус.
- Кража личности. Если мошенник накопит достаточный объем персональной информации о клиенте банка, то сможет использовать эти данные для совершения различных преступлений. Например, он звонит в контакт-центр банка и, представляясь чужим именем, называет различные ключевые слова, чтобы сменить пароль доступа на сайт с услугами онлайн-банкинга или выполнить другие операции. Кражу личности или сбор персональных данных можно осуществлять различными способами: от поиска информации в социальных сетях до внедрения на компьютер клиента вредоносного ПО, способного шпионить за пользователем. Чтобы застраховаться от таких атак, надо поменьше делиться личной информацией на публичных ресурсах и следить за антивирусным гигиеной на своем ПК.
Многие банки предоставляют клиентам услуги мобильного банкинга, то есть возможность работы со своим счетом через специальное мобильное приложение на смартфоне или планшете. Несомненно, это очень удобно, поскольку позволяет выполнять операции со своим банковским счетом «на ходу», в любом месте, где есть Интернет. Проблема заключается в том, что для каждой популярной сегодня мобильной ОС (Android, iOS, Windows Phone и т.п.) характерны свои уязвимости. По мнению экспертов, эти потенциальные бреши присутствуют и в приложениях для мобильного банкинга.
Например, согласно исследованиям, около трети мобильных приложений для iOS и 15% для Android содержат уязвимости, ведущие к некорректной работе SSL-протокола, а это означает возможность перехвата критичных платежных данных с помощью атаки Man-in-the-Middle. Свыше 20% приложений для iOS потенциально уязвимы к SQL-инъекции, что создает риск похищения информации о платежах. Также свыше половины программ для мобильного банкинга для платформы iOS и 20% для Android потенциально уязвимы к атакам типа межсайтовый скриптинг, что позволяет использовать авторизацию пользователя в веб-системе для получения расширенного доступа к ней или для получения авторизационных данных пользователя. Почти половина приложений для iOS потенциально уязвимы к атакам типа XXE (XML eXternal Entity). Особо опасны эти атаки для столь популярных в нашей стране «разблокированных» смартфонов (jailbreak). Кроме того, свыше 20% приложений для Android некорректно работают с механизмами межпроцессного взаимодействия, тем самым предоставляя доступ сторонним приложениям к критичным банковским данным.
Способы защиты
Принимая во внимание стремительный рост угроз в сегменте интернет-банкинга, производители продуктов для информационной безопасности отреагировали выпуском соответствующих продуктов для защиты пользователей от мошенничества. Например, компания IBM представила серию решений под названием IBM Security Trusteer, которые помогают предотвратить атаки, одновременно позволяя финансовым учреждениям обеспечить строгое соблюдение нормативных требований.
Среди возможностей решения IBM Security Trusteer стоит отметить многоуровневую защиту пользовательских устройств от заражения вредоносным кодом и фишинговых атак; защиту сеансов веб-браузера для предотвращения взлома клиентских транзакций; защиту от хищения идентификационных данных. Также решение предохраняет компьютер пользователя от заражения вредоносным кодом, тем самым обеспечивая безопасную работу клиентов с электронными банковскими системами.
Кроме того, на глобальном рынке популярно решение от компании Easy Solutions — Total Fraud Protection. Это комплексная технологическая система для защиты от кибермошенников при проведении финансовых онлайн-транзакций. Total Fraud Protection содержит средства для противодействия фишингу, фармингу (процедуре скрытного перенаправления жертвы на ложный IP-адрес) и вредоносному коду. Единое решение защищает клиентов банка от перехвата доступа к банковскому счету и сокращает возможные потери от мошенничества с дебитовыми и кредитными картами. Вся информация о возможных фрод-атаках немедленно выводится в окне мониторинга программы.
Стоит акцентировать на том, что безопасный интернет-банкинг — это процесс, который затрагивает обе стороны: клиента и банк. На стороне клиента должно стоять качественное антивирусное ПО, а на стороне банка — специализированные системы антифрода, которые смогут отслеживать нетипичное поведение пользователя на сайте с услугами интернет-банкинга. К слову, любой банк заинтересован в предоставлении максимально качественных услуг. Но, как показывают наши наблюдения, в настоящее время рынок систем для безопасного интернет-банкинга только начинает зарождаться.
Кроме того, никакие технические средства безопасности не спасут клиента от злоумышленников, если он сам не будет соблюдать правила безопасности. Пользователь должен избегать посещения сайтов сомнительного содержания, регулярно проверять компьютер на наличие вирусов, также не рекомендуется хранить информацию о личном ключе и пароле на своем ПК или на каких-нибудь других носителях в нешифрованном виде. И, конечно же, необходимо очень внимательно читать присылаемые банком сообщения. В случае сомнений лучше лишний раз позвонить в контакт-центр банка и удостовериться в подлинности полученного письма. Фактически любое нетипичное поведение системы ДБО — повод для дополнительного повышения бдительности.
Ключевые требования к построению безопасной системы интернет-банкинга
1. Банк постоянно осуществляет мониторинг поведения пользователей в системе интернет-банкинга, отслеживает все операции со счетом и сообщает клиенту о подозрительных переводах.
2. Банк использует многофакторную аутентификацию. Кроме того, при каждом входе в личный кабинет или при проведении платежа необходимо ввести дополнительный пароль, а пароль для подтверждения платежа или входа в личный кабинет запрашивается через мобильный телефон или через специальный «токен».
3. Между банком и пользователем установлен защищенный канал по протоколу HTTPS, рядом с адресной строкой банка указан сертификат безопасности, подтверждающий защищенность канала.
4. В банке ограничено число операций за один день и применяется система автоматического выхода из личного кабинета после короткого периода бездействия.
5. Сотрудникам техподдержки банка не нужно спрашивать ваш постоянный пароль, чтобы помочь вам в работе со счетом.
6. Банк постоянно предупреждает пользователя о новых типах мошенничества, которые могут ему угрожать.
7. Кроме того, банк время от времени высылает свод рекомендаций по безопасной работе с системой интернет-банкинга, в котором, в частности, есть советы: не работать на компьютере, с которого выполняется работа с системой интернет-банкинг, с правами системного администратора, не оставлять свой компьютер или мобильное устройство без присмотра во время открытой текущей сессии и пр.
Автор статьи — руководитель направления информационной безопасности ITbiz Solutions
