АТАКИ НА SIM-КАРТУ И SMS-СООБЩЕНИЯ
Одним из главных объектов информационных атак злоумышленников становятся SMS-сообщения. Потому что в настоящее время самый распространённый механизм подтверждения юридически значимых действий клиента при дистанционном обслуживании в интернет-банке и мобильном банкинге – двухфакторная аутентификация. В качестве одного из аутентификационных факторов большинство банков используют SMS-сообщения по каналам мобильной телефонной связи, которыми высылаются, например, одноразовые пароли на вход в интернет-банк и проведение операций.
Достаточно распространённым видом мошенничества являются методы так называемой «социальной инженерии», то есть обмана жертв при помощи психологических приёмов. Борьба с этим видом SMS-мошенничеств сводится, в основном, к информированию клиентов о типичных приёмах злоумышленников и о недопустимости нарушения правил безопасности ДБО. Но существует также угроза технических атак на SMS-сообщения как канал связи в ДБО. В случае успеха такой технической атаки мошенники могут похитить средства клиента, даже если он полностью выполняет правила безопасности ДБО и не совершает никаких ошибок.
Вот пример одного из типов атаки: злоумышленники получают дубликат SIM-карты, привязанной к телефонному номеру клиента, который зарегистрирован в его профиле ДБО. Для этого они предоставляют в офис оператора сотовой связи, либо партнёрской сети, поддельные документы, будто бы удостоверяющие личность жертвы. SIM-карта, находящаяся в мобильном телефоне клиента, внезапно перестает работать. Как правило, в ночное время, поэтому несколько часов клиент не замечает подмены. Мошенники за это время получают на новую SIM-карту пароли для подтверждения операций с его счётом и выводят средства жертвы на подконтрольные счета или электронные кошельки.
Причина возникновения этой новой уязвимости в том, что сотовые операторы, стремясь облегчить клиентам операцию смены SIM-карты, в том числе и при смене её версий, делегировали функцию их выпуска сетям партнёров. В результате значительно снизился уровень операционного контроля проверки паспортных данных и полномочий лица, получающего SIM-карту. Заказать новую SIM-карту сейчас можно даже дистанционно, её доставку осуществляют курьерские службы, которые не несут серьёзной ответственности за идентификацию лица-получателя.
ПРОВЕРКА ПОДЛИННОСТИ АБОНЕНТА
В настоящее время банковское сообщество, в том числе при активном участии Ассоциации российских банков, обсуждает формы взаимодействия операторов сотовой связи и банков для борьбы с атаками на SIM-карты и каналы SMS-сообщений. Сотовые операторы предлагают внедрить услугу, позволяющую банкам, как и другим участникам электронных платежей и переводов, получать информацию о смене клиентом SIM-карты, например, в виде web-сервиса.
С одной стороны, такая мера помогла бы предотвратить указанный вид мошенничества. Но в этом способе видится несколько достаточно серьёзных недостатков. Первый заключается в том, что сотовые операторы собираются предоставлять такую информацию на платной основе. ОАО «Мобильные телесистемы» (МТС) уже завершает подготовку к выводу на рынок такой услуги. Весь вопрос в том, каковы будут тарифы на такую услугу, – не сделают ли они неприемлемо дорогим использование SMS-сообщений для аутентификации клиентов ДБО.
В настоящее время в большинстве банков SMS-сообщения в ДБО для клиентов бесплатны или предоставляются за незначительную месячную фиксированную плату. Слишком высокая комиссия сотового оператора за подтверждение того, что SIM-карта клиента не менялась, ляжет тяжёлым грузом на каждую транзакцию. Банки вряд ли будут повышать клиенту плату за SMS-информирование, но и себе в убыток работать не станут. Поэтому банкам придётся вообще отказываться от этого фактора аутентификации, искать ему подходящую замену.
Ещё один недостаток этого гипотетического сервиса сотовых операторов в том, что внедрение нового блока в информационные системы банка, особенно крупного, является длительным и затратным мероприятием. Как, например, системы обязательного информирования финансовых корпораций о платежах в бюджет. Затраты банком времени, человеческих и финансовых ресурсов на получение подтверждения подлинности SIM-карты клиента также заставляют усомниться в реалистичности этого сервиса.
