13.11.2010

Очень страшная осень

С комментарием Дениса Калемберга, руководителя направления по работе с финансовыми организациями компании «Аладдин Р.Д.»<br />
Леонид Чуриков, Banki.ru

Эта осень запомнилась появлением большого числа вредоносных программ, атаковавших банки. Не успели компании Group-IB и Eset отметиться сообщениями о расследовании инцидентов, связанных с атакой трояна Zeus, как антивирусная команда Игоря Данилова и компании «Доктор Веб» обнаружила другой банковский троян — Trojan.PWS.Multi.201. Почти одновременно специалистами был выявлен еще один вирус с красивым названием «Оригами», также «заточенный» под финансовые институты.

В кулуарах маркетологи антивирусных компаний нередко называют найденные конкурентами вирусы «баянами» и «пиаром». Чтобы разобраться с тем, чего же в нынешней пугающей осени больше — пиара или реальных угроз и как с ними бороться, обозреватель Банки.ру обратился к российским и зарубежным экспертам по безопасности.

Рик ФЕРГЮСОН (Rik Ferguson), старший советник по безопасности Trend Micro:

— Если говорить о «Зевсе» (Zeus), то эта программа постоянно и активно развивается начиная с 2006 года. Обнаруженная осенью «новая модификация» по сути ничем новым не является. Особенно если под модификацией понимать простое изменение направления атаки, в данном случае это банковские и другие финансовые структуры. Целевые веб-сайты контролируются «Зевсом» скорее посредством конфигурационного файла, нежели самим бот-кодом. Так что у каждого распространителя «Зевса» вполне может быть собственная цель — банки, интернет-магазины, социальные сети и т. д. Тем не менее по мере появления новых коммерческих целей и задач мы сталкиваемся с серьезными обновлениями функционала вредоносной программы. Дело в том, что авторы вируса заинтересованы в сохранении своих конкурентных преимуществ, пусть даже и незаконных. За последнее время мы обнаружили два наиболее серьезных проявления функиционала «Зевса». Одно направлено на мобильные устройства с намерением преодолеть многофакторную аутентификацию с использованием дополнительного канала связи. Другое представляет собой новый инфекционный программный компонент, известный под именем LICAT, созданный специально для того, чтобы увеличить время заражения жертвы.

Что касается Trojan.PWS.Multi.201, обнаруженного фирмой «Доктор Веб», то я ни разу не сталкивался с ним нигде, кроме как в пресс-релизах российской компании, и мне сложно что-либо прокомментировать.

По поводу Origami скажу, что описавшая этот вирус компания SecureWorks опубликовала прекрасный аналитический отчет. Из него совершенно ясно следует, что «вредонос» нацелен на российские и украинские жертвы. Несмотря на то что глобально Origami не представляет большой опасности и его распространение невелико, эта разработка — серьезный шаг для всей киберпреступности, поскольку дает понять, насколько смело готовы действовать мошенники на родных просторах.

Денис КАЛЕМБЕРГ, руководитель направления по работе с финансовым сектором компании «Аладдин Р. Д.»:

— Действительно, технологии воровства денег со счетов клиентов банков совершенствуются с пугающей скоростью. Совсем недавно атаки на системы дистанционного банковского обслуживания заключались в простом копировании файлов с ключами ЭЦП и последующем списании средств со счетов клиентов. Чтобы противостоять им, большинство крупных банков внедрили аппаратные криптосредства — токены или смарт-карты, которые не позволяют копировать ключевую информацию. Последняя версия Zeus направлена именно против них. Стоит добавить, что ни один из существующих на сегодняшний день методов защиты сам по себе не сможет существенно снизить риски пользователя, однако комбинация нескольких средств (ЭЦП на токене или смарт-карте + одноразовый пароль + антивирусное ПО + межсетевой экран) сделает задачу злоумышленников крайне трудновыполнимой. А остаточные риски, насколько мне известно, в ближайшем будущем можно будет страховать.

Антон РАЗУМОВ, консультант по безопасности Check Point Software Technologies в России и СНГ:

— Банковские вирусы, конечно, представляют определенную проблему для кредитных организаций, но защищать от атак необходимо не столько сервисы банков, сколько компьютеры рядовых пользователей. Я давно жду, когда банки перейдут на схемы работы с клиентами, где одной учетной записи недостаточно. Приведу примеры подобного обслуживания. ЮниКредит Банк предоставляет услугу по использованию скретч-карт. У вас есть возможность посмотреть остаток на счете, но для перевода денежных средств необходимо стереть защитный слой и ввести одноразовый пароль. В Ситибанке для того, чтобы завести нового получателя денежных средств, необходимо позвонить в банк и пройти голосовую авторизацию.

Отличным средством предупреждения вирусных атак служит применение технологий, где трансакции проводятся внутри защищенного виртуального рабочего стола; соответственно, у трояна типа Origami не получится украсть учетные данные пользователя. В этом случае, прежде чем позволить пользователю подключиться к банковским системам и даже ввести пароль, его компьютер должен быть просканирован на основные уязвимости (трояны, шпионское ПО, клавиатурные шпионы), наличие антивируса, актуальных антивирусных баз, обновлений операционной системы.

Еще более эффективно дополнение многофакторной аутентификации технологиями виртуализации, чтобы изолировать потенциально небезопасную операционную систему компьютера клиента от собственно банковских трансакций.

Есть решения, когда при входе в банковскую систему через обычный браузер на клиентском компьютере стартует среда ActiveX (технология, при помощи которой Internet Explorer использует другие приложения внутри себя. — Прим. ред.) или написанная на языке Java — и только отсюда возможно осуществить необходимые трансакции. При этом как канал доступа VPN, так и нажатие клавиш и даже изображение на экране существуют только в среде, изолированной от основной операционной системы. Шпионское ПО просто ничего не увидит, создастся впечатление, что клиент работает на другой, «чистой» машине.