30 сентября, 2010, BIS Journal №1(1)/2011

e-Ключ без права передачи


Левкин Василий

Начальник отдела Департамента безопасности (ОАО «Россельхозбанк»)

Арсенал преступного инструментария, которым пользуются «бригады» интернет-мошенников, далеко не сводится к DDoS-атакам

С проблемой мошенничества при дистанционном банковском обслуживании автору на практике впервые довелось столкнуться полтора года назад, в марте 2009 года. Когда клиент обратился в банк, обнаружилось несовпадение выписок. Как такое могло случиться, если выполняются требования сертифицированной криптографии, строгие регламенты обращения с ключевой информацией, которая хранящейся не иначе как на съёмном носителе, а в нерабочее время − в сейфе, и многие другие меры предосторожности?

ИЗДЕРЖКИ МОБИЛЬНОСТИ

Если все требования безопасности, казалось бы, соблюдается, остаётся лишь искать вредителя-инсайдера. Однако поиски «внутреннего врага» результатов не принесли. Зато анализ логов дистанционного банковского обслуживания выявил наличие некоего фантома. Трафик досконально соответствовал профилю легального клиента за исключением одной, но существенной детали, а именно IP-адреса.

Так проявились оборотная сторона удобств мобильного интернета, в том случае − WiMax. Пришлось признать, что возрастающая мобильность клиентов мешает использовать такой надежный метод информационной защиты, как привязка к статическому IP-адресу. Вычислив новые возможности, кибер-преступники стали искать уязвимые места в iBanking, BSS-клиент и прочем программном обеспечении, посредством которого российские банки осуществляют дистанционное обслуживание клиентов.

Расследование инцидента показало, что произошла кража личной информации клиента: логинов, паролей, идентификаторов, номеров счетов и ключей. Выяснили, что, несмотря на развернутое у клиента актуальное антивирусное обеспечение, он был заражен печально известным вирусом Conficker(Kido).

А ведь и ФАПСИ, и ФСБ предупреждали: криптография не панацея, обязательно нужна дополнительная защита от несанкционированного доступа. Специальная программа KidoKiller помогла решить проблему, с клиентами провели работу по усилению антивирусной защиты, и на полгода проблема была купирована.

Однако вскоре джин вырвался из бутылки: август ознаменовался массовой угрозой вируса-трояна Bredolab. Словно в «лихие 1990-е», будто невесть откуда взявшиеся кибер-ОПГ, устроили настоящую вакханалию. Накопив разнообразные технологии удалённого манипулирования, IT-«бригады» разом пустили их в дело.

ПСИХОЛОГИЯ СО ВЗЛОМОМ

Кроме привычных «ковровых бомбардировок» − фишинга, злоумышленники начали использовать спам-технологии и социальную инженерию, попросту − обман. В ноябре 2009 многие клиенты mail.ruв Омске и области получили по спам-рассылке письмо, темой которого значилось «Уведомление о блокировки «Клиент-Банк», «Интернет-Банк»». «Уважаемого клиента», величая по фамилии-имени-отчеству, уведомляли: такого-то числа в такое-то время была пресечена попытка соединения с сервером банка, с подложными ключами.

Далее шло указание ID, public key и secret key и сообщение, что они не соответствует ключу в резервной копии. Поскольку, как явствовало из письма, связаться по указанным в договоре контактным телефонам не удаётся, клиента просили срочно отправить номер контактного мобильного телефона. Письмо было подписано от имени зам. начальника службы безопасности банка, с указанием е-mailна почтовом сервере mail.ru, номеров городского и мобильного телефонов.

Для человека неискушённого и психологически нестойкого всё выглядело предельно достоверно. Откликнется клиент − можно легко «разводить» его дальше, попросить в личной беседе «уточнить» данные доступа к дистанционному банковскому обслуживанию якобы «для проверки».

Спам-послание мошенников может придти и от имени известной компании − DHL, UPSи т.д., с заманчивыми предложениями. Например от Western Union, получить денежный перевод на сумму $ 4886. Надо только открыть вложение с контрольным номером и подробностями… На самом деле во вложении − постоянно мутирующие клоны Bredolab, Oficlaи прочего вредоносных программ-троянов.

КАЖЕТСЯ, У МЕНЯ ВОРУЮТ

Защита от таких «ходов» в настоящее время только одна: грамотность клиента в отношении элементарных норм информационной безопасности, осведомлённость о приёмах нейролингвистического программирования и социальной инженерии, постоянная готовность противостоять мошенникам.

Новой технологией мошенников стал стартовавший 1,5 года назад скриптинг − массовое заражение по технологии Gumblar сайтов популярных публичных провайдеров, управляемых посредством FTP-протокола. Посещение привычных популярных сайтов стало сродни игре в проигрышную лотерею, чревато заражением.

Часто злоумышленники превращали в загрузчиков продукты Adobe, интегрированные с Microsoft Internet Explorer – файлы PDF и SWF, в которые размещали вредоносный скрипт. Более чем за год Adobe Systems Inc. так и не удалось полностью избавиться от этой уязвимости. Пока единственная надежда – отключение исполнения JS-скриптов в документах Adobe.

Из специализированных средств можно рекомендовать межсетевые экраны и антивирусные средства, анализирующие входящий трафик на наличие вредоносного скрипта или программного обеспечения. Помочь мог бы запрет запуска активного содержимого или скриптов, но, большинство «банк-клиентов» в работе используют именно эти средства.