У информирования сотовыми операторами банков о смене SIM-карт клиентов есть ещё один недостаток – отсутствие чёткого правового регулирования. Сразу же встаёт вопрос: на основании каких документов сотовые операторы могут предоставлять банку информацию о смене SIM-карты клиента? Кого и как информировать сотовому оператору, если клиент имеет несколько систем ДБО различных банков, в какой степени можно использовать один номер телефона в различных банках? Могут ли любые кредитные организации запросто получать информацию о замене SIM-карты любого клиента или только на основании каких-либо нормативных актов, договоров? Без ответов на эти вопросы гипотетический сервис не может быть реализован.
Инициатива сотовых операторов предоставлять банкам сведения о заменах SIM-карт клиентов рассматривается Банком России. В случае положительной оценки возможно внесение соответствующих изменений в Положение Банка России от 19 июня 2012 года № 383-П «О правилах осуществления перевода денежных средств». Могут быть дополнены требования к обеспечению банками безопасности осуществления переводов денежных средств. Некоторые банки решили этот вопрос самостоятельно, напрямую заключив договоры с операторами сотовой связи, и получают информацию о смене SIM-карт клиентов, правда, в режиме не онлайн, а офлайн.
Кроме вышеописанного сервиса, существует альтернативный способ противодействия мошеннической замене SIM-карты. Банк может использовать автоматическую процедуру проверки IMSI-идентификатора SIM- карты телефонного номера, принявшего отправленное SMS-сообщение с одноразовым паролем. IMSI (Inter-national Mobile Subscriber Identity) – это международный идентификатор мобильного абонента, его индивидуальный номер, ассоциированный с каждым пользователем мобильной связи.
Данный механизм позволил бы банкам запоминать исходный идентификатор SIM-карты и, при проведении операции со счётом клиента, проверять, остался данный код прежним или изменился. Это довольно простой способ проверки подлинности SIM-карты, не требующий сложных внедрений или серьёзной перенастройки автоматизированных банковских систем.
К сожалению, и этот способ противодействия мошенничествам с SIM-картами не совершенен. Есть серьезное ограничение, связанное со спецификой работы GSM-сетей. Сотовые операторы, работающие в этом стандарте цифровой мобильной связи, иногда, при нахождении абонента в роуминге, могут подменять IMSI клиента. Эта технологическая особенность значительно ограничивает возможности альтернативного способа защиты от атаки мошенников на SIM-карту.
НЕЙТРАЛИЗАЦИЯ МОБИЛЬНЫХ ВИРУСОВ
Кроме подмены или клонирования мошенниками SIM-карты для пере-
хвата SMS-сообщений банка с одноразовыми паролями, есть ещё одна серьёзная угроза пользователю дистанционного банкинга. Другой вид атаки на этот способ аутентификации клиентов при проводимых им в ДБО операциях – вредоносное программное обеспечение, вирусы-трояны, которыми заражаются операционные системы мобильных устройств.
В основном угрозе заражения подвержены телефоны, работающие под управлением операционной системы Android. Но выявлены случаи появления вредоносного программного обеспечения и для операционной системы iOS. В этом случае злоумышленники задействуют процедуру jailbreak – взлома операционной системы, позволяющего устанавливать программное обеспечение напрямую, без использования защищённого сервера приложений AppStore.
После установки на телефон жертвы вредоносный вирус-троян пытается получить идентификационные данные клиента. Например, перехватывает логин и пароль, которые клиент вводит на мобильном устройстве в момент штатного входа в систему ДБО. Имея также возможность чтения, при помощи того же трояна, одноразовых паролей в присылаемых банком SMS-сообщениях, злоумышленник получает полную возможность распоряжаться деньгами на банковском счету жертвы.
Способов борьбы с данным видом мошенничества несколько, но все они либо не гарантируют абсолютную защищённость, либо серьезно ограничивают возможности мобильного банкинга. Вот эти меры безопасности, а также, к сожалению, свойственные им недостатки:
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных