В последнее время значительно увеличилось количество атак со стороны хакеров на системы "Клиент-банк" с целью воровства денег со счетов клиентов.
Естественно, из соображений конфиденциальности, очень малая доля таких случаев получает общественную огласку. Одну из немногих публикаций на данную тему предоставляет газета Деловая столица (http://www.depo.ua/ru/delovaja-stolica/2012_arhiv-nomerov-ds/oktjabr_2012/40-594/) (ссылаясь на заявление МВД), выдержки из которой приведены далее.
В Министерстве говорят, что за январь-август 2012 года в их подразделение по борьбе с киберпреступностью поступило 40 заявлений от субъектов предпринимательской деятельности, жаловавшихся на взлом систем "клиент-банк".
Правоохранителям удалось предупредить 15 фактов завладения средствами компаний на сумму 30 млн грн.
По оценкам ПАО «АКТАБАНК», на самом деле случаев воровства денег со счетов в Украине значительно больше.
Если клиент оперативно замечает воровство денег и сразу же сообщает об этом банку, в значительной части таких случаев удается перехватить несанкционированный платеж, даже вернуть деньги со счетов в другом банке, куда их перечислили злоумышленники и не успели ими воспользоваться.
Однако если время упущено вместе с возможностью найти деньги «по горячим» следам, ситуация намного сложнее. К сожалению, мошенники научились заметать следы, и финансисты все чаще прибегают к помощи силовых структур.
Наиболее распространенные способы получения доступу к чужому Клиент-банку, которыми пользуются хакеры:
– фишинг: «выуживание» под благовидным предлогом у клиентов информации, необходимой для входа в систему «Клиент-банк». Хакер рассылает на e-mail клиентов письма с просьбой ответить на некоторые вопросы (например, ПИН-код, номер карты, одноразовый пароль и т. д.). Доверчивые клиенты отвечают на такие письма, своими руками предоставляя злоумышленникам всю информацию, необходимую для входа в систему «Клиент-банк».
– физическое хищение паролей и кодов доступа к "клиент-банку" у компаний посторонними посетителями офисов;
– внедрение вредоносной программы (вируса) на компьютер пользователя системы «Клиент-банк», которая перехватывает и передает разработчику вируса информацию, необходимую для входа в Клиент-банк (ключи, пароли и т.п.). Технически способ довольно сложный, но при отсутствии на компьютере пользователя регулярно обновляемой антивирусной защиты, задача для хакеров существенно облегчается;
– удаленный доступ к компьютеру, с которого клиент входит в систему «Клиент-банк». Способ в целом похож на предыдущий, но предполагает, что злоумышленник через интернет заходит на компьютер пользователя, и далее может отслеживать действия пользователя, считывать любые ключи и пароли (в т.ч. с подключенных к компьютеру флешек, токенов и прочих устройств идентификации), запускать от имени пользователя любые программы и осуществлять любые действия на компьютере, в т.ч. входить в систему «Клиент-банк».
Действенным способом защиты от подобных действия является ограничение функциональности подключения к интернет на компьютере пользователя, установка межсетевых экранов, брандмауэра и т.п.; разумная настройка политик безопасности на компьютерах пользователя и т.п. Однако, к сожалению, на практике это не всегда выполняется.
Последним двум способам также подвержены клиенты, которые пользуются системой Клиент-банк с чужих компьютеров, с общественных мест (интернет-кафе и т.п.).
Основные методы защиты от указанных способов несанкционированного входа в систему «Клиент-банк»:
– использование различных систем мгновенного сообщения о проведенных по счету операциях (например, мгновенные SMS-сообщения по всем или по крупным операциям по счету). Как уже отмечалось, возможность вернуть украденные со счета деньги тем больше, чем раньше клиент сообщит в банк о подозрительной операции;
– надежное хранение паролей, ключей и т.п. (не записывать пароли в легкодоступных местах, на общих дисках, флешках и т.п.);
– флешки с ключами,USB – устройства идентификации (токены, персональные ключи и т.п.) должны подключаться к компьютеру только во время работы системы Клиент-банк. При отсутствии необходимости работы с системой, такие устройства должны извлекаться из компьютера;
– установка на компьютер пользователя систем антивирусной защиты, ограничение доступов, установка межсетевых экранов в подключении к сети Интернет на компьютерах пользователей;
– по возможности использование на общественных компьютерах только «облегченной» версии Клиент-банка, работающей только в режиме просмотра;
– использование различных технических средств идентификации: токены, ключи USB и т.п. Эти устройства сами по себе не дают 100%-й защиты, но в совокупности с иными средствами существенно повышают степень защиты.
Однако, при всей своей эффективности, данные методы носят «статический» характер – использование этих средств одинаково в течение длительного периода времени – у злоумышленника есть много времени, чтобы найти все же уязвимые места системы и подобрать метод обхода защиты. В т.ч. найти, «выудить», считать пароли, которые действуют месяцы, а то и годы.
Поэтому на сегодняшний день более надежными средствами дополнительной защиты являются динамические методы, которые предоставляют изменяемую во времени защиту, и таким образом лишают злоумышленников времени, необходимого для поиска метода взлома.
