28 февраля 2014
Информзащита: А мы пойдем на сервер!
По данным исследования, проведенного ведущей исследовательской компанией Aite Group, сегодня каждый день появляется 73 000 новых угроз. При этом 50% модификаций нового вредоносного ПО разрабатывается для компрометации сессий онлайн-банкинга.
Все давно привыкли к мысли, что банки не в состоянии противостоять киберпреступникам – сколько ни выстраивай линий обороны, враг все равно найдет дырку в заборе. И остается только удивляться виду банка, похожего на сыр маасдам. Причина проста – у банков никогда не будет столько денег на безопасность, сколько есть у преступного мира на разработку нового кибероружия. Каковы последние «сводки с фронта»? Что нового появилось в стане врага? И что могут противопоставить этому банки?
Смена вектора
Как констатирует генеральный директор компании Digital Security Илья Медведовский, в этом году произошло давно ожидаемое всеми смещение основного вектора атак с клиентов непосредственно на банки.
Почему это случилось? По мнению эксперта, как это ни парадоксально звучит, но причину можно поискать в том, что банки за несколько лет гораздо лучше научились бороться с фродом на стороне клиента. «Внедрение систем антифрода и взаимодействие банков в области фрода привело к тому, что преступникам стало гораздо сложнее атаковать клиентов. Поэтому вектор атак в этом году стал постепенно меняться, и злоумышленники все чаще стали атаковать системы ДБО», – комментирует Медведовский.
Этот факт подтверждают и сами банкиры. Как рассказывает заместитель директора по безопасности Банка «Открытие» Вячеслав Касимов, хотя его банк с этим пока и не сталкивался, но от весьма уважаемых организаций появилась информация об атаках на серверные части систем дистанционного банковского обслуживания. «Ущерб можно только оценивать, но при успешных атаках он может быть феноменален. Корректное реагирование на подобное – обеспечение адекватных зрелых и сильно технических аудитов серверных компонентов, более зрелое отношение к планированию систем защиты», – считает эксперт.
«В прошлом году банковским сообществом были зафиксированы случаи атак непосредственно на сами банки, когда мошенники проникали во внутреннюю сеть банка и получали доступ к его системам. В основном такие случаи касались небольших региональных банков, но были инциденты и в достаточно крупных многофилиальных банках. На данный момент кредитные организации, а также производители основных систем дистанционного банковского обслуживания уже сделали ряд шагов для повышения безопасности указанных систем как с точки зрения защиты клиента при его аутентификации в системе и при авторизации платежей, так и в плане мониторинга подозрительных платежей. Тем самым был повышен общий уровень защиты от мошеннических платежей, что затруднило деятельность преступного сообщества при атаке на самого клиента», – говорит заместитель руководителя службы информационной безопасности Промсвязьбанка Иван Янсон.
Эксперт затрудняется оценить размер ущерба от подобных атак, ведь информация об инцидентах не является публичной. Но новый тренд налицо – преступникам стала интересна не только клиентская, но и банковская сторона.
По мнению председателя правления Златкомбанка Алексея Шитова, ничего уникального киберпреступники за прошедший год не совершили и дальше банальных вирусных заражений клиентских компьютеров не ушли. «В этом случае клиент, к сожалению, учится на собственных ошибках – когда происходит инцидент, связанный со списанием денежных средств. По-прежнему наибольший ущерб от мошенничества получают юридические лица», – сообщает Шитов.
Независимый эксперт по информационной безопасности Евгений Царев тоже считает, что новых способов мошенничества в 2013 году не появилось, все методы и способы были отработаны злоумышленниками ранее. Однако Царев вынужден констатировать, что повысилась сложность атак и вывода денег. «Сегодня даже небольшие суммы, например в 100 тыс. рублей, могут быть в течение нескольких минут выведены на 3–4 разных счета, среди которых могут быть счета организаций, электронные кошельки и прочее. Такие атаки легче фиксировать, но сложнее остановить. Если в «межбанкинге» службы безопасности уже научились эффективно останавливать деньги при оперативной реакции клиента, то перевод в платежные системы электронных денег остановить сложнее, он может быть обналичен за несколько минут», – комментирует Царев.
По оценкам руководителя направления по работе с финансовым сектором компании Check Point Software Technologies Алексея Мездрикова, набор инструментов у преступников прежний. Как правило, это фальшивые сайты интернет-банков, когда мошенники создают поддельный сайт, с помощью которого собирают данные о доступе к банковским аккаунтам клиентов и переводят деньги на подставные счета.
Второй «воровской инструмент» – удаленное заражение клиентских компьютеров через фишинговые сайты или сайты, которые распространяют вредоносные программы, специальными троянами, которые перехватывают пароли для доступа в системы дистанционного банковского обслуживания. Аналогичным образом заражаются смартфоны, на которые присылаются SMS-сообщения с одноразовыми кодами банковской транзакции. По оценкам эксперта, эти две основные формы мошенничества базируются на известных и неизвестных уязвимостях браузеров, операционных систем клиентских компьютеров и мобильных телефонов.
Старший аудитор компании «Информзащита» Дмитрий Кудинов перечислил давно известные формы мошенничества, которые все еще приносят преступникам богатый урожай. Очень популярным остается фишинг и скимминг. Известен даже случай, когда злоумышленники получили доступ к данным банковской карты президента PayPal Дэвида Маркуса и украли с нее деньги.
Как рассказала менеджер по продажам HID Global в Восточной Европе Катажина Хоффманн-Селицка, в последнее время особенно востребованными в мошеннической среде становятся так называемые атаки «человек-в-браузере». И хотя это также не «новинка» среди угроз безопасности, однако этот тип атак встречается сегодня все чаще, принимая более изощренные формы.
«Злоумышленники могут без труда обойти двухфакторные системы безопасности последнего поколения, используемые в онлайн-банкинге. Суть подобных атак состоит в том, что при их реализации злоумышленники изменяют параметры транзакции в буквальном смысле на лету. Вредоносное программное обеспечение внедряется в клиентский Интернет-браузер и становится своего рода посредником между пользователем и веб-сайтом. Когда клиент начинает процесс перевода денежных средств, параметры транзакции за считанные секунды меняются так, как угодно мошеннику. При этом ни сам пользователь, ни антивирус не могут обнаружить проведение атаки», – рассказывает Хоффман-Селицка.
По оценкам эксперта, сегодня растет число изощренных атак с использованием социальной инженерии. К примеру, в последней версии трояна Citadel есть элементы, которых никогда ранее не видели в троянской программе – речь об инъекции в браузер, которая запускает поддельные всплывающие окна во время проведения транзакций онлайн-банкинга. Этот инструмент социальной инженерии обманывает пользователей и просит их повторно ввести логин и пароль в банковском аккаунте, а также установить приложение на мобильный телефон.
Ведущий аналитик группы компаний CUSTIS Алексей Зенин видит, что банки стали сталкиваться с новыми формами мошенничества, обусловленными широким распространением высокотехнологичных устройств. Достаточно вспомнить, как преступникам удалось обмануть банкоматы, оборудованные средствами автоматического приема купюр, поддельными банкнотами крупного номинала.
«С распространением смартфонов и внедрением банками смартфонных приложений для дистанционного обслуживания появились случаи кражи персональных данных и денежных средств с их использованием. Это обусловлено как наличием брешей в защите мобильных операционных систем и программ. Большинство пользователей не осознают, что смартфон может быть поражен вирусом так же легко, как и персональный компьютер. Антивирусы для смартфонов по этой причине еще недостаточно распространены», – говорит Зенин.
«В 2013 году наблюдалось увеличение числа переводов с помощью мобильного банкинга. В этой связи повышается актуальность ранее не таких популярных атак видов мошенничества. Зачастую злоумышленники используют несколько категорий атак, но в конечном счете их усилия направлены на одно: получение доступа к данным пользователей и увод средств со счета. Ведь при разработке мобильных приложений вопросы информационной безопасности решаются по остаточному принципу», – заявляет Дмитрий Кудинов.
«За прошедший год мы обнаружили несколько банковских вредоносных инструментов и вредоносных программ. Злоумышленники встраивают в них специальные схемы для обхода различных средств защиты, которые используются системами онлайн-банкинга. Сам код таких инструментов написан квалифицированными злоумышленниками, что видно при его анализе», – рассказал ведущий вирусный аналитик компании ESET Артем Баранов.
