BIS Journal №3(10)/2013

20 сентября, 2013

Вне безопасности комфорт немыслим

Почти все российские банки активно развивают дистанционное банковское обслуживание (ДБО). По данным Фонда общественного мнения (ФОМ), интернет-банкингом активно пользуются уже 13% россиян, ещё 11% готовы освоить новый сервис. Эксперты считают, что в близком будущем примерно 50% жителей страны будут пользоваться банковскими услугами через интернет. Ещё быстрее популярность набирает мобильный банкинг. Именно эти клиенты банков представляют особый интерес для киберпреступников.

 

УГРОЗЫ РАСТУТ ВМЕСТЕ С СЕРВИСАМИ

Согласно ежегодному отчёту Internet Security Threat Report, Volume 18, российская сиутация в области угроз и безопасности в интернете за 2012 год несколько улучшилась. Отчёт готовится корпорацией Symantec – одним из мировых лидеров производства программного обеспечения для обеспечения информационной безопасности, в том числе и антивирусов. Многие параметры вернулись к показателям трехлетней давности, но объём кибератак возрос на 42%, и они стали более чётко направленными. Масштабы текущей активности киберпреступников подтверждают специалисты «Лаборатории Касперского», ежедневно обнаруживая в среднем около 200 000 заражений вредоносными программами.

Ущерб от мошенничества в сфере ДБО в России в 2012 году оценивается в $100 млн, а некоторые эксперты считают, что доходы российского криминального бизнеса в этой сфере могут достигать $0,5 млрд в год. Масштабы интернет-банкинга расширяются, поэтому логично ожидать роста количества и объёмов хищений денежных средств. Представители банковского сообщества опасаются, что после вступления в силу в начале 2014 года ст. 9 ФЗ-161 «О национальной платёжной системе» количество мошенничеств увеличится на 10%. Недобросовестные клиенты смогут пользоваться гарантированным возвратом денег по опротестованным транзакциям и, гипотетически, вступать в сговор с хакерами.

Среди средств и схем информационных атак у киберпреступников по-прежнему популярными остаются хищения денег с банковских счетов при помощи троянских программ, внедряемых на компьютеры жертв посредством фишинга. Конкретный пример – рассылка злоумышленниками электронных писем с вирусами якобы с электронного адреса Федеральной службы судебных приставов (ФССП России). Гражданам и организациям сообщалось о том, что в отношении них будто бы начали судебное разбирательство, и для «ознакомления с подробностями» предлагались гиперссылки, ведущие на заражённые вирусами-«троянами» ресурсы.

Другой пример – распространение вредоносной программы Win32/Kelihos через заражённый сайт с видеозаписью террористического взрыва в Бостоне. Внедряясь на чужие компьютеры, Win32/Kelihos копирует и пересылает злоумышленникам персональную информацию пользователя, почтовые адреса контактов, логины и пароли различных сервисов, включая финансовые. Случай был выявлен компанией ESET, которая одной из первых начала использовать проактивные методы обнаружения неизвестных ранее сетевых угроз.

СОБЛАЗНЫ МОБИЛЬНОСТИ

Интерес банков к мобильным технологиям заметно вырос: в 2009 году эта технология занимала только 12 место в рейтинге самых значимых, а к 2012 году вышла уже на вторую позицию, уступая первенство только интернет-банкингу. Предполагается, что в России уже через 2–3 года клиенты банков сократят осуществление финансовых операций посредством пластиковых карт, всё больше предпочитая мобильные устройства.

Среди основных свежих IT-проектов, реализованных российскими банками, – приложения мобильного банкинга для владельцев устройств Apple iPhone, iPad и смартфонов на платформе Android. Уже в течение нескольких лет банки предлагают пользователям версии своих интернет-ресурсов, разработанные для мобильных устройств, сервисы и приложения, благодаря которым клиенты могут пользоваться разнообразными банковскими услугами при помощи своих смартфонов и планшетов. Ассортимент банковских мобильных продуктов постоянно растет, охватывая новые платформы и развиваясь в комплексные решения.

Выступая на конференции «ИКТ в финансовом секторе» в марте 2013 года, директор ОАО «Азиатско-Тихоокеанский банк» Алексей Казарцев выразил уверенность, что именно мобильный банкинг способен заметно повысить качество обслуживания клиентов. Однако нужны новые решения, обеспечивающие безопасность сервисов. Браузерный мобильный банкинг, хотя внедряется просто и быстро, может скоро отмереть из-за проблем с безопасностью. Хакеры научились перехватывать пару логин-пароль и подтверждающие SMS-сообщения, которые приходят на то же мобильное устройство, на котором формируется платёж. Надёжным решением может стать полнофункциональная терминальная система типа «Qiwi в мобильнике».

Такую оптимистичную точку зрения разделяют далеко не все. Так, российская компания Digital Security проанализировала безопасность мобильных приложений, обеспечивающих банковские сервисы для смартфонов. Результаты вряд ли можно назвать позитивными: все протестированные приложения содержат хотя бы одну уязвимость. Через эти и другие «лазейки» самого приложения или мобильного устройства можно перехватывать данные между сервером и клиентом.

УЯЗВИМОСТИ «ВРОЖДЁННЫЕ» И ВНЕДРЁННЫЕ

В прошлом, 2012 году общий рост количества вредоносных программ разного типа для мобильных устройств составил 58%, а связанных с кражей информации – 31%. По программным платформам – операционным системам угрозы распределяются нелинейно.

В операционной системе iOS от Apple было найдено наибольшее количество уязвимостей – 387, но существует всего лишь одна угроза. В платформе Android обнаружено лишь 13 уязвимостей, а угроз – 103, то есть больше, чем на любой другой мобильной операционной системе. Доля рынка, занимаемая Android, открытость платформы, а также множество путей распространения приложений, в которые может быть встроен вредоносный код, делают именно Android наиболее предпочтительной мишенью для вирусописателей.

Среди обнаруженных уязвимостей – некорректная работа 35% iOS-приложений и 15% приложений для Android с криптографическим протоколом SSL, который обеспечивает безопасность связи. Тем самым открывается доступ к платёжным данным для потенциальных злоумышленников. 22% приложений мобильного банкинга уязвимы к SQL-инъекциям, что чревато похищением информации о платежах. 70% iOS-приложений и 20% Android-приложений содержат потенциальную уязвимость к XXS-атакам – межсайтовому скриптингу.

Вдобавок к уязвимостям программ, официально распространяемых разработчиками популярных приложений для смартфонов и планшетов, все больше сообщений о программах-клонах – подделках, разнообразные скрытые угрозы в которых заложены специально. Пример – «троянец» Android.Gongfu, обнаруженный недавно в клоне программы Angry Birds Space для операционной системы Android.

Android.Gongfu способен без ведома пользователя устанавливать на зараженном устройстве сторонние приложения, работающие в фоновом режиме. Также он собирает и передает злоумышленникам конфиденциальную информацию – маркировку модели устройства и номер мобильного телефона, версию операционной системы, сведения об операторе, номер IMEI. Более того, эта программа-«крот» способна не только красть данные, но и выполнять полученные от преступников команды, влияя на работу устройства.

Ещё один случай, о котором сообщила компания «Доктор Веб», российский разработчик средств защиты информации, – новая вредоносная программа для платформы Android, способная перехватывать входящие SMS-сообщения и переправлять их злоумышленникам. Троян Android. Pincer.2.origin – очень серьезная опасность для пользователей, поскольку в украденных им сообщениях может находиться самая разная информация пользователя. В том числе одноразовые пароли – mTAN-коды, применяемые в различных системах удалённого банкинга для подтверждения платежей.

ВЫСТРАИВАЯ БАРЬЕРЫ

Оценивая рост финансового ущерба от киберпреступности, некоторые российские банки отвели рискам мошенничества ДБО первое место. К этому высокому уровню относятся риски, непосредственно влияющие на выживание бизнеса. В зависимости от характера угроз для своих систем дистанционных сервисов банки определяют приоритетные направления информационной защиты.

По оценке эксперта в сфере информационной безопасности Евгения Царева, в первую очередь банки стремятся обезопасить удаленный доступ к банковским сервисам. Средства – создание на стороне клиента доверенной среды (при помощи устройств типа TrustScreen и MAC-токенов, дублирующих контрольные параметры платежей), организация системы противодействия фроду, мониторинг подозрительных транзакций и др.

