Безопасность электронных банковских платежных систем
Безопасность
электронных банковских платежных систем
Содержание:
Введение
Словарик
Основная
часть работы
Электронные
банковские услуги
HOME
BANKING (домашний банк)
Система
"Клиент-банк"
Интернет-банкинг
WАР-банкинг
Интернет
- мошенничество
Виды
и методики осуществления мошенничества в сфере интернет-банкинга
Основные
виды правонарушений
Технические
приемы получения данных пластиковых карт
Этапы
операции по обналичиванию денежных средств
Случай
мошенничества и кражи денег в интернет-банкинге
Масштаб
проблем
Меры
безопасности
Полный
перечень мер безопасности для клиентов
Адаптированный
перечень мер безопасности
Перспективы
использования ДБО
Заключение
Введение
электронный банковский интернет
карта
Нашу жизнь сегодня уже сложно себе представить
без Интернета. Поиск информации, обмен сообщениями, интернет-торговля и т.п. В
частности, использования Сети для осуществления электронных платежей. Последнее
время российские пользователи все чаще пользуются системами онлайн-банкинга и
порой, в средствах массовой информации появляются сообщения о подстерегающих
этих пользователей угрозах. Именно поэтому меня заинтересовала проблема
безопасности работы с электронными банковскими платежными системами.
Актуальность данной проблемы обусловлена:
Развитием дистанционного банковского
обслуживания;
Ростом мошенничества в сфере онлайн-банкинга;
Наиболее подвержены рискам при работе с ДБО как
люди пенсионного возрастатак и далекие от ИT (информационные технологии).
Целью моей работы является создание адаптированногоперечнямер
безопасности при работе с онлайн-банкингом для возрастной категории людей и
людей, плохо разбирающихся вИТ. Данный перечень может послужить основой для
краткого справочника (памятки), выдаваемого в банках. Использование такого
доступного помощника позволит понизить степень недовериянаселения, расширить
границы применения электронных банковских платежных систем и повысить уровень
безопасности при работе с ними.
Для достижения поставленной цели я провела
анализ услугДБО, предлагаемых банками, рассмотрела сопутствующие риски ,
масштабы и методы мошенничества в электронных системах, проанализировала меры
безопасности, которые рекомендуют банки РФ при работе с онлайн-банкингом, и на
основе этого анализа создала полный перечень мер безопасности для клиентов,
который в последствии адаптировала дляцелевой аудитории. Так же в работе
рассмотрены перспективы развития онлайн-банкинга в России.
Словарик.(сокр. от англ.
DistributedDenialofService, Распределённый отказ от обслуживания) - изначально
тип сетевой атаки, основанной на небезграничности ресурсов атакуемой службы, к
которой организуется масса запросов, с которыми она заведомо не сможет
справиться, и будет вынуждена отказать в обслуживании (либо заставить ждать
неприемлемо долго), собственно, отсюда и название. Иногда слово применяется к
аналогичным ситуациям в оффлайне.
Рис.1 DDoS атака
Дистанционное банковское обслуживание (ДБО) -
общий термин для технологий предоставления банковских услуг на основании
распоряжений, передаваемых клиентом удаленным образом (то есть без его визита в
банк), чаще всего с использованием компьютерных и телефонных сетей.(англ.
SecureSocketsLayer - уровень защищённых сокетов) - криптографический протокол,
который обеспечивает установление безопасного соединения между клиентом и
сервером. SSL изначально разработан компанией NetscapeCommunications.(англ.
CardVerificationValue 2) - трёхзначный код проверки подлинности карты платёжной
системы Visa. Другие платёжные системы имеют сходные технологии, к примеру
аналогичный защитный код для карт MasterCard носит название CardValidationCode
2 (CVC2). Наносится на полосе для подписи держателя после номера карты либо
после последних 4 цифр номера карты способом индент-печати. Используется в
качестве защитного элемента при проведении транзакции в среде CNP
(cardnotpresent).