По словам эксперта, не так давно злоумышленники начали использовать практику, которая называется «веб-инжекты как услуга». Если в более устаревших банковских вредоносных программах автор сам отвечал за программирование соответствующих параметров веб-инжектов, которые используются для фактической кражи данных онлайн-банкинга через поддельные формы на соответствующих веб-сайтах, то сегодня авторы многих банковских вредоносных программ прибегают к помощи других киберпреступников. А они продают файлы с параметрами веб-инжектов, что позволяет авторам вредоносного кода сосредоточиться на сути вредоносной программы, переложив ответственность в разработке конкретной специфики самого веб-инжекта. Функции, выполняемые веб-инжектом, зависят от конкретного веб-сайта системы онлайн-банкинга, и он может выполнять как самые простейшие функции, например, копирование данных из полей формы в файл, так и сложные функции типа обхода двухфакторной аутентификации и автоматического снятия средств при получении доступа к аккаунту.
Директор по развитию компании «АМТ-групп» Илья Митричев считает, что тренд нескольких последних лент – смещение фокуса с «анонимных» атак типа фишинга к «персонализированным». Еще один интересный тренд – это рост популярности у злоумышленников атак «с ручным управлением», когда фродстер в режиме реального времени корректирует свои действия в зависимости от поведения жертвы.
«Мошенничество через ДБО для юридических лиц в последнее время осуществляется непосредственно с рабочего места клиента. Используется компьютер клиента, адреса клиента, браузер клиента, ключи клиента, рабочее время клиента – все обставлено так, как будто работал сам клиент со своего компьютера или мобильного устройства. Из экзотики перешли в «норму» мошеннические действия через реальные или фиктивные покупки в интернет-магазинах с оплатой с карт-счета. Что касается потерь, то, как правило, банки не раскрывают цифры. Но, видя, как финансовые учреждения все активнее и активнее внедряют системы защиты ДБО, логично предположить, что потери очень существенны», – комментирует Митричев. Эксперт рекомендует банкам строить модели типичного поведения пользователя и выявлять аномальные отклонения.
«Оценить общий объем хищений достаточно сложно, банки не готовы делиться информацией обо всех инцидентах, которые у них произошли. Но по косвенным признакам можно понять, что эти цифры велики. Так, в исследовании компании J’son & Partners Consulting сообщается, что оборот платежей в 2013-м году составляет 0,6 трлн. рублей, в течение ближайших четырех лет увеличится в три раза. По данным исследования Markswebb Rank & Report 15,7 млн. россиян пользуются услугами по дистанционному банковскому обслуживанию (ДБО), и их число с каждым годом растет. Как следствие, растет число мошеннических операций и суммы ущерба. По статистике ЦБ РФ, только за первое полугодие 2013-го года произошло около 10 тыс. инцидентов. Из них половина – это несанкционированные переводы денежных средств. Многие аналитики, в том числе эксперты FICO, прогнозируют рост мошеннических операций, совершенных через ДБО, на ежегодные 20%», – комментирует Дмитрий Кудинов («Информзащита»).
Ах, мошенники!
Эксперты поделились личными впечатлениями о том, какие случаи мошенничества в дистанционных системах произвели на их взгляд «фурор» в прошлом году.
Илья Митричев («АМТ-групп») привел в пример рассказ, который он услышал от работника банка. Звонит некто в банк оператору, обслуживающему систему безналичных переводов без открытия счета. Представляется администратором этой системы и говорит, что есть проблемы с переводами из вашего банка. Убедительно так говорит! Просит отправить тестовые платежи с маленькой и большой суммой, мол, это только тестовые, которые будут этим «администратором» удалены. На этот раз фокус не удался, оператор не поддался на уговоры, но такая осведомленность и наглость злоумышленника всем понравилась.
