BIS Journal №1(36)/2020

27 февраля, 2020

Знаешь угрозы − защита надёжна

В 2019 году, по данным Check Point ThreatCloud Intelligence, вдвое возросло количество мобильных банковских вредоносных атак. Сегодня банковские вредоносные программы − распространённая мобильная угроза. Банковское вредоносное ПО способно похитить платёжные и учётные данные, средства с банковских счетов жертв. Всё новые версии вредоносного ПО готовы к массовым продажам злоумышленникам.

BIS Journal пообщался с техническим директором Check Point Software Technologies в России и СНГ Никитой Дуровым, чтобы узнать, как обеспечить безопасность мобильного банкинга от этой угрозы.

 

БАЛАНС УДОБСТВА И БЕЗОПАСНОСТИ

− Как найти баланс между удобством и безопасностью мобильного банкинга?

− Банкам важно сделать максимально простой и понятный интерфейс — но при этом обеспечить безопасность работы. В целом, по моему мнению, если смотреть на текущие мобильные банковские приложения, банки вполне справляются с этой задачей.

В прошлом году было много обсуждений применения биометрии для идентификации пользователей в банковских приложениях. Безусловно, это очень удобно для пользователей, но в то же время это несёт значительные риски. Возможно, в ближайшем будущем банки будут сосредоточены на том, чтобы эти риски минимизировать. 

 

− Кто должен отвечать за безопасность мобильного банкинга: банк или разработчик? Что могут предложить специалисты по ИБ?

− Здесь есть две стороны: банк и разработчик. Разработчик занимается платформой приложения, а совместно с банком делает функциональную часть. На текущий момент полностью за всю безопасность отвечает сам банк. Сервисов аутсорсинга мобильного банка не так много, этими услугами пользуется совсем немного банков. И то, чаще всего их поставщиком выступают крупные банки. Большинство банков строит собственные системы мобильного банкинга; используя продукты некоторых лидеров-разработчиков. В конечном счёте все вопросы безопасности ложатся на сам банк.

 

− О безопасности приложений, в том числе банковских, говорят давно. Каковы достижения в этой сфере?

− Мобильные банковские зловреды по-прежнему очень опасны. Главным образом потому, что могут легко обойти многие механизмы защиты, например, двухфакторную аутентификацию. Для незаметной загрузки вредоносного ПО злоумышленники могут использовать дропперы или так называемые загрузчики. Сам дроппер не содержит вредоносный код, поэтому получает разрешение пользователя на загрузку файлов и, таким образом, может установить на ПК или устройство практически любой вирус.

 

ОТ КАЖДОЙ АТАКИ − СВОЯ ЗАЩИТА

− Чем отличаются атаки на приложения мобильного банкинга? Какие атаки популярны у злоумышленников, включая социальную инженерию?

− Главный вектор защиты для банков – DDos-атаки, при которых пользователи теряют доступ к банковским сервисам. Серьёзный удар по репутации банка! Согласно отчёту Check Point CyberSecurity Report 2020, в 2019 году 28% организаций по всему миру подверглись атакам ботнетов. Наиболее распространённым вредоносным ПО для ботов был Emotet. 

Если говорить об атаках на пользователей, то главная проблема безопасности — человеческий фактор. Всегда проще атаковать человека, чем искать уязвимости в приложении. Злоумышленники используют социальную инженерию, психологические приёмы мошенников. Стараются собрать максимальное количество данных о пользователей во всевозможных базах данных. В том числе полученных из-за утечек из банков и других организаций, или же путём информационного взлома, кражи.  Информация о гражданах собирается по всей сети, эти данные выкладываются злоумышленниками в открытый доступ для продажи.

 

− Иногда злоумышленники целевым образом атакуют конкретного человека. Какие каналы используют преступники в этом случае?

−  Каналы могут быть как открытые, так и закрытые. Базы данных могут попадаться в выдаче поисковиков. Есть люди, которые целенаправленно ищут базы в открытом доступе. Второй вариант — Dark Web. Там есть специализированные сервисы, которые оказывают подобные услуги. Через них можно найти почти все существующие в открытом доступе базы: государственных органов, например, из налоговой службы. Часто злоумышленники имеют инсайдеров в таких организациях и могут получить по запросу информацию о конкретном человеке.

Манипулируя этими данными при помощи социальной инженерии, киберпреступники побуждают пользователя совершать те или иные транзакции. Проверять, есть ли данные о конкретном человеке в базах, мы не рекомендуем. Так можно спровоцировать злоумышленников на атаку. Сами по себе данные не дают возможности совершить кражу денежных средств с карты.

Впрочем, возможно появление новой волны фишинговых атак, когда злоумышленники, имея определённую информацию о своих жертвах, начинают звонить им, представляясь сотрудниками банка и вынуждая совершить те или иные операции. Так как преступники обладают некоторыми сведениями, у жертвы может создаться впечатление, что звонок действительно от представителя банка.

Лучшая стратегия — не вести переговоров по телефону. Банки не звонят своим клиентам по таким поводам. Они просто блокируют карту, если подозревают неправомерные действия. Если вам позвонили якобы из банка, лучше всего перезвонить в банк самим. При подозрении, что данные вашей карты, скомпрометированы − похищены, а на ней крупная сумма, лучше оперативно выпустить её заново, заблокировав прежнюю.

 

− Какие методы атак на онлайн-банки можно прогнозировать?

− Банки давно увидели множество возможностей в применении последних технологий: распознавания лиц, идентификация пользователя по голосу, использование умных устройств в работе. Удалённая идентификация клиента в банке − сложный процесс, требующий совместных усилий как разработчиков самой системы, так и специалистов банка по безопасности.

С одной стороны, очень удобно, когда после однократного подтверждения клиентом своей личности в банке его в дальнейшем могут идентифицировать по голосу. С другой стороны, это сопряжено с огромным количеством рисков. Банки должны крайне серьёзно относиться к хранению личных данных пользователей. Очевидно, что сейчас хакеры активно работают над способами обхода биометрии, и вероятно, что скоро мы увидим попытки опробования новых методов взлома.

Объёмы хранящейся персональной информации растут, и хакеры заинтересованы получить её. Утечка персональных данных влечёт за собой как финансовые, так и репутационные риски для банков и их клиентов — и сейчас это одна из основных проблем кибербезопасности. 

Если мы говорим о рисках биометрии, эти риски будут снижаться по мере того, как технологии такой идентификации будут становиться более зрелыми, а распознавание данных станет максимально точным. При этом необходимо в комплексе учитывать все возможные угрозы подмены данных и взлома приложений в обход механизмов идентификации.

 

ПРАВИЛА КИБЕРГИГИЕНЫ

− Какие правила безопасности электронных сервисов первостепенны для банков и для клиентов?

− Прежде всего банкам необходимо работать со своим персоналом, информировать его об угрозах и правилах безопасности. Зачастую сотрудники не осознают ИБ-риски, которым они подвергают организацию, не соблюдая правила цифровой гигиены.

Не рекомендуется открывать письма от незнакомых отправителей, загружать файлы с непроверенных ресурсов, даже с виду знакомые сайты могут нести угрозу. Так, хакеры могут отправлять ссылки на поддельные сайты, которые практически идентичны оригинальным. Также важно рассказать сотрудникам о том, что подключение мобильных телефонов, планшетов и ноутбуков к непроверенной сети Wi-Fi может привести к серьёзным последствиям.

Для пользователя важно соблюдать базовые правила цифровой гигиены. Например, регулярно обновлять свой смартфон, пользоваться проверенными сетями, внимательно относиться к загружаемым приложениям.

Беседовала Анна Воробьева

Смотрите также