04.06.2015
Безопасность банковских приложений
Интернет-портал getmobian.com, июнь, 2015<br>
Экспертное мнение Николая Афанасьева, менеджера по развитию продукта компании "Аладдин Р.Д."
Экспертное мнение Николая Афанасьева, менеджера по развитию продукта компании "Аладдин Р.Д."
Согласно отчету State of Mobile App Security, банковские приложения больше всех подвержены хакерским атакам и чаще всего имеют незащищенный код. Удивительно, но факт. Это создает почву для самых разных видов мошенничества – от подмены приложения прямо в магазине до перехвата данных пользователя.
Мы поговорили с представителями банков и выяснили, почему так происходит, как это работает и что предпринять компаниям. Ну, и как защититься пользователям, конечно.
"Во-первых, если у на устройстве уже установлено какое-то приложение, то при обновлении из Google Play пользователь закачивает обновление именно этого приложения, а не что-то постороннее. Более того, нельзя разместить приложение с аналогичным package name — уникальным идентификатором приложения.
Во-вторых, действительно, любой человек может загрузить в магазин приложение, похожее на ваше. Оно может выглядеть и не как клон. Вам могут честно написать, что разработчик этого приложения кто-то другой, но подкупить вас тем, что данное приложение, например, бесплатно, в отличие от родного приложения вашего банка, или содержит какие-то дополнительные фишки, или что-то еще. К сожалению, тут сознательность должна идти от самого пользователя и разъяснительная работа со стороны банка.
Если речь идет о приложении — полном клоне, то тут важно для пользователя быть внимательным, смотреть на количество скачиваний, отзывы и на название разработчика приложения. Например, у Ubank больше 4 млн скачиваний, сотни положительных отзывов, и эту информацию не подделать.
Со стороны банков в любом случае важно всегда мониторить сторы на наличие таких мошеннических приложений и оперативно подавать жалобу в Appstore или Google Play".
Это также не остается незамеченным для киберпреступников, которые крадут денежные средства физических и юридических лиц с различных электронных счетов и электронных кошельков.
Значительная часть краж денежных средств при безналичных платежах осуществляется с использованием специализированных "троянов", которыми заражаются ПК и мобильные устройства пользователей. Суть таких атак "троянов", как правило, сводится к тому, чтобы подменить реальные реквизиты платежей на подставные в ходе совершения платежа. Например, пользователь платежной системы при подготовке и подтверждении платёжного распоряжения может видеть на экране ПК или мобильного телефона те реквизиты, которые он сам указал, а "троян" в момент отправки такого распоряжения в платежную систему или банк может незаметно подменить реквизиты. В результате деньги "уйдут" на счёт киберпреступника.
Подтверждение с использованием одноразового пароля по SMS не спасает, так как мобильный телефон, как и ПК, может быть заражён "трояном", способным блокировать уведомление о поступлении SMS и отправлять SMS-самостоятельно от лица пользователя.
Если пользователь работает только через мобильный телефон, такой "троян" способен формировать поддельные платёжные распоряжения, отправлять их оператору по переводу денежных средств незаметно для пользователя и подтверждать через SMS эти операции также незаметно для пользователя.
В случае если пользователь составляет платёжное распоряжение на ПК, а подтверждает на мобильном телефоне через SMS, то 2 работающих в паре "трояна" (один – на ПК, второй – на мобильном телефоне) без труда могут аналогичным образом "увести" деньги пользователя.
Ввиду того, что на массовом рынке невозможно надёжно защитить компьютеры и мобильные устройства всех пользователей (антивирусы не панацея), большинство из них остаются под прицелом киберпреступников.
Для обеспечения надёжной защиты при безналичных платежах становится хорошей практикой выделять отдельную программно-аппаратную среду для визуального контроля и подтверждения платёжных распоряжений (далее – изолированная среда). Указанная среда должна иметь определенную степень изоляции от программной среды, в которой платёжное распоряжение составлялось.
В этом случае процесс выполнения безналичного платежа выглядит следующим образом:
1. Пользователь составляет платёжное распоряжение на ПК или в мобильном устройстве и даёт команду на его исполнение.
2. Оператор по переводу денежных средств, получив команду на исполнение, запрашивает от пользователя провести визуальный контроль реквизитов созданного им платёжного распоряжения и подтвердить свое намерение осуществить денежный перевод в изолированной среде.
3. Пользователь просматривает реквизиты в изолированной среде и там же подтверждает (либо отклоняет) выполнение операции.
4. Получив результат от изолированной среды, оператор по переводу денежных средств либо проводит операцию (если пользователь подтвердил ее), либо блокирует (если отклонил).
Требования к изолированной среде
Среда визуального контроля с подтверждением должна обеспечивать:
• отображение реквизитов платёжного распоряжения для их визуального контроля клиентом;
• возможность клиентом явно подтвердить или отклонить операцию перевода денежных средств в соответствии с отображёнными реквизитами;
• формирование аутентификатора от визуализированных и подтвержденных клиентом реквизитов платёжного распоряжения с использованием секрета, недоступного среде составления распоряжений;
• безопасную доверенную загрузку в себя (самостоятельную генерацию) секрета, с помощью которого должен формироваться аутентификатор;
• безопасное хранение этого секрета.
Оператор по переводу денежных средств должен в этом случае иметь возможность проверить аутентификатор, сформированный в изолированной среде конкретного пользователя, чтобы убедиться, что:
• аутентификатор в изолированной среде был сформирован именно тем пользователем, который составлял платёжное распоряжение (т.е. легальным клиентом);
• аутентификатор был сформирован именно от тех реквизитов, которые входят в состав составленного платёжного распоряжения;
• пользователь подтвердил операцию перевода денежных средств в соответствии с этими реквизитами.
Реализация возможности подтвердить безналичный платёж с использованием такой изолированной среды – это то, что нас ждёт в ближайшем будущем, и что станет привычной и неотъемлемой частью процедур подтверждения транзакций".
Мы поговорили с представителями банков и выяснили, почему так происходит, как это работает и что предпринять компаниям. Ну, и как защититься пользователям, конечно.
Феликс Хачатрян, сооснователь и управляющий директор Ubank
"Во-первых, если у на устройстве уже установлено какое-то приложение, то при обновлении из Google Play пользователь закачивает обновление именно этого приложения, а не что-то постороннее. Более того, нельзя разместить приложение с аналогичным package name — уникальным идентификатором приложения.
Во-вторых, действительно, любой человек может загрузить в магазин приложение, похожее на ваше. Оно может выглядеть и не как клон. Вам могут честно написать, что разработчик этого приложения кто-то другой, но подкупить вас тем, что данное приложение, например, бесплатно, в отличие от родного приложения вашего банка, или содержит какие-то дополнительные фишки, или что-то еще. К сожалению, тут сознательность должна идти от самого пользователя и разъяснительная работа со стороны банка.
Если речь идет о приложении — полном клоне, то тут важно для пользователя быть внимательным, смотреть на количество скачиваний, отзывы и на название разработчика приложения. Например, у Ubank больше 4 млн скачиваний, сотни положительных отзывов, и эту информацию не подделать.
Со стороны банков в любом случае важно всегда мониторить сторы на наличие таких мошеннических приложений и оперативно подавать жалобу в Appstore или Google Play".
Николай Афанасьев, менеджер по развитию бизнеса компании "Аладдин Р.Д."
"В настоящее время мы можем наблюдать тенденцию увеличения доли безналичных платежей по сравнению с наличными. Очевидно, что такая тенденция в ближайшее время сохранится.Это также не остается незамеченным для киберпреступников, которые крадут денежные средства физических и юридических лиц с различных электронных счетов и электронных кошельков.
Значительная часть краж денежных средств при безналичных платежах осуществляется с использованием специализированных "троянов", которыми заражаются ПК и мобильные устройства пользователей. Суть таких атак "троянов", как правило, сводится к тому, чтобы подменить реальные реквизиты платежей на подставные в ходе совершения платежа. Например, пользователь платежной системы при подготовке и подтверждении платёжного распоряжения может видеть на экране ПК или мобильного телефона те реквизиты, которые он сам указал, а "троян" в момент отправки такого распоряжения в платежную систему или банк может незаметно подменить реквизиты. В результате деньги "уйдут" на счёт киберпреступника.
Подтверждение с использованием одноразового пароля по SMS не спасает, так как мобильный телефон, как и ПК, может быть заражён "трояном", способным блокировать уведомление о поступлении SMS и отправлять SMS-самостоятельно от лица пользователя.
Если пользователь работает только через мобильный телефон, такой "троян" способен формировать поддельные платёжные распоряжения, отправлять их оператору по переводу денежных средств незаметно для пользователя и подтверждать через SMS эти операции также незаметно для пользователя.
В случае если пользователь составляет платёжное распоряжение на ПК, а подтверждает на мобильном телефоне через SMS, то 2 работающих в паре "трояна" (один – на ПК, второй – на мобильном телефоне) без труда могут аналогичным образом "увести" деньги пользователя.
Ввиду того, что на массовом рынке невозможно надёжно защитить компьютеры и мобильные устройства всех пользователей (антивирусы не панацея), большинство из них остаются под прицелом киберпреступников.
Для обеспечения надёжной защиты при безналичных платежах становится хорошей практикой выделять отдельную программно-аппаратную среду для визуального контроля и подтверждения платёжных распоряжений (далее – изолированная среда). Указанная среда должна иметь определенную степень изоляции от программной среды, в которой платёжное распоряжение составлялось.
В этом случае процесс выполнения безналичного платежа выглядит следующим образом:
1. Пользователь составляет платёжное распоряжение на ПК или в мобильном устройстве и даёт команду на его исполнение.
2. Оператор по переводу денежных средств, получив команду на исполнение, запрашивает от пользователя провести визуальный контроль реквизитов созданного им платёжного распоряжения и подтвердить свое намерение осуществить денежный перевод в изолированной среде.
3. Пользователь просматривает реквизиты в изолированной среде и там же подтверждает (либо отклоняет) выполнение операции.
4. Получив результат от изолированной среды, оператор по переводу денежных средств либо проводит операцию (если пользователь подтвердил ее), либо блокирует (если отклонил).
Требования к изолированной среде
Среда визуального контроля с подтверждением должна обеспечивать:
• отображение реквизитов платёжного распоряжения для их визуального контроля клиентом;
• возможность клиентом явно подтвердить или отклонить операцию перевода денежных средств в соответствии с отображёнными реквизитами;
• формирование аутентификатора от визуализированных и подтвержденных клиентом реквизитов платёжного распоряжения с использованием секрета, недоступного среде составления распоряжений;
• безопасную доверенную загрузку в себя (самостоятельную генерацию) секрета, с помощью которого должен формироваться аутентификатор;
• безопасное хранение этого секрета.
Оператор по переводу денежных средств должен в этом случае иметь возможность проверить аутентификатор, сформированный в изолированной среде конкретного пользователя, чтобы убедиться, что:
• аутентификатор в изолированной среде был сформирован именно тем пользователем, который составлял платёжное распоряжение (т.е. легальным клиентом);
• аутентификатор был сформирован именно от тех реквизитов, которые входят в состав составленного платёжного распоряжения;
• пользователь подтвердил операцию перевода денежных средств в соответствии с этими реквизитами.
Реализация возможности подтвердить безналичный платёж с использованием такой изолированной среды – это то, что нас ждёт в ближайшем будущем, и что станет привычной и неотъемлемой частью процедур подтверждения транзакций".