Бот-сети - криминальные паразитные подсети
внутри интернета, занимающиеся распространение вирусов, сбором конфиденциальной
информации о пользователей, кражей электронных покупок, организацией атак на
крупные сервера.Бот-сети состоят из небольшого количества нелегальных
специальных серверов, но на большую часть - из обычных пользовательских
компьютер, владельцы которых не подозревают о том, что их компьютер «работает
налево», так как зараженспециальным «бот-вирусом»
Основная часть работы:
Свою работу я хочу начать с обзора электронных
услуг, предлагаемых банками России.
Электронные банковские услуги
Глобализация мировой экономики не могла не
затронуть банковскую деятельность, что привело к серьезным изменениям в
банковской сфере, в том числе в обслуживании предприятий, организаций и частных
лиц - клиентов банка.
Рост мирового платежного оборота и обусловленный
им рост издержек обращения настоятельно диктует необходимость создания принципиально
нового механизма безналичного и наличного денежного обращения, обеспечивающего
быстро растущие потребности в платежах и ускорение оборачиваемости денежных
средств при одновременном снижении издержек обращения и сокращении трудовых
затрат. Основной путь решения данной проблемы - это использование так
называемой безбумажной технологии на основе передового опыта индустриально
развитых стран в сфере широкого применения на практике заменителей наличных
денег и платежных инструментов и средств.
Именно поэтому все большее внимание банки
уделяют уровню информационного и компьютерного обеспечения, количеству и
качеству информационных услуг, предоставляемых клиентам, новым технологиям как
важному фактору конкурентоспособности на рынке банковских услуг
Российские банки также сталкиваются с
необходимостью устанавливать связи и производить расчеты через зарубежные
банки, придерживаться стандартов, принятых в мировой банковской практике, в
целях интеграции с мировой банковской системой. Однако для того, чтобы стать
партнером зарубежного банка в обслуживании общих клиентов, российскому банку
необходимо достичь высокого уровня развития, в том числе и в сфере новых
технологий.
Автоматизированные банковские системы (АБС) на сегодняшний день являются одной
из самых быстро развивающихся областей прикладного сетевого программного
обеспечения (ПО).
Нужно отметить, что АБС представляют из себя
"лакомый кусочек" для любого производителя ПО. Поэтому почти все
крупные компании-разработчики предлагают на этом рынке свои системы. В
настоящее время АБС позволяют автоматизировать практически все стороны
банковской деятельности. Функционируют программы, обеспечивающие расчеты,
целиком ориентированные на Интернет, или так называемые виртуальные банки;
банковские экспертно-аналитические системы, использующие принципы
искусственного интеллекта, и многое другое.
BANKING (домашний банк)
Более 20 лет назад, а именно, в 80-х годах было
положено начало развитию принципиально нового направления банковского
обслуживания клиентов - homebanking. Оно заключается в проведении банковских
операций на дому или в офисе клиента с использованием телефонной связи, модема
и компьютера. Спектр банковских услуг, предоставляемых подобным образом,
значительно расширил список традиционных услуг, предоставляемых клиентам. Они
включают как обычные расчетные операции (причем валюта расчета не ограничена
только национальной), так и информационные услуги.
В последние годы появилась возможность и
необходимость предоставления дистанционного банковского обслуживания
(электронных услуг) с использованием сети Интернет.
Преимущества использования подобных систем
заключаются в следующем:
большая скорость по сравнению с традиционными
методами зачисления средств и прохождения их между банками;
сокращение себестоимости операций и издержек для
банка и клиента;
уменьшение трудоемкости операций при безбумажной
технологии;
снижение рисков не прохождения платежей;
для банка исчезает необходимость трудоемкой
работы с наличностью;
удобство в использовании (виртуальный банк может
работать круглосуточно, у клиента имеется возможность не посещать банк, не
нужно иметь наличные средства для небольших покупок, быстрота оформления сильно
сокращает время от заказа до доставки товара и пр.).
Однако необходимо обратить внимание и на
недостатки виртуального банка.
повышенный уровень риска клиента при работе с
таким банком, если он не является подразделением невиртуального банка,
отсутствие наработанного авторитета на рынке,
гарантий и участия в федеральных программах страхования вкладов
отсутствие разработанной правовой базы для
такого рода бизнеса.
клиентам недостает личного общения с банковскими
работниками, возможности индивидуального подхода.
В технологии "домашний банк" можно
выделить три основные направления развития:
Система "Клиент-банк".
Интернет-банкинг.
Мобильный банкинг (WАР-банкинг).
Система "Клиент-банк"
Началом подобных операций считают 1983 год,
когда строительное общество NottingamBuildingSociety, британская телефонная
компания BritishTelecom и Банк Шотландии стали использовать систему Homelink.
С помощью таких систем клиенты банка могут
совершать разнообразные операции прямо из дома или своего офиса:
управление счетом,
получение информации о состоянии счетов и
некоторой другой банковской информации,
проведение платежей и оплата услуг с расчетного
и других счетов и с пластиковых карт
Такие платежи могут совершаться не только в
национальной, но и иностранной валюте. Использование данной системы банком дает
преимущества при привлечении клиентов, уводя их из банков, не предоставляющих
такие услуги. Сегодня подобные системы с удовольствием устанавливают как очень
крупные организации, так и мелкие фирмы, которым нет необходимости иметь офис,
они используют в качестве офиса свой дом. Объем банковских услуг,
осуществляемый с помощью системы "Клиент-банк" растет с большой
скоростью.
Интернет-банкинг - система получения банковских
услуг через выход в Интернет. Клиент может наблюдать за ходом торгов и
участвовать в них, следить за оформлением совершенных сделок и своей позицией,
ведением архивов биржевой информации.
Такая система, в отличие от программы
"Клиент-банк", не привязана к конкретному компьютеру с установленным
ПО. Клиент может выходить в Интернет с любого компьютера, для этого ему
необходимо только наличие электронного ключа Обычно это дискета, которая
путешествует вместе с клиентом. Таким образом, он может получать банковские
услуги в любом месте земного шара и на любом компьютере.
Частные лица должны хорошо знать современные
технологии и доверять им, уметь считать собственную выгоду, быть динамичными,
иметь свободные средства и хотеть эффективно их использовать.
WАР-банкинг
АР-банкинг, мобильный банкинг (mobilebanking,
m-bankmg) - получение банковских услуг непосредственно с помощью мобильного
телефона или ноутбука при использовании технологии беспроводного доступа
(WirelessApplicationProtocol). Такая технология позволяет передавать
сокращенную информацию некоторых сайтов, поддерживающих WAP (например, Yahoo и
др.), на мобильные телефоны и совершать некоторые действия. Она позволяет
владельцам определенных модификаций мобильных телефонов выходить в Интернет
непосредственно с телефона без дополнительного оборудования, обращаться к
приложениям благодаря встроенному в телефон. WAP использует двоичный формат, что
позволяет эффективно сжимать пакеты данных, протокол оптимизирован под
длительный период ожидания и низкую пропускную способность каналов.
Преимуществами такой системы является еще
большая свобода в доступе, недостатком является неудобство получения информации
нанебольшом дисплее.
Таким образом, на рынке России представлены все,
наиболее востребованные услуги в области ДБО. Услуги есть, есть банки, есть
потребители этих услуг.От куда же риски?
Интернет -мошенничество
Основные причины резкого возрастания числа
интернет-мошенничеств можно разделить на две группы:
. субъективные, связанные с недостаточной
осведомленностью участников информационных отношений в области защиты своих
интересов,
. объективные причины, связанные с применяемыми
программно-техническими средствами.
Несмотря на многочисленные предупреждения и в
договорах, и на сайтах банков, а также в СМИ, клиенты недостаточно глубоко и
точно понимают, где и как у них могут украсть деньги и что делать, чтобы этого
не произошло. Пользователи уделяют слишком мало внимания обеспечению
собственной безопасности в Интернете. Например, для многих из них до сих пор не
является аксиомой, что нужно применять и своевременно обновлять антивирусные
средства.
