3 июня, 2014, BIS Journal №2(13)/2014

Мобильный банкинг: виды атак и защита от них


Середенко Денис

директор департамента электронной коммерции и развития электронных каналов (ОАО «Банк Москвы»)

Какие меры безопасности способны повысить популярность использования мобильных устройств для ДБО

В ушедшем 2013 году, как сообщают данные различных аналитических агентств, мобильные устройства обогнали стационарные персональные компьютеры по доле доступа в интернет. Выросла и популярность систем дистанционного банковского обслуживания, в которых задействованы мобильные устройства. Но также значительно увеличились риски атак злоумышленников на этот канал связи, чреватые хищениями денежных средств банковских клиентов. Как банки могут противостоять этому виду атак, чтобы надёжно защитить клиентов от потери средств?

 

АТАКИ НА SIM-КАРТУ И SMS-СООБЩЕНИЯ
 

Одним из главных объектов информационных атак злоумышленников становятся SMS-сообщения. Потому что в настоящее время самый распространённый механизм подтверждения юридически значимых действий клиента при дистанционном обслуживании в интернет-банке и мобильном банкинге – двухфакторная аутентификация. В качестве одного из аутентификационных факторов большинство банков используют SMS-сообщения по каналам мобильной телефонной связи, которыми высылаются, например, одноразовые пароли на вход в интернет-банк и проведение операций.

Достаточно распространённым видом мошенничества являются методы так называемой «социальной инженерии», то есть обмана жертв при помощи психологических приёмов. Борьба с этим видом SMS-мошенничеств сводится, в основном, к информированию клиентов о типичных приёмах злоумышленников и о недопустимости нарушения правил безопасности ДБО. Но существует также угроза технических атак на SMS-сообщения как канал связи в ДБО. В случае успеха такой технической атаки мошенники могут похитить средства клиента, даже если он полностью выполняет правила безопасности ДБО и не совершает никаких ошибок.

Вот пример одного из типов атаки: злоумышленники получают дубликат SIM-карты, привязанной к телефонному номеру клиента, который зарегистрирован в его профиле ДБО. Для этого они предоставляют в офис оператора сотовой связи, либо партнёрской сети, поддельные документы, будто бы удостоверяющие личность жертвы. SIM-карта, находящаяся в мобильном телефоне клиента, внезапно перестает работать. Как правило, в ночное время, поэтому несколько часов клиент не замечает подмены. Мошенники за это время получают на новую SIM-карту пароли для подтверждения операций с его счётом и выводят средства жертвы на подконтрольные счета или электронные кошельки.

Причина возникновения этой новой уязвимости в том, что сотовые операторы, стремясь облегчить клиентам операцию смены SIM-карты, в том числе и при смене её версий, делегировали функцию их выпуска сетям партнёров. В результате значительно снизился уровень операционного контроля проверки паспортных данных и полномочий лица, получающего SIM-карту. Заказать новую SIM-карту сейчас можно даже дистанционно, её доставку осуществляют курьерские службы, которые не несут серьёзной ответственности за идентификацию лица-получателя.
 
ПРОВЕРКА ПОДЛИННОСТИ АБОНЕНТА

В настоящее время банковское сообщество, в том числе при активном участии Ассоциации российских банков, обсуждает формы взаимодействия операторов сотовой связи и банков для борьбы с атаками на SIM-карты и каналы SMS-сообщений. Сотовые операторы предлагают внедрить услугу, позволяющую банкам, как и другим участникам электронных платежей и переводов, получать информацию о смене клиентом SIM-карты, например, в виде web-сервиса.

С одной стороны, такая мера помогла бы предотвратить указанный вид мошенничества. Но в этом способе видится несколько достаточно серьёзных недостатков. Первый заключается в том, что сотовые операторы собираются предоставлять такую информацию на платной основе. ОАО «Мобильные телесистемы» (МТС) уже завершает подготовку к выводу на рынок такой услуги. Весь вопрос в том, каковы будут тарифы на такую услугу, – не сделают ли они неприемлемо дорогим использование SMS-сообщений для аутентификации клиентов ДБО.

В настоящее время в большинстве банков SMS-сообщения в ДБО для клиентов бесплатны или предоставляются за незначительную месячную фиксированную плату. Слишком высокая комиссия сотового оператора за подтверждение того, что SIM-карта клиента не менялась, ляжет тяжёлым грузом на каждую транзакцию. Банки вряд ли будут повышать клиенту плату за SMS-информирование, но и себе в убыток работать не станут. Поэтому банкам придётся вообще отказываться от этого фактора аутентификации, искать ему подходящую замену.

Ещё один недостаток этого гипотетического сервиса сотовых операторов в том, что внедрение нового блока в информационные системы банка, особенно крупного, является длительным и затратным мероприятием. Как, например, системы обязательного информирования финансовых корпораций о платежах в бюджет. Затраты банком времени, человеческих и финансовых ресурсов на получение подтверждения подлинности SIM-карты клиента также заставляют усомниться в реалистичности этого сервиса.