«Второй случай произошел с моим молодым знакомым. Человек собрался ехать в Питер и стал покупать билеты на сайте. После выбора билета и попытки оплатить картой система выдала сообщение, что осуществить платеж не удается, и предложила попробовать оплатить картой другого банка. Использование другой карты привело к успешному результату, и знакомый уехал в Питер. На следующий день он увидел, что на первой карте исчезли деньги. Оказалось, что не была подключена услуга получения SMS, не была задействована опция 3DSecure. А поспешность при покупке билета вряд ли позволила заметить подставной сайт. Последнее не удивляет, мало кто в реальной жизни при осуществлении покупки на ранее неизвестном или малоизвестном ресурсе отличит грамотно сделанный клон и заметит подмену DNS. Но вот такому наплевательскому отношению к основам безопасности я сначала удивился, а после проведения нескольких бесед с людьми студенческого возраста, сильно огорчился. Оказалось, такой подход к безопасности – реальность для большинства», – рассказывает Митричев.
Артема Баранова (ESET) больше всего потряс инцидент с компрометацией клиентов компании Target. Хотя это относится не к ДБО, а к POS-терминалам, количество потенциальных жертв исчисляется десятками миллионов пользователей. «Злоумышленники использовали вредоносную программу Win32/Spy.POSCardStealer для кражи данных с компьютеров, к которым подключены терминалы. Этот вредоносный код был установлен унифицированным способом на все компьютеры и мог получать доступ к данным магнитной полосы кредитной карты при проведении ее через терминал», – вспоминает Баранов.
Алексей Зенин (CUSTIS) не мог не вспомнить резонансное противостояние воронежца Дмитрия Алексеева и банка «Тинькофф Кредитные Системы». Как известно, Дмитрий воспользовался легкомысленным подходом банка к дистанционному привлечению клиентов. Получив пластиковую карту банка по почте, он не стал подписывать прилагаемый к ней договор. Вместо этого он направил в банк его скорректированную копию, в которой мелким шрифтом были переопределены основные условия: введена нулевая процентная ставка за пользование средствами, отменены комиссии, введен штраф за расторжение или изменение договора. Уполномоченный сотрудник банка подписал измененный договор, приняв его за типовую форму, что позволило Дмитрию не только воспользоваться кредитными средствами бесплатно, доказав свое право на это в суде, но и выставить банку претензию на 24 млн. рублей.
«Является ли поступок Дмитрия мошенничеством? Ответ на этот вопрос мог дать только суд, который не состоялся по причине примирения сторон. Однако и клиенты, и банки, несомненно, сделали из данного прецедента выводы. Каждая сторона – свои. В одном можно быть уверенными: этот случай точно не прошел бесследно», – комментирует Зенин.
Илья Медведовский (Digital Security) считает самой показательной недавнюю целевую атаку на ряд российских банков, когда через АБС с помощью специально разработанной боевой программы, которую эксперт называет самым натуральным кибероружием, была атакована АРМ КБР, отвечающая за связь с Центробанком, и были несанкционированно проведены платежи с корреспондентских счетов банков.
«Это, безусловно, новое слово в атаках на банки, и это, конечно, лишь первая ласточка. Важно понимать, чем грозит банкам этот новый вектор атак, и осознавать, что только одного пентеста ДБО банкам уже недостаточно для построения эффективной системы защиты. АБС – вот новая цель для атак. И во многом именно для защиты от таких атак и создавался новый стандарт ЦБ РФ», – предупреждает эксперт.
Этот же случай обеспокоил и Вячеслава Касимова («Открытие»).
Любимые грабли
Если преступники сменили вектор атаки с клиента на банк, означает ли это, что банковские клиенты стали хоть немного умнее, когда дело касается «гигиенического минимума» информационной безопасности?
Банкиры отмечают улучшения.
«Существенного роста не замечено, тем не менее некоторые «вспышки» осознания клиентами важности защиты своих устройств, используемых для работы в СДБО, лично меня не могут не радовать. И хотя атаки на клиентов до сих пор очень часты, но успешных атак стало меньше», – говорит Вячеслав Касимов («Открытие»).
«За последний год клиентская грамотность немного выросла, что подтверждается фактом сокращения инцидентов по хищению денежных средств у клиентов банка», – подтверждает директор департамента экономической и информационной защиты бизнеса Росгосстрахбанка Артем Гонта.
Однако эксперт признает, что и любимые старые грабли никуда не делись, и клиенты на них по-прежнему наступают. Среди них, к примеру, развитие вредоносного ПО, которое предоставляет возможность автоматизированной кражи секретной информации клиента, требуемой для входа и создания платежного поручения в системе ДБО, а также создание платежных поручений с подменой реквизитов.