Кроме того, среди клиентов бытует мнение, что
использование нелицензионного программного обеспечения напрямую не вредит
безопасности, а нарушает лишь авторские права. Однако «пиратские» операционные
системы не загружают регулярные обновления безопасности, в то время как
антивирусные средства рассчитаны на то, что средства безопасности Microsoft
будут обновлены и выполнят свою задачу. В итоге из-за неправильного их
взаимодействия в системах защиты остаются бреши.
Следующая причина - использование неадекватных
уровней безопасности в системах ДБО(дистанционного банковского обслуживания).
Уровень безопасности должен зависеть от сумм и типов операций: операции между
своими счетами, предопределенные операции с ограниченными суммами требуют
совершенно иного уровня безопасности, чем операции в пользу третьих лиц без ограничения
суммы. При упрощенной системе безопасности можно разрешать только все операции
по собственным счетам. Если в системе нет запрета на платежи в пользу третьих
лиц, необходима криптография на компьютере пользователя и разовые пароли. Это
позволяет хорошо защитить и банк, и клиента.
Встречаются и чисто технологические ошибки в
разработке систем ДБО. Их должны создавать профессионалы в области
безопасности, иначе в системах могут возникать алгоритмические «дыры».
Например, в своем компьютере клиент вставляет USB-токен и начинает работу. В
момент подписания платежного документа троян подкладывает фальшивое платежное
поручение, которое подписывается правильными подписями и отправляется в банк.
Это технологическая уязвимость: в некоторых системах существует незащищенный
канал между микропроцессором шифрования и процессором компьютера, который
недостаточно контролируется. Такая уязвимость закрывается профессиональными
криптографами, так как простое применение сертифицированных криптографических
библиотек эту проблему не поможет решить, потому что проблема в неверных
алгоритмах применения библиотек.
Еще одна причина - использование в системах ДБО
несертифицированных средств криптографической защиты информации, что создает
условия правовой незащищенности участников информационных отношений. Случаи
взлома криптографии очень редки: зачем взламывать шифр, если можно украсть
ключи? Деньги пропадают с использованием собственных ключей пользователя. Если
клиент будет пытаться доказать свои права в суде, то во внимание будут
приниматься только сертифицированные средства.
Так же одной из важных угроз систем ДБО сегодня
является недостаточно проработанная нормативно-правовая база отношений клиента
с банком. Юридически грамотный злоумышленник,знающий технологию применения электронной
цифровой подписи,может найти уязвимости в договорах и регламента, а затем
используя систему ДБО провести поддельную транзакцию, отказаться от нее и
подать исковое заявление в суд. Задача банка - доказать в суде обратное,т.е.
доказать, что банк действовал правильно.
В большинстве случаев кредитная организация не
несет юридической ответственности перед своими клиентами в рамках заключенного
между ними договора. Компрометация данных, которые необходимы злоумышленникам,
зачастую происходит именно по вине клиентов. Тем не менее даже в таких случаях
большинство кредитных организаций, в случае обращения клиента стараются помочь
ему вернуть утраченные средства, и это часто удается сделать.
С другой стороны, возможны ситуации, когда
кредитная организация может понести юридическую ответственность за убытки своих
клиентов. Речь идет о случаях, когда клиент не виноват в произошедшем, в том
числе на основании решения суда, включая случаи, когда к списанию средств
клиента причастны сотрудники кредитной организации.
Несмотря на то что большинство банков в рамках
договора с клиентами формально не несет ответственности за утрату клиентами
средств при использовании пин-кода пластиковой карты, суды в большинстве
случаев встают на сторону клиентов. Такие риски могут быть застрахованы в
рамках полиса страхования рисков эмитентов банковских карт.
Любой банк обязан выполнять требования по
обеспечению защиты информации следующих внешних по отношению к финансовой
организации нормативно-правовых актов:
Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ
"О персональных данных";
Федеральный закон РФ от 7 августа 2001 г. №
115-ФЗ "О противодействии легализации доходов, полученных преступным
путем";
Стандарт международнойплатежной системы VISA PA
DSS (в контексте требований стандарта PCI DSS для программного обеспечения
процессингового центра);
Рекомендации ЦБ РФ, направленные циркулярным
письмом Московского ГТУ Банка России № 33-00-18/3183 от 25.01.2010 г. "О
рекомендациях для кредитных организаций по дополнительным мерам информационной
безопасности при использовании систем интернет-банкинга".