У информирования сотовыми операторами банков о смене SIM-карт клиентов есть ещё один недостаток – отсутствие чёткого правового регулирования. Сразу же встаёт вопрос: на основании каких документов сотовые операторы могут предоставлять банку информацию о смене SIM-карты клиента? Кого и как информировать сотовому оператору, если клиент имеет несколько систем ДБО различных банков, в какой степени можно использовать один номер телефона в различных банках? Могут ли любые кредитные организации запросто получать информацию о замене SIM-карты любого клиента или только на основании каких-либо нормативных актов, договоров? Без ответов на эти вопросы гипотетический сервис не может быть реализован.

Инициатива сотовых операторов предоставлять банкам сведения о заменах SIM-карт клиентов рассматривается Банком России. В случае положительной оценки возможно внесение соответствующих изменений в Положение Банка России от 19 июня 2012 года № 383-П «О правилах осуществления перевода денежных средств». Могут быть дополнены требования к обеспечению банками безопасности осуществления переводов денежных средств. Некоторые банки решили этот вопрос самостоятельно, напрямую заключив договоры с операторами сотовой связи, и получают информацию о смене SIM-карт клиентов, правда, в режиме не онлайн, а офлайн.

Кроме вышеописанного сервиса, существует альтернативный способ противодействия мошеннической замене SIM-карты. Банк может использовать автоматическую процедуру проверки IMSI-идентификатора SIM- карты телефонного номера, принявшего отправленное SMS-сообщение с одноразовым паролем. IMSI (Inter-national Mobile Subscriber Identity) – это международный идентификатор мобильного абонента, его индивидуальный номер, ассоциированный с каждым пользователем мобильной связи.

Данный механизм позволил бы банкам запоминать исходный идентификатор SIM-карты и, при проведении операции со счётом клиента, проверять, остался данный код прежним или изменился. Это довольно простой способ проверки подлинности SIM-карты, не требующий сложных внедрений или серьёзной перенастройки автоматизированных банковских систем.

К сожалению, и этот способ противодействия мошенничествам с SIM-картами не совершенен. Есть серьезное ограничение, связанное со спецификой работы GSM-сетей. Сотовые операторы, работающие в этом стандарте цифровой мобильной связи, иногда, при нахождении абонента в роуминге, могут подменять IMSI клиента. Эта технологическая особенность значительно ограничивает возможности альтернативного способа защиты от атаки мошенников на SIM-карту.

НЕЙТРАЛИЗАЦИЯ МОБИЛЬНЫХ ВИРУСОВ

Кроме подмены или клонирования мошенниками SIM-карты для пере-
хвата SMS-сообщений банка с одноразовыми паролями, есть ещё одна серьёзная угроза пользователю дистанционного банкинга. Другой вид атаки на этот способ аутентификации клиентов при проводимых им в ДБО операциях – вредоносное программное обеспечение, вирусы-трояны, которыми заражаются операционные системы мобильных устройств.
В основном угрозе заражения подвержены телефоны, работающие под управлением операционной системы Android. Но выявлены случаи появления вредоносного программного обеспечения и для операционной системы iOS. В этом случае злоумышленники задействуют процедуру jailbreak – взлома операционной системы, позволяющего устанавливать программное обеспечение напрямую, без использования защищённого сервера приложений AppStore.

После установки на телефон жертвы вредоносный вирус-троян пытается получить идентификационные данные клиента. Например, перехватывает логин и пароль, которые клиент вводит на мобильном устройстве в момент штатного входа в систему ДБО. Имея также возможность чтения, при помощи того же трояна, одноразовых паролей в присылаемых банком SMS-сообщениях, злоумышленник получает полную возможность распоряжаться деньгами на банковском счету жертвы.

Способов борьбы с данным видом мошенничества несколько, но все они либо не гарантируют абсолютную защищённость, либо серьезно ограничивают возможности мобильного банкинга. Вот эти меры безопасности, а также, к сожалению, свойственные им недостатки:

  • внедрение системы антифрод-мониторинга, которая полностью не устраняет, но заметно снижает уровень риска при проведении операций через каналы ДБО. Антифрод-системы в настоящее время достаточно дороги и являются непозволительной роскошью для средних и небольших банков, у которых нет большой клиентской базы;
  • установка лимитов на суммы операций, проводимых через каналы ДБО. Что заметно уменьшает привлекательность систем ДБО для мошенников, но, в то же время, и для многих пользователей;
  • отказ от SMS-сообщений как альтернативного способа подтверждения операций. Взамен используются одноразовые пароли, выдаваемые клиенту в офисах банка либо банкоматах, и CAP-калькуляторы (САР – Chip Authentication Program), проводящие аутентификацию клиента посредством пароля, генерируемого с использованием PIN-кода. Эти средства аутентификации неудобны для клиента и непопулярны из-за сложностей дистрибуции и дополнительных затрат на устройства типа CAP-калькуляторов.

 

Действительно перспективным способом защиты банкинга на мобильных устройствах от вирусов-троянов представляется размещение приложения, обеспечивающего безопасное подтверждение транзакций, в защищённой области памяти телефона (secure element), попросту – интеграция туда CAP-калькулятора. Однако в настоящее время единых стандартов индустрии мобильных телефонов не выработано, и даже в случае их появления не все производители мобильных устройств сразу приступят к реализации этого решения.

 

 

Смотрите также

Страхи и реалии

27 ноября, 2013
Подпишись на новости!
Подписаться