04.06.2015

Безопасность банковских приложений

Интернет-портал getmobian.com, июнь, 2015<br>
Экспертное мнение Николая Афанасьева, менеджера по развитию продукта компании "Аладдин Р.Д."
Согласно отчету State of Mobile App Security, банковские приложения больше всех подвержены хакерским атакам и чаще всего имеют незащищенный код. Удивительно, но факт. Это создает почву для самых разных видов мошенничества – от подмены приложения прямо в магазине до перехвата данных пользователя.

Мы поговорили с представителями банков и выяснили, почему так происходит, как это работает и что предпринять компаниям. Ну, и как защититься пользователям, конечно.

Интервью: Феликс Хачатрян


Феликс Хачатрян, сооснователь и управляющий директор Ubank


"Во-первых, если у на устройстве уже установлено какое-то приложение, то при обновлении из Google Play пользователь закачивает обновление именно этого приложения, а не что-то постороннее. Более того, нельзя разместить приложение с аналогичным package name — уникальным идентификатором приложения.

Во-вторых, действительно, любой человек может загрузить в магазин приложение, похожее на ваше. Оно может выглядеть и не как клон. Вам могут честно написать, что разработчик этого приложения кто-то другой, но подкупить вас тем, что данное приложение, например, бесплатно, в отличие от родного приложения вашего банка, или содержит какие-то дополнительные фишки, или что-то еще. К сожалению, тут сознательность должна идти от самого пользователя и разъяснительная работа со стороны банка.

Если речь идет о приложении — полном клоне, то тут важно для пользователя быть внимательным, смотреть на количество скачиваний, отзывы и на название разработчика приложения. Например, у Ubank больше 4 млн скачиваний, сотни положительных отзывов, и эту информацию не подделать.
Со стороны банков в любом случае важно всегда мониторить сторы на наличие таких мошеннических приложений и оперативно подавать жалобу в Appstore или Google Play".

Интервью: Николай Афанасьев


Николай Афанасьев, менеджер по развитию бизнеса компании "Аладдин Р.Д."

"В настоящее время мы можем наблюдать тенденцию увеличения доли безналичных платежей по сравнению с наличными. Очевидно, что такая тенденция в ближайшее время сохранится.
Это также не остается незамеченным для киберпреступников, которые крадут денежные средства физических и юридических лиц с различных электронных счетов и электронных кошельков.

Значительная часть краж денежных средств при безналичных платежах осуществляется с использованием специализированных "троянов", которыми заражаются ПК и мобильные устройства пользователей. Суть таких атак "троянов", как правило, сводится к тому, чтобы подменить реальные реквизиты платежей на подставные в ходе совершения платежа. Например, пользователь платежной системы при подготовке и подтверждении платёжного распоряжения может видеть на экране ПК или мобильного телефона те реквизиты, которые он сам указал, а "троян" в момент отправки такого распоряжения в платежную систему или банк может незаметно подменить реквизиты. В результате деньги "уйдут" на счёт киберпреступника.

Подтверждение с использованием одноразового пароля по SMS не спасает, так как мобильный телефон, как и ПК, может быть заражён "трояном", способным блокировать уведомление о поступлении SMS и отправлять SMS-самостоятельно от лица пользователя.
Если пользователь работает только через мобильный телефон, такой "троян" способен формировать поддельные платёжные распоряжения, отправлять их оператору по переводу денежных средств незаметно для пользователя и подтверждать через SMS эти операции также незаметно для пользователя.

В случае если пользователь составляет платёжное распоряжение на ПК, а подтверждает на мобильном телефоне через SMS, то 2 работающих в паре "трояна" (один – на ПК, второй – на мобильном телефоне) без труда могут аналогичным образом "увести" деньги пользователя.

Ввиду того, что на массовом рынке невозможно надёжно защитить компьютеры и мобильные устройства всех пользователей (антивирусы не панацея), большинство из них остаются под прицелом киберпреступников.

Для обеспечения надёжной защиты при безналичных платежах становится хорошей практикой выделять отдельную программно-аппаратную среду для визуального контроля и подтверждения платёжных распоряжений (далее – изолированная среда). Указанная среда должна иметь определенную степень изоляции от программной среды, в которой платёжное распоряжение составлялось.

В этом случае процесс выполнения безналичного платежа выглядит следующим образом:

1. Пользователь составляет платёжное распоряжение на ПК или в мобильном устройстве и даёт команду на его исполнение.
2. Оператор по переводу денежных средств, получив команду на исполнение, запрашивает от пользователя провести визуальный контроль реквизитов созданного им платёжного распоряжения и подтвердить свое намерение осуществить денежный перевод в изолированной среде.
3. Пользователь просматривает реквизиты в изолированной среде и там же подтверждает (либо отклоняет) выполнение операции.
4. Получив результат от изолированной среды, оператор по переводу денежных средств либо проводит операцию (если пользователь подтвердил ее), либо блокирует (если отклонил).

Требования к изолированной среде

Среда визуального контроля с подтверждением должна обеспечивать:
• отображение реквизитов платёжного распоряжения для их визуального контроля клиентом;
• возможность клиентом явно подтвердить или отклонить операцию перевода денежных средств в соответствии с отображёнными реквизитами;
• формирование аутентификатора от визуализированных и подтвержденных клиентом реквизитов платёжного распоряжения с использованием секрета, недоступного среде составления распоряжений;
• безопасную доверенную загрузку в себя (самостоятельную генерацию) секрета, с помощью которого должен формироваться аутентификатор;
• безопасное хранение этого секрета.

Оператор по переводу денежных средств должен в этом случае иметь возможность проверить аутентификатор, сформированный в изолированной среде конкретного пользователя, чтобы убедиться, что:

• аутентификатор в изолированной среде был сформирован именно тем пользователем, который составлял платёжное распоряжение (т.е. легальным клиентом);
• аутентификатор был сформирован именно от тех реквизитов, которые входят в состав составленного платёжного распоряжения;
• пользователь подтвердил операцию перевода денежных средств в соответствии с этими реквизитами.

Реализация возможности подтвердить безналичный платёж с использованием такой изолированной среды – это то, что нас ждёт в ближайшем будущем, и что станет привычной и неотъемлемой частью процедур подтверждения транзакций".