Виды и методики осуществления мошенничества в
сфере интернет-банкинга
Мошенничество с картами и мошенничество с ДБО,
соединенные в один технологический «узел», дают синергетический эффект для
мошенничеств. Потери от таких действий в десятки раз превосходят отдельно
взятые воровство из интернет-банкинга и кражи денег из банкоматов.
Интернет-банкинг позволяет воровать деньги с банковских счетов, а банкоматные
сети дают возможность украденные деньги обналичивать.
Как пластиковые карты вовлекаются в
интернет-мошенничество? В первую очередь через расчеты за услуги через
Интернет. Далеко не все онлайн-магазины предлагают защищенные сервисы для
использования платежных карт. Используются порой совершенно незащищенные
технологии. Как только клиент ввел на небезопасный сайт данные своей карты, он
может быть уверен, что вскоре получит уведомление о совершенной с его карты
покупке в каком-нибудь «левом» интернет-магазине.
С другой стороны, пластиковые карты служат для
аутентификации клиента в системах дистанционного банковского обслуживания, в
том числе даже без наличия электронно-цифровой подписи. Так для мошенников
открывается путь в системы ДБО.
И еще: карты стали соединять с электронными
деньгами и счетами в сотовой связи.
Основные виды правонарушений
Самый распространенный вид мошенничеств через
ДБО - это хищение денежных средств со счетов клиентов с использованием краденых
«ключевых» данных клиентов
Следующий вид правонарушения - кража персональных
данных для изготовления персональной карты через специальные программы,
скимминговые устройства, данные процессинговых центров.
Далеко не все онлайн-магазины предлагают
защищенные сервисы для использования платежных карт
Теперь мошенники стремятся украсть персональные
данные или данные пластиковых карт не только для непосредственного их
использования, но и для управления банковскими счетами. Самое простое - когда
секретные ключи лежат на носителе, который можно потерять. Либо воры могут
украсть ключи с использованием троянов или просто могут получить мошеннический
удаленный доступ к компьютеру клиента и использовать честно защищенные данные.
Прошли времена хакеров-одиночек. Сейчас чаще
всего действует организованная группа или даже несколько различных функциональных
групп или группировок.
Нынешнее мошенничество - это высокотехнологичная
операция с очень специфическими функциями, где на каждом этапе нужна очень
профессиональная подготовка. Универсалы-одиночки здесь не справятся. Работа
таких групп сильно распределена по четко выраженным этапам, а также
территориально.
Большинство мошеннических действий, связанных с
интернет-банкингом, происходят в два этапа. Сначала преступник должен получить
в свои руки информацию об учетной записи клиента, имя пользователя и пароль.
После этого он, используя украденные данные, переводит деньги своей жертвы на
другой счет или обналичивает их.
Для первого этапа - получение информации -
злоумышленники чаще всего используют две популярных схемы мошенничества:
«Фишинг» схема: происходит от двух английских
слов «пароль» и «рыбалка». Мошенники рассылают письма наэлектронные почтовые
ящики, якобы, отлица банка, спросьбой предоставить личную информацию, такую,
как номер социального страхования, имя пользователя в системе «Онлайн- банкинг»
и пароль банковской карты.
Рис.2 Фишинг(карикатура)
«Троянский конь» схема: в рассылаемых
мошенниками электронных письмах содержатся вредоносные программы, которые
запускаются в компьютере потребителя без его ведома. Трояны часто входят в
ссылки или вложения от неизвестных отправителей электронной почты. После
установки такой программы автоматически определяется, когда человек-жертва
мошенничества- пользуется сайтами банковских сервисов, при этом копируется имя
пользователя и пароль, после чего троян передает эту информацию
правонарушителю. Люди, использующие общедоступные компьютеры, в таких местах,
как интернет-кафе, часто подвержены атаке подобных вирусов и других вредоносных
или шпионских программ. Такие пользователи в большей степени рискуют стать
жертвами кражи идентификационной информации.