Мониторинг подозрительных транзакций оценивается экспертами как один из наиболее эффективных способов противодействия попыткам злоумышленников. В последние годы на рынке стали появляться качественные решения, позволяющие среди сотен тысяч транзакций, проходящих через банк ежедневно, выявить подозрительные, дополнительно проверить их законность и приостановить мошеннические переводы.

Автоматизированная система проверяет платежи по различным параметрам, используя, в среднем, от 50 до 250 различных показателей. Среди наиболее часто используемых – IP-адрес, MAC-адрес, сумма платежа, имя получателя, назначение платежа, время платежа, история контрагентов и некоторые другие. Каждый платёж, согласно заданным правилам, оценивается баллом скоринга, на основании которого система принимает решение, является ли конкретный платеж подозрительным. Окончательное решение принимает, после проверки, оператор банка.

Как правило, на десятки тысяч ежедневных платежей в категорию подозрительных попадает не более 100–200, такое количество под силу проверить даже небольшому подразделению. Ещё одно, дополнительное решение, – организовать для подозрительных платежей дополнительную авторизацию платежа клиентом, без участия оператора.

Появились и получили распространение решения для противодействия мошенничеству не только в интернет-банкинге, но и при транзакциях посредством банковских карт. Эти автоматизированные системы анализируют платежи не только по отдельным заданным критериям, но также используют более сложный интеллектуальный анализ операций по определённым профилям. «Продвинутые» системы фрод-мониторинга, контролирующие удалённые финансовые операции и авторизацию клиентов в режиме реального времени, обладают «навыками самообучения».

Для применения в России разработки зарубежных компаний для обеспечения информационной безопасности банков и платёжных систем требуют серьёзной адаптации с учётом наших «национальных особенностей». Например, в нашей стране подавляющее большинство похищенных средств выводится злоумышленниками на российские же счета подставных лиц. Поэтому установка отмечать как подозрительные платежи в африканские страны для наших условий некорректна.

МОДА НА КИБЕРДЕТЕКТИВОВ

Обнадёживающая тенденция – заметный рост взаимодействия в выработке эффективных средств противодействия киберпреступности. Так, 23–24 мая 2013 года в Москве прошёл очередной международный форум практической безопасности Positive Hack Days III. Мероприятие стало рекордным по масштабам: было зарегистрировано более 2000 участников.

Важным ресурсом активизации противодействия киберпреступности в банковской сфере является увеличение масштабов финансирования этой работы. По данным американской исследовательской компании ABI Research, специализирующейся на анализе мировых рынков мобильных товаров и услуг, – глобальные расходы на инфраструктуру безопасности, имеющую критическое значение для финансовых операций, к концу 2017 года вырастут до 13,2 млрд евро. Для сравнения, в России затраты только Сбербанка на информатизацию в 2012 году выросли по сравнению с 2011 годом в 2,5 раза, достигнув 66,8 млрд рублей.

Относительно новая тенденция противодействия киберпреступности – создание компаниями, специализирующимися на информационной безопасности, служб расследования компьютерных инцидентов, в том числе финансовых. «Лаборатория Касперского» не так давно объявила о создании такого специализированного подразделения. Его сотрудники – выходцы из правоохранительных органов, в том числе Следственного комитета России и Управления «К» МВД России.

Задача нового отдела – первичный анализ инцидента, предварительное дознание перед обращением клиента в правоохранительные органы и экспертное сопровождение уголовного дела. К услугам «кибердетективов» прибегает крупный бизнес, в том числе банковский. Среди клиентов – банк ВТБ 24 (ЗАО), чьи клиенты пострадали от фишингового мошенничества братьев Евгения и Дмитрия Попелышей и их помощника Александра Сарбина в 2011–2012 годах.

Появление «частных кибердетективов» обусловлено проблемами развития российской правоохранительной системы. По словам Ефрема Романова, начальника отдела Главного управления экономической безопасности и противодействия коррупции МВД России, оперативных сотрудников, профессионально занимающихся преступлениями в области банковских хищений, крайне мало. Так же невелико количество судей, обладающих хорошей практикой разбора дел о компьютерных преступлениях в России. В связи с этим в настоящее время роль экспертов особенно велика.

Чтобы нейтрализовать рост угроз мобильному и интернет-банкингу, необходимы общие усилия в повышении противодействия киберпреступности. Без этого комфорт интернет- и мобильного банкинга будет сведён на нет недостаточным уровнем безопасности.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных