Против лома есть приёмы

Cистема "Клиент-Банк" представляет собой разработанный банком или сторонними вендорами online-сервис или отдельный программный ком­плекс, который даёт возможность пользователю дистанционно взаимо­действовать с кредитной организа­цией посредством компьютера или телефона. Функциональность данного online-сервиса очень заманчива для клиентов финансовых учреждений, однако она таит в себе и ряд опасно­стей, связанных прежде всего с уязви­мостью удалённых каналов обслужи­вания, проще говоря, с рисками поль­зования Интернетом.

В настоящее время существуют несколь­ко видов атак на системы "Клиент-Банк". Стоит уделить внимание самым распространенным из них.

Сленговое слово "фишинг" озна­чает получение злоумышленниками информации, которую клиент добро­вольно предоставляет о себе (напри­мер, номер кредитной карты, пароль и т.д.). Как правило, клиенту банка направляется   тщательно составлен­ное письмо якобы от имени службы технической поддержки, содержащее просьбу о предоставлении конфиден­циальных данных. Нередко подобные запросы объясняются проведением технических работ на сервере.

Даже такая высокотехнологичная система, как "Клиент-Банк", может быть атакована с помощью психоло­гических приёмов. Речь идет о соци­альной инженерии. Подобный способ имеет место, когда жертва работает в крупной компании, знать всех сотруд­ников   которой   невозможно. Этим часто пользуется взломщик: получив данные инвентаризации, злоумыш­ленник может связаться с сотрудни­ком фирмы от имени администратора и запросить у него пароль или иные конфиденциальные сведения. Отсут­ствие визуального контакта, тонкие психологические уловки зачастую не оставляют шанса вовремя распознать обман.

Вирусные атаки - один из самых старых и распространенных способов посягательства на чужой компьютер. В целях кражи денег с банковского счёта вирусная программа способна похищать конфиденциальную инфор­мацию пользователя (в том числе па­роли к интернет-банку), шпионить за клиентом, накапливая и передавая важные данные злоумышленникам. Также вирусная программа способна перенаправлять пользователя на под­ложные сайты, специально созданные мошенниками. Наиболее распростра­нённый вид вирусов, разработанных и используемых для этих целей, - раз­личные модификации троянов.

Один из самых сложных неза­конных способов доступа к систе­ме "Клиент-Банк" осуществляется с помощью ложного DNS-сервера (Dummy DNS Server). Это становит­ся возможным, когда настройки сети осуществляются в автоматическом ре­жиме. При этом компьютер, включа­емый в сеть, делает запрос через от­правку широковещательного пакета, пытаясь выяснить, кто выступит в ка­честве его DNS-сервера. Последний ищется для того, чтобы компьютер мог отправлять ему DNS-запросы.

Широковещательные запросы мо­гут перехватываться злоумышленни­ками, которые имеют физический до­ступ к сети. При этом взломщик вы­дает свой компьютер за DNS-сервер и таким образом получает возмож­ность направлять ничего не подозре­вающего пользователя по необходи­мому маршруту.

Система "Клиент-Банк" может быть взломана с помощью установки шпионского программного обеспече­ния на смартфон или компьютер, при этом ПО тщательно маскируется под реальное приложение от банка. Поль­зователь вводит в приложении-кло­не пароль, который перехватывается злоумышленником. Риску в данном случае подвергаются как постоянный, так и разовые пароли, высылаемые с помощью SMS-сообщений. Интерфейс шпионского программного обеспече­ния практически неотличим от ориги­нального банковского.

Начальник управления ИТ бюро кредитных решений банка "Пойдём!" Максим Бабенко рассказывает: "В на­шем банке используются различные специализированные системы по об­наружению и предотвращению атак шпионского ПО, которые подтвердили свою высокую эффективность. Но по­мимо технических средств защиты в "Пойдём!" большое значение уделяет­ся архитектуре всех производственных систем и рабочих процессов, посколь­ку их влияние на снижение риска не­санкционированного доступа к счетам клиентов исключительно велико".

Существуют как элементарные, так и довольно сложные рекоменда­ции, знание которых поможет убе­речь пользователя от взлома систе­мы "Клиент-Банк". Нужно избегать передачи любой конфиденциальной информации третьим лицам. Важно помнить, что администратор не должен запрашивать у вас пароль - у него есть возможность получить полный доступ к системе без посторонней помощи. Выписанные на бумагу данные автори­зации в системе "Клиент-Банк" долж­ны быть надёжно спрятаны от чужих глаз. Желательно не допускать к сети посторонних лиц.

Вице-президент Уральского бан­ка реконструкции и развития Юрий Миронов предостерегает: "Нельзя за­бывать о том, что в 99% случаев атаки совершаются не на ПО интернет-бан­ка, а на рабочие места пользователей, то есть на их персональные компьюте­ры. Банк постоянно заботится о своих клиентах в данном направлении, вот и в 2014 году, продолжая эту работу, УБРиР начнёт предоставлять новое программное решение, позволяющее безопасно работать в интернет-бан­ке. Ведь мы учитываем, что рабо­чие места пользователей могут быть уязвимы, и помогаем клиентам сделать их безопасными".

Выбирая антивирусное программ­ное обеспечение, следует обращать внимание не только на широко извест­ные продукты, такие как Eset NOD32, антивирус Касперского, Dr.Web. По словам экспертов, весьма эффективно использование разработок, которые способны проверять реестр. Речь идет о таких антивирусах, как Spybot, Ad-Aware, XSpy.

Использование системы "Клиент-Банк" иногда предполагает наличие у клиента цифрового криптографи­ческого ключа для генерации элек­тронно-цифровой подписи, который нередко помещается на внешний носи­тель. Как правило, банки предлагают устройства eToken, Rutoken или Touch Memory. Необходимо оставлять их в компьютере лишь до тех пор, пока совершается банковская операция. В противном случае может произойти так называемая компрометация ключа (доступ к нему получает третье недо­бросовестное лицо).

В целях безопасности операций, проводимых через систему "Клиент-Банк", на компьютере должен быть установлен межсетевой экран (бранд­мауэр, фаервол), который будет пре­пятствовать атакам вирусов и шпи­онских ПО через незанятые порты. Важно соблюдать осторожность при работе с системой "Клиент-Банк" на компьютерах общего пользования - взаимодействовать с программой толь­ко через режим просмотра.

Наиболее прогрессивным на сегод­няшний день методом борьбы со взло­мом системы "Клиент-Банк" является генерирование одноразовых паролей. Каждый сеанс входа в систему и про­ведения операции сопровождается от­правкой сообщения с новой комбина­цией символов.

Существуют так называемые зара­нее сгенерированные одноразовые па­роли, их в большом количестве поме­щают на материальный носитель, после чего передают в пользование клиенту. При необходимости с очередного паро­ля стирается защитное покрытие (если речь идет о карте) либо вскрывается ПИН-конверт, после чего данные вво­дятся для авторизации в системе. Так как те же самые пароли хранятся на сервере банка, клиент беспрепятствен­но пользуется услугами организации дистанционно.

Динамически генерируемые паро­ли, в отличие от заранее сгенериро­ванных, высылаются клиенту непо­средственно перед входом в систему "Клиент-Банк". Каналы отправки мо­гут варьироваться: почта, мобильный телефон, банкомат в равной степени выполняют функцию передачи сообще­ния от банка пользователю. Подобный способ исключает вероятность поте­ри карты или конверта с паролем, но делает данные более уязвимыми для мошенников в сети: информация может быть украдена.

Тем не менее данный способ за­щиты успешно применяется многи­ми российскими банками. Максим Бабенко (банк "Пойдём!") рассказал о защите системы "Клиент-Банк" в кредитной организации: "Безопас­ность работы системы обеспечива­ется на стороне компании Faktura.ru высоким уровнем защищённости от вмешательства третьих лиц. Обмен информацией производится по за­щищённым каналам связи с исполь­зованием специального протокола. Безопасность на стороне клиента обе­спечивается применением двухфакторной авторизации с использованием динамических паролей. Для входа в систему клиенту дополнительно не­обходимо ввести пароль, который динамически генерируется и отправ­ляется посредством SMS-сообщений. Аналогичным способом необходимо подтверждать и совершение операций по счёту".