Наиболее распространенными на сегодняшний день являются системы одноразовых паролей, которые меняют пароль доступа к системе «Клиент-банк» при каждой операции доступа к системе:
– заранее сгенерированные одноразовые пароли, предоставленные клиенту на бумажных или иных носителях;
– динамически генерируемые одноразовые пароли, предоставленные по почте, через смс, через банкомат и т.п. непосредственно перед проведением операции в системе «Клиент-банк»;
– одноразовые пароли, которые генерируются независимыми устройствами, которые никак физически не связаны с компьютером и сетью интернет (устройства OTP-токен (One Time Password); устройства DiGiPass и прочие).
Далее приводим краткое описание преимуществ и недостатков указанных систем одноразовых паролей:
Заранее сгенерированные одноразовые пароли. Суть метода в следующем: клиенту предоставляется на специальной карточке либо в пин-конверте большое количество распечатанных паролей. Каждый пароль закрыт специальным покрытием, аналогично как скрыт код пополнения на картах пополнения мобильной связи. Эти же пароли записаны на сервере банка.
При каждом входе в систему Клиент-банк пользователь стирает покрытие на очередной ячейке с паролем или распечатывает очередной пин-конверт, вводит этот пароль в систему – и после входа в систему этот пароль уже не может быть использован для последующих входов в систему.
Преимуществом этой системы является простота в реализации.
Однако недостатков гораздо больше:
- карты/пин-конверты с паролями кто-то печатал, готовил, передавал, возможно даже отправлял по почте, и т.п.; значит опять же возможно человеческое мошенничество. Ведь бумагу всегда можно скопировать.
- бумагу очень легко потерять: носить с собой неудобно, а оставлять ее где-то тоже небезопасно. И еще есть несколько элементарных проблем – например, если вы забыли заказать новый список - срочно надо что-то проплатить, а список будет идти в лучшем случае 2-3 дня. А есть еще один вариант – я заказал новый список, но у меня еще есть старый, и тут важно не перепутать! Ведь запросто можно ввести неправильный код и заблокировать себе доступ к Интернет-банкингу.
Динамически генерируемые пароли, которые присылаются клиенту непосредственно перед входом в систему Клиент-банк по почте, через банкомат, по SMS и т.п.
Такая система избавляет от недостатка, связанного с возможностью потерять карты с паролями.
Но вводит риск задержек и воровства информации в каналах связи – будь то e-mail, SMS и т.п. Казалось бы, банкомат является крайне надежным в плане защищенности каналов связи, но банкоматы находятся в общественных местах – и информацию с банкомата можно попросту подсмотреть, стоя на небольшом расстоянии за спиной пользователя. Отдельный разговор – это скорость прохождения тех же SMS-сообщений. Ни для кого не секрет, что особенно в крупных городах сети мобильных операторов часто перегружены и сообщения иногда приходят со значительной задержкой. Кроме того, мобильный телефон может быть украден, потерян, в самый неподходящий момент может разрядиться батарея и т.п.
Таким образом, данная система по сути является развитием первой, значительно удобнее в использовании, но все же содержит довольно уязвимые места с точки зрения безопасности.
Одноразовые пароли, которые генерируются независимыми устройствами (DiGiPass,OTP-token и пр.).
DigiPass – это компактное устройство (как брелок или маленький калькулятор), которое по нажатию кнопки генерирует одноразовые пароли, которые используются для подтверждения входа или операций в системе «Клиент-банк».
Преимущества такой системы:
– DigiPass физически не связан с компьютером или сетью Интернет, что исключает возможность удаленного несанкционированного считывания паролей;
– DigiPass не предусматривает запоминание и хранение каких-либо новых паролей, он каждый раз генерирует новый пароль, отображает его на своем экране и пользователю нужно просто ввести этот пароль в соответствующее поле на компьютере в системе «Клиент-Банк»;
– срок действия пароля DigiPass - около 1 минуты. Даже если злоумышленник каким-либо образом получит этот пароль, он не успеет им воспользоваться;
– каждое устройство DigiPass уникально и жестко привязано к конкретному предприятию, т.е. если злоумышленник получит устройство другого предприятия, он не сможет им воспользоваться. Информация о привязке устройства к предприятию хранится на банковском сервере, который защищен на порядок сильнее, чем компьютеры среднестатистических пользователей системы Клиент-Банк.
Из недостатков можно назвать стандартные недостатки всех дополнительных систем защиты: устройство нужно постоянно иметь при себе; при случайном физическом повреждении устройства (разбили, попало в воду и т.п.) устройство нужно менять, что может занять 1 – 2 дня.
Однако эти недостатки нивелируются тем, что с точки зрения безопасности устройства DiGiPass, OTP-token предоставляют наибольшую степень защиты из доступных на сегодняшний день систем дополнительной защиты систем Клиент-банк.
Кроме того, хотим еще раз напомнить, что при применении даже самых лучших систем защиты очень важно оперативно контролировать операции по счету с целью быстрейшего выявления несанкционированных операций (и сразу же сообщить о них в банк). Для этой цели хорошо подходят системы оперативного информирования об операциях по счету на SMS.