По оценкам Ивана Янсона (Промсвязьбанк), клиентская грамотность повышается, и банки прилагают для этого много усилий. Не зря памятки пишут. «Кроме того, банки информируют клиентов о совершаемых операциях, о тех или иных событиях при работе в системе ДБО, внедряют новые или дополнительные средства авторизации платежей и аутентификации в системе. Все эти мероприятия прямо или опосредованно тоже повышают осведомленность клиента об угрозах, повышают его грамотность в области информационной безопасности», – говорит Янсон.
«В последний год банки стали уделять гораздо больше внимания информированию клиентов об угрозах. Оперативность реакции клиентов растет, хотя клиент по-прежнему остается самым слабым звеном. Классический пример вывода денег на мошенническую компанию и дальнейшее обналичивание с карт работает эффективно до сих пор», – комментирует Евгений Царев.
«Клиентская грамотность растет, но назвать текущую ситуацию беспроблемной нельзя. По нашей статистике 73% организаций проваливают тест на проникновение с использованием инструментов социальной инженерии. И это самое яркое свидетельство реального уровня информационной грамотности пользователей ДБО. Вместе с тем и сегодня можно услышать мнение, что мероприятия, направленные на повышение осведомленности пользователей «бесполезны» или «отталкивают клиентов, нагнетая обстановку вокруг темы мошенничества», – констатирует Дмитрий Кудинов («Информзащита»).
По мнению Катажины Хоффманн-Селицка (HID Global) большинство пользователей плохо разбираются в элементарных понятиях компьютерной безопасности. Статистика участившихся хакерских атак на системы интернет-банкинга и мобильные транзакции говорит об этом недвусмысленно. Нет моды расплачиваться за покупки в Интернете отдельной картой, на которой никогда не лежат крупные суммы. Зато есть мода инсталлировать на свой смартфон что ни попадя.
«В связи с этим банкам предстоит еще многое сделать для повышения информированности клиентов и формирования «культуры» ДБО, чтобы снизить риски и не допустить хищения финансовых средств при выполнении мобильных и интернет-платежей. Кроме того, для того чтобы безопасность онлайн-транзакций поднялась на требуемый уровень, необходимо, чтобы не только банки, но и сами клиенты, уделяли должное внимание вопросам защиты платежей», – считает Хоффман-Селицка.
«Нельзя не отметить, что физические лица – потребители стали более осторожными и уже не верят слепо странным SMS-сообщениям о «проблемах» с их картой, пришедшим с незнакомого номера. Этому способствует разъяснительная работа, которую банки проводят не только на своих сайтах, но и на тематических форумах и даже в соцсетях», – признает Алексей Зенин (CUSTIS).
Однако Артему Баранову (ESET) трудно давать однозначные оценки. Эксперт видит, что среди опытных пользователей «гигиенический минимум» информационной безопасности растет. Но в то же время быстро увеличивается количество новых пользователей, пробующих дистанционные банковские услуги, и при этом уровень их грамотности весьма скромен. «Можно утверждать, что пока пользователь не столкнется напрямую со случаем мошенничества с ДБО или иного рода, он может не задуматься о своей безопасности», – заявляет Баранов.
Илья Митричев («АМТ-групп») тоже считает, что грамотность клиента по линии информационной безопасности не изменилась. При этом, чем дальше от центров цивилизации, тем выше вероятность, что на компьютере клиента стоит ломанная необновляемая операционная система и «левый» антивирус. Или его нет вообще. Ну и бич даже «продвинутых» пользователей – зараженный смартфон.
«Основной аргумент владельца смартфона – у меня там мало денег, пусть ломают! Приходится доказывать, что злоумышленнику достаточно иметь доступ в чужой интернет-банк, чтобы использовать его для транзитных мошеннических операций. Выручают рекомендации установить DrWeb Lite, а правка файл hosts для блокировки сайтов с рекламой иногда не хуже антивируса спасает», – говорит Митричев.
Эксперт также отмечает, что с увеличением доли молодежи среди клиентов банков грамотность по информационной безопасности несколько снизилась, поскольку у молодых приоритет отдается простоте получения услуги, а не безопасности. А привычка использовать одновременно несколько социальных сетей, бесплатных файлообменников, ставить приложения неизвестного авторства, по мнению Митричева, превращает большинство клиентов в бесплатный полигон для отладки мошеннических действий или ресурс для осуществления атаки. При всем этом именно у молодежи желание осуществлять мелкие оплаты на самых различных сервисных сайтах непреодолимо развито и продолжает развиваться.
Илья Медведовский (Digital Security) также полагает, что банки давно поняли, что пытаться повышать грамотность клиента – задача, безусловно, правильная и нужная, но совершенно бесполезная. Хороший мошенник или, как это принято говорить в среде хакеров, социальный инженер, всегда придумает ту или иную новую успешную схему. Поэтому, по мнению эксперта, гораздо эффективнее в данном случае не «воспитывать» клиента, а внедрять системы антифрода на стороне банка и обеспечивать хорошее взаимодействие служб безопасности различных банков.
«В частности, давно и успешно функционирует клуб «Антидроп», который объединяет уже более 500 банков. Все это серьезно усложняет для мошенников реализацию атак, направленных на клиентскую сторону», – говорит Медведовский.
Чужой кошелек
По-прежнему наибольший ущерб от мошеннических действий несут клиенты – юридические лица. И хотя «смена приоритетов» у преступников не произошла, и грабить предприятия выгоднее, банкиры обращают внимание на то, что и физические лица входят в группу риска.
По мнению Ивана Янсона (Промсвязьбанк), приоритеты преступников зависят от того, насколько легко совершить вывод средств. Так что легкость совершения преступления зависит от степени защищенности клиента. Клиент – физическое лицо, как правило, защищен меньше, чем юридическое лицо (особенно, если мы делаем сравнение с крупными корпоративными клиентами), но это соотношение защищенности не является одинаковым во всех случаях. Также влияет на интерес мошенников размер похищаемых средств. Несколько лет назад уровень защищенности и юрлиц, и физлиц был одинаково низким, соответственно, атаки сначала были нацелены на первых. Постепенно уровень защищенности юрлиц был повышен как силами кредитных организаций, так и силами производителей систем ДБО. Поэтому сейчас имеет место тенденция на увеличение интереса мошенников к физлицам», – признает Янсон.
«До середины «нулевых» крупный куш было проще всего сорвать, украв криптоключи к банку – клиенту юридического лица. У подавляющего числа «физиков» было нечего взять: кредитки и интернет-банк не были распространены, а с зарплатных карт подавляющее большинство выводило деньги в день зарплаты. Сейчас все иначе: «пластик» и средства удаленного доступа к счету получили широкое распространение и заслуженную любовь всех слоев населения. Сегодня физические лица более привлекательны для мошенников в силу своей более слабой, по сравнению с «юриками», осведомленности о необходимых мерах финансовой безопасности», – считает Алексей Зенин (CUSTIS).
Артем Баранов (ESET) также отмечает интерес злоумышленников к счетам физических лиц. «Фиксируемые нами банковские вредоносные программы используются злоумышленниками для кражи средств у домашних пользователей», – говорит эксперт.
Вячеслав Касимов («Открытие») считает, что клиенты-«физики» более заинтересованы в собственной безопасности, да и банки, как ни странно, умеют в отношении физических лиц выстраивать процессы защиты удачнее. По мнению эксперта, это, как правило, связано с наличием у клиентов – физических лиц поистине личных сотовых, которые очень просто и удобно использовать для двухфакторной аутентификации.
«Воровать у физических лиц невыгодно и неудобно. Значительно проще выводить деньги со счетов юрлиц. Причина прежняя – со счета физлица можно в среднем вывести от нескольких тысяч рублей до нескольких десятков тысяч рублей, а со счета юрлица при сопоставимых затратах времени и денег можно вывести несколько миллионов. Поэтому вектор на юрлиц неизменен», – говорит Евгений Царев.
«Наибольший ущерб от мошенничества в ДБО продолжают испытывать клиенты – юридические лица. Это порой связано с компьютерной безграмотностью самого клиента или недобросовестным выполнением своего функционала сторонних специалистов, привлеченных для сопровождения ПО у клиента. Также многие клиенты не понимают всей важности предъявляемых требований по обеспечению безопасности компьютеров, на которых производится работа в системе ДБО», – говорит Артем Гонта (Росгосстрахбанк).
Илья Митричев (АМТ-групп) назвал несколько причин, почему вектор пока не меняется. Во-первых, денег у юридических лиц больше. Во-вторых, авторизация платежей немного упрощена, так как на 50 и более платежей, которые сделает бухгалтер за час, не наприсылаешься SMS с одноразовым паролем. Обычно ответственное лицо клиента подписывает платежи «пачкой» или в виде реестра без полноценного визуального контроля каждого реквизита. Это дает злоумышленнику дополнительные «точки приложения усилий», например, искажение данных до или в момент заверения документа в системе.
Илья Медведовский (Digital Security) увидел новую угрозу. «До недавнего времени было гораздо легче и выгоднее ограбить клиента – юридическое лицо. Но и профит гораздо меньше, чем при прямой атаке на банк. Практика показывает, что, учитывая крайне низкий уровень защищенности подавляющего большинства российских ДБО и АБС, сегодня организация целевой атаки на банк не представляет для злоумышленников серьезной проблемы. А профит от такой атаки не сравнить», – предостерегает эксперт.
Ставь щиты!
Какие средства информационной защиты банки планируют развивать? Во что они будут вкладываться в этом году?
По мнению Ильи Митричева («АМТ-групп»), банки будут постепенно отказываться от «клиентских» средств защиты типа аппаратных токенов и переходить к централизованным решениям. А также повсеместно начнут использовать поведенческие алгоритмы и самообучающиеся системы для детектирования работы фродстеров в каналах дистанционного обслуживания.
«Также прослеживается тенденция развития организационных и юридических мер защиты. Как ранее искали способ защититься от клиентских претензий, так и ищут. В некоторых случаях это оправданно, ведь клиент безответственно подходит к использованию системы ДБО. А в программное обеспечение вкладывают согласно наличию денег», – комментирует Митричев.
Вячеслав Касимов («Открытие») рассказал, что вектор развития банковских систем безопасности немного скорректировался в сторону обеспечения качественного противодействия атакам на приложения (IPS) и контроля целостности. «Постоянное развитие имеют процессы аутентификации пользователей и платежей, а также фрод-мониторинга. Все новинки завязываются на аутентификацию и реализуются как программные токены, либо использование параметров, которые можно получить от операторов сотовой связи, способных дополнительно удостоверить принадлежность сотового телефона клиенту, либо различные варианты аутентификации на базе EMV/CAP в СДБО», – говорит Касимов.
По оценкам Алексея Зенина (CUSTIS), все большее распространение получают методы двухфакторной авторизации. «Если раньше для предотвращения несанкционированного доступа достаточно было использовать сложный пароль, то сегодня такие действия уже не могут гарантировать безопасность. Подобная авторизация только по одному фактору стала ненадежной из-за распространения шпионских средств, которые с легкостью «крадут» даже сложные пароли. Другими перспективными методами дополнительного подтверждения личности являются специализированные программы для смартфонов или специальные электронные устройства, генерирующие одноразовые коды», – говорит эксперт.
Иван Янсон (Промсвязьбанк) – за комплексную защиту. По его словам, одно из активно развивающихся направлений – внедрение промышленных антифродсистем. Эксперт рассказывает, что большинство кредитных организаций уже использовали те или иные средства мониторинга платежей, но в основном это были «самописные» системы, созданные силами собственных штатных IT-специалистов. Теперь их недостаточно.
«Для повышения уровня защиты желательно внедрять промышленные решения, так как в них используются более совершенные технологии и аккумулируется совместный опыт пользователей таких систем. Их использование позволяет повысить эффективность противодействия мошенничеству, снизить операционные расходы на контроль подозрительных платежей, сделать мониторинг более прозрачным для клиента», – полагает Янсон.
«Системы ДБО планово обновляются стандартными патчами от разработчика, которые содержат в себе некоторые доработки по безопасности, сильно распространяться о которых, по понятным причинам, они не желают», – прокомментировал Артем Гонта (Росгосстрахбанк).