Когда проведен подготовительный этап, определены
цели, сроки, задачи, пути вывода наличных, средства прикрытия и блокировки
сервисов ДБО, можно начинать собственно операцию: преступники получают доступ
непосредственно к счету или карте клиента и осуществляют несанкционированный
перевод на заранее подготовленный промежуточный счет. Затем нужна хорошая
DDoS-атака, которая обрушит сервис, чтобы клиент не смог своевременно получить
информацию о движении средств на его счете. DDoS-атака должна закончиться в тот
момент, когда деньги будут обналичены.
Значит, атаку на систему ДБО можно представить
как выполнение следующих этапов:
создание специального «инструментария» - программ-троянов
для сбора данных;
создание специального «инструментария» -
программ-троянов для организации DDoS-атак;
распространение троянов и создание БОТ-сетей;
создание центра управления (координации)
«операцией»;
проведение «операции»;
«зачистка» следов проведения «операции» -
проведение DDoS-атак на системы ДБО.
Технические приемы получения данных пластиковых
карт:
использование программ-«шпионов» в
автоматизированных системах потенциальных жертв;
использование программ-«шпионов» в банкоматах;
использование накладок - «скиммеров» на
банкоматы;
воровство пластиковых карт и данных с
пластиковых карт;
изготовление пластиковых карт по подложным
документам;
изготовление пластиковых карт, принадлежащих
«третьим» лицам;
воровство персональных данных реальных граждан
для использования в фиктивных «зарплатных» проектах.
Этапы операции по обналичиванию денежных
средств:
создание специального «инструментария» -
программ-троянов или технических средств (скиммеров) для банкоматов;
подготовка «пула» настоящих дебетовых карт,
выпущенных на «третьих» лиц, либо подготовка «белого пластика» на основе
краденых данных;
получение этих пластиковых карт
заинтересованными лицами;
проведение «операции»;
«зачистка» следов «операции» - DDoS-атака на
системы ДБО.
Непосредственно обналичивание реализуется
переводом со счета юридического лица на множество счетов пластиковых карт
физических лиц с последующим снятием наличных в банкоматах. Как правило,
происходит снятие небольших сумм в разных банкоматах. Это самое слабое звено:
непосредственных исполнителей обналички можно найти
В «помощь» мошенникам появились «зарплатные
карточные проекты» фиктивных компаний, основной смысл существования которых -
массовое легальное «распыление» крупных сумм и обналичивание. Мошенники собирают
персональные данные, пишут заявление в банк и получают определенное количество
дебетовых карт, на которые можно регулярно и на законных основаниях переводить
деньги, а затем их обналичивать.
Случай мошенничества и кражи денег в
интернет-банкинге:
Попытки фишинга были замечены в интернет-банке
Сбербанка. Один из таких случаев очень подробно описала пострадавшая клиентка
крупнейшего банка России в одной из соц. Сетей. Так, 20 октября 2012 года
девушка попыталась воспользоваться услугой «Сбербанк Онлайн». Но во время
выполнения данной операции с ее карты Visa была снята крупная сумма в размере
30 тысяч рублей, их за четыре приема перевели на незнакомый ей QIWI-кошелек.
Когда девушке удалось подключиться к системе и
зайти на сайт Сбербанка, то она увидела предупреждение о проведении технических
работ. При этом там было отмечено, что владельцев счета или карты может
получать смс-коды, однако их следует проигнорировать или отменить, так как они
неверные и вызваны сбоями в работе интернет-банка. Практически сразу же ей
перезвонил якобы сотрудник Сбербанка и подтвердил только что прочитанную
информацию на официальном сайте. Девушка в точности следовала полученным
рекомендациям, а затем ей на мобильный телефон поступило смс-сообщение о
переводе 4-мя операциями денег с карты на кошелек виртуальной платежной
системы. Представители Сбербанка не подтвердили кражу средств таким путем со
счета ни одного клиента. По словам независимых экспертов, в случае с клиенткой
«Сбербанк Онлайн» мошенники использовали метод так называемой социальной
инженерии. Он стал очень популярным еще летом 2010-го года и по сей день не
теряет своей актуальности среди наиболее эффективных способов мошенничества в
интернет-банкинге.