Специальные вредоносные программы пытаются маскировать заражение компьютера. Но признаки заражения всё-таки можно заметить: компьютер начинает работать нестабильно, программы дают сбои, возникают трудности соединениям «банк-клиент». Антивирус отключается, антивирусные базы не обновляются, некоторые сайты, в первую очередь связанные с безопасностью, становятся недоступными. Вовремя заметив неполадки, клиент может успеть принять адекватные меры и избежать финансовых потерь.

ПРОМЕДЛЕНИЕ РАЗОРИТЕЛЬНО

Действовать нужно незамедлительно и комплексно. В первую очередь обратиться в банк для блокировки действующих ключей. Затем − вылечить компьютер. Можно рекомендовать различные инструментальные сборки LiveCD, например, специализированные (от DrWeb, Kaspersky), или универсальные, типа Alkid, для возможного ручного анализа ситуации, сохранения образов дисков, доказательной базы, анализа логов и т.д. Может потребоваться переформатирование жёстких дисков и полная переустановка программного обеспечения.

В заключение следует обратиться в банк для внеочередного получения новых ключей. Как правило, срок реагирования − от одной до нескольких недель с момента заражения. Лимит времени зависит от того, для собственных нужд злоумышленники «взламывали» чужой компьютер, или чтобы выставить похищенные данные на продажу. На подготовку кражи кибер-ворам требуется время.

Не обойтись без создания схемы обналичивания украденных денег. В последнее время популярны дроперские схемы. В другом регионе в розничном банке оформляются платежная карта на чужой паспорт, также дропером может выступать фирма-однодневка. Создаётся клон жертвы − клиентское рабочее место системы «банк-клиент» с украденными данными. Доступ настоящего клиента к платежной системе блокируется, чтобы жертва не смогла узнать, что кто-то распоряжается её счётом.

Клон жертвы, чаще всего через мобильного провайдера, в последнее время особенно популярным стал WiMax, соединяется с сервером «банк-клиент», совершает платёж и отслеживает его исполнение. Качество достоверности фальшивого платежного документа зависит от того, насколько полно украдены данные клиента, включая цифровую подпись. Дальше остаётся только снять украденную сумму наличными через банкомат.

ЦЕНА МГНОВЕНИЯ

После того, как платежный документ изготовлен мошенниками и отправлен в банк, счет идет на часы и минуты. Остановить преступников жертве хотя ужу нелегко, но ещё можно. Например, потребовав по телефонному звонку в банк приостановить проведение платежей.

У самого банка не так много способов предотвратить преступление: если цифровая подпись верна, по договору обслуживания платёж должен быть выполнен. Только хорошее знание «штатного режима» банковского обслуживания данного клиента может побудить сотрудника, проводящего операции, потребовать подтверждения, например, по телефону.

Без кражи клиентских данных, в первую очередь ключей и паролей, манипуляции с «банк-клиент» и подделка цифровой подписи невозможна. Доступны ряд технологий, которые предотвратить хищение ключевых данных. Например, виртуальная клавиатура, которая заменяет ввод пароля с клавиатуры на манипуляции мышью, не оставляя надежды кей-логерам. Также некопируемые ключи eToken, SmartCard, пусть и более дорогие, чем обычные флэшки.

Правда, существуют и особо изощрённые методы кибер-воровства. Проникнув на компьютер жертвы, и подчинив его себе, злоумышленники могут вместо модуля копирования ключей использовать модули удаленного управления. Тогда они могут подменять реквизиты и прочие данные, в платёжных документах и создавать фальшивые.

К сожалению, компьютер пользователя, на котором стоит «банк-клиент», в 99% случаев используется не только для операций клиента со счетами, но как универсальное средство обработки и обмена информацией. Разнообразные каналы связи потенциально являются путями проникновения вирусов.

НЕПРИСТУПНАЯ АВТАРКИЯ

Главные усилия должны быть направлены на то, чтобы предотвратить несанкционированный доступ. Насколько возможно опустить перед кибер-преступниками «железный занавес»? Главная задача – изолировать дистанционное банковское обслуживание, разделить с другими видами работы на компьютере, сопряженные с опасностью вирусного заражения.

Путей «информационной автаркии» − «добровольной изоляции» есть несколько. Можно запускать дистанционное банковское обслуживание на виртуальной машине, изолированной от основной файловой системы и приложений, возможно, зараженных вирусами. Ещё один способ − использовать только hardware компьютера: лайф-клиент, например на флэш-носителе, по типу LiveCD, совмещённый с eToken, или же с жёстким контролем пользования.

Новые возможности информационной защиты открываются облачными вычислениями, распространением на клиента механизмов корпоративной безопасности. Есть соответствующие продукты McAfee и Symantec, они дорогие, но на повышение степени защиты скупиться не стоит.

Радикальным средством выступает специализированная банковская операционная система, защищенная от вирусов. Сразу отсекается почти весь спам, возможности DDoS-атак и бот-неты. Даже если злоумышленник проникнет в сеть под видом клиента с ним куда как проще будет справиться. Банковское сообщество может арендовать у провайдеров часть мощностей для создания своеобразного интранета − изолированной подсети, не имеющей контактов с Интернетом, к которой будут подключены только банки и клиенты.

Чтобы максимально обезопасить свои деньги, пользователь системы дистанционного банковского обслуживания должен помнить: рабочий компьютер − своего рода ключ к управлению его банковским счётом. Недопустимо, работая на нём, посещать разнообразные развлекательные сайты, в том числе сомнительного содержания. Это всё равно, что посещать аналогичные места в реальной жизни, нося ключ от квартиры, где деньги лежат, на верёвочке на шее, да ещё поверх одежды.

 

Смотрите также

Подпишись на новости!
Подписаться