Эксперты ХКФ Банка также отда­ют предпочтение динамически гене­рируемым паролям: "Для обеспечения надлежащего уровня безопасности ис­пользуется виртуальная клавиатура и специальные проверочные символы (CAPTCHA). Для совершения опера­ций в интернет-банке используется несколько уровней идентификации, каждая операция совершается с по­мощью отдельного SMS-кода. Клиен­ты могут самостоятельно настраивать уровень безопасности. У них есть воз­можность установить вход в интернет-банк по одноразовому паролю, не до­пуская вероятности получения ин­формации по своим счетам третьими лицами".

В наши дни также используют­ся устройства, предназначенные для генерирования паролей для входа в систему "Клиент-Банк". Они, как пра­вило, невелики по размеру и просты в применении. Одноразовый пароль генерируется при нажатии специаль­ной клавиши. Пароль активен не более одной минуты, его создание не зависит от Интернета, а само устройство жест­ко привязано к своему владельцу, бла­годаря чему вероятность атаки зло­умышленника сводится к минимуму.

Безусловно, предупредить совер­шение преступления легче, чем его раскрыть. Но как поступают банки в случаях, когда кражи все-таки проис­ходят? Имеет место целый комплекс мер, помогающих раскрыть престу­пление. "Но если такое событие всё же произойдет (кража денег у клиен­та - прим. ред.), и клиент обратится в банк с информацией о том, что его средства были похищены со счёта, или человек обнаружит попытку несанк­ционированного доступа к его счёту в интернет-банке, или банковская антифродовая система выявит попытку мо­шенничества, то мы незамедлительно блокируем доступ к счетам клиента через интернет-банк и связываемся с банком-получателем для блокировки денежных средств", - комментирует Юрий Миронов (УБРиР). После этого, по словам специалиста, проводится индивидуальная работа с клиентом, предоставляются материалы служеб­ного расследования по факту инциден­та. При необходимости эксперты банка помогают пострадавшему от действий злоумышленников клиенту подгото­вить заявления в правоохранительные органы, в судебные инстанции, иско­вое заявление о возврате похищенных средств.

Эксперты банков признают: иде­ального способа защиты от посяга­тельств злоумышленников на средства банковских клиентов на сегодняшний день не существует. В значительной степени сотрудникам отделов безопас­ности финансово-кредитных органи­заций помогает сочетание тех или иных современных методов.

Мнение эксперта

Сергей КОТОВ, эксперт по информационной безопасности компании "Аладдин Р.Д."

Современные атаки на системы типа "Банк-Клиент" стано­вятся более ухищрёнными. Злоумышленник быстро адапти­руется к современным средствам защиты, и банкам прихо­дится держать руку на пульсе, отслеживая новинки в сфере безопасности. Сейчас актуальной становится угроза подме­ны подписываемых документов (платёжных поручений) в систе­мах типа "Банк-Клиент".

Компания "Аладдин Р.Д." представила рынку новое реше­ние в сфере обеспечения безопасности при работе в системе "Банк-Клиент" в недоверенной среде (на любом компьютере).

"Антифрод-терминал" предназначен для защиты от боль­шинства известных атак в системах типа "Банк-Клиент", та­ких как удалённое управление компьютером и атаки с под­меной подписываемых документов. "Антифрод-терминал" может в безопасной среде подписывать как одиночные, так и групповые документы (платёжные поручения, работа с белы­ми списками), отображая подписываемые данные на своем мониторе.

Особенностью "Антифрод-терминала" является ведение журнала операций, в котором фиксируются все действия кли­ента и который может служить доказательной базой при рас­следовании инцидентов (ст. 9 закона о НС).