«Если мы расскажем, кто что будет развивать, мы таким образом расскажем злоумышленникам, «где копать». Поэтому никто из банков детально не расскажет, какие средства информационной защиты они планируют внедрять. В общих словах – это антифрод-системы, которые отслеживают нетипичное поведение клиентов, движения по счетам, а в случае выявления подозрительных случаев, блокируют денежные средства. Конечно же, останутся актуальными средства противодействия DDoS-атакам», – прокомментировал Алексей Мездриков (Check Point Software Technologies).
Из новинок рынка эксперт отметил технологию «эмуляции угроз» – это защита корпоративных систем организаций от уязвимостей нулевого дня и неизвестных угроз. Антивирусы, как правило, защищают только от известных угроз. Новое решение мгновенно инспектирует подозрительные файлы и эмулирует их запуск в специальной «песочнице», чтобы выявить потенциально вредоносное поведение. Так, в виртуальной среде открываются и просматриваются в режиме реального времени, например, почтовые сообщения с вложениями, и только потом принимается решение, пропускать ли их далее. Еще одна новая технология, которая будет предоставляться как услуга – безопасность в облаке. Это новинки, которые, по мнению Мездрикова, можно применять и в банковской сфере.
«Если сегодня в качестве второго фактора уже применяются токены, смарт-карты, софт-токены, устанавливаемые на смартфон, то уже в этом году, по нашим оценкам, компании начнут осваивать многоступенчатые процедуры идентификации, внедряя пять уровней защиты. Это не только аутентификация пользователя, но и аутентификация устройства, канала связи, подпись транзакции и аутентификация приложения. Такой подход позволит построить достаточно мощную систему безопасности, где методы аутентификации можно будет использовать в зависимости от группы пользователей, а также от степени риска транзакции», – считает Катажина Хоффманн-Селицка (HID Global).
«Своим клиентам мы предлагаем защищенное SSL-соединение, обеспечивающее конфиденциальность передаваемой информации, одноразовые пароли, которые можно получить на карт-ридере или посредством sms-уведомлений, а также оповещения о проведении активных операций, изменении персональных данных в системе через электронную почту клиента и по sms.
В новом мобильном приложении R-Mobile используется современный и безопасный способ подтверждения операций с помощью push-сообщений. Райффайзенбанк первым на российском рынке реализовал данную технологию в мобильном банке. С новой технологией клиентам больше не потребуется вручную вводить одноразовый sms-пароль. Теперь достаточно просто кликнуть на поступившее push-сообщение, и данные будут автоматически внесены в необходимые поля.
Push-сообщения могут быть получены только на мобильное устройство клиента, на котором было запущено приложение R-Mobile, в котором производится подтверждаемая операция. Такой способ получения одноразовых паролей надежнее sms», – рассказала начальник развития альтернативных каналов продаж Райффайзенбанка Наталия Масарская.
Илья Медведовский (Digital Security) считает, что банкам следует обратить внимание на процессы и стандарты Центробанка. Весь прошлый год, понимая возрастающий уровень угрозы для коммерческих банков, регулятор с помощью нескольких компаний – технических экспертов активно занимался разработкой стандарта безопасности банковских приложений на всех этапах жизненного цикла.
«Сейчас этот стандарт был предварительно принят на прошедшем недавно в ЦБ РФ заседании ТК 122, в котором мы также принимали участие как его постоянные члены, и, по оценкам ЦБ РФ, будет после небольших уточнений введен в самое ближайшее время. Данный технический стандарт является сугубо практическим; в нем рассматривается жизненный цикл любого приложения, и на каждом этапе «жизни» приложения предусмотрены различные контрольные механизмы от анализа архитектуры, исходного кода, до пентестов. Его главная цель – повысить реальный уровень защищенности организаций банковской сферы», – рассказал Медведовский.
По оценкам Евгения Царева, очень многое изменилось с правовой точки зрения – вступила в силу «девятая статья», об которую в течение нескольких лет банки обломали все копья. Сегодня банкам приходится серьезнее работать с пострадавшими клиентами, просто так от них уже не отмахнешься, особенно если клиент юридически подкован. Поэтому банки охотнее идут на переговоры.