Рис.3 Изображение фишингового сайта
Рис.4 Изображение мошеннического сообщения.
О ее сути рассказал глава департамента
экономической безопасности Альфа-Банка Валерий Антонов, который досконально
изучил эту технологию, дабы предупредить подобные случаи с клиентами своего
банка. Оказывается, мошенники создают поддельные сайты и собирают личные данные
держателей карт, вводя их в заблуждение.
Очень интересное мнение директора Центра
вирусных исследований и аналитики при антивирусной компании Eset. В частности
Александр Матросов отмечает всплеск подобных попыток завладеть деньгами честных
клиентов в сфере в 2009 году, что стало настоящим шоком для руководителей
крупнейших отечественных и иностранных банков. Именно тогда, стали
высказываться первые мнения о том, что попытки внедрения системы дистанционного
управления банковскими счетами будут необходимы. Тогда большинство решений по
жалобам пострадавших клиентов решались не в их пользу, ведь в договоре об этом
ничего не говорилось, причем клиент самостоятельно вводил пароли и коды, после
чего остался без средств.
Однако мошенничество - не единственная проблема
Интернет-банкинга, работа системы информационной безопасности периодически дает
сбои: не работает сайт банка, возникают проблемы с качеством услуг,
предоставляемых интернет-провайдерами. Впрочем, банки активно используют
дистанционное обслуживание как альтернативный канал сбыта.
Иногда деятельность коммерческих банков
испытывает интернет-атак. Сущность интернет-атак заключается в рассылке
электронного письма с информацией о проблемах банка. Масштабы интернет-атаки
могут быть довольно большими. Например, 30 web-ресурсов, каждый из которых
характеризуется 10000 посетителей в день.
Точный расчет аудитории, которую может охватить
интернет-атака, невозможен. Однако, приблизительная оценка может быть
осуществлена на основании публичных данных рейтингов web-сайтов
Так на сколько же актуальна проблема? Может не
всё так страшно и проблема надумана?
Масштаб проблем
Актуальность проблемы поднятой в моей работе
обуславливается также большим объемом киберпреступлений при использовании
онлайн-банкинга.
Чтобы определить масштаб проблем я исследовала
количество атак и урон от них с 2011 по 2012 год.
Наибольший урон современным организациям наносит
почтовый спам и распространение вирусов, DDoS-атаки, фишинг, черви, аномалии в
протоколах. В дополнение к этому у корпоративных клиентов все чаще появляется
потребность ограничивать и контролировать действия своих сотрудников в сети,
например заблокировать сайты, содержащие нежелательный контент, ограничить
доступ к социальным сетям, предотвратить возможные каналы утечек информации.
Согласно статистике компании Symantec, в 2011 г.
количество только заблокированных атак, совершенных с помощью вредоносного ПО,
возросло на 81% и превысило 5,5 млрд. А количество уникальных кодов вредоносных
программ достигло 403 млн, хотя в 2010 г. их было лишь 286 млн. Если говорить о
web-атаках, их стало больше на 36%, в результате ежедневно совершается более
4,5 тыс. атак в день.
Давая предварительную оценку данным 2012 г.,
аналитики Symantec ожидают увеличения количества и сложности целевых атак.
Используемые технологии и эксплойты станут доступны для массовых атак не столь
высокого уровня сложности, а вирусописатели намного активнее будут использовать
социальные сети для распространения вредоносных программ, что требует от
компаний любого масштаба повышенного контроля периметра сети.
По данным Groub-IB, внешние угрозы в отношении
корпоративных инфраструктур по-прежнему очень актуальны в связи с большим
количеством атак на системы интернет-банкинга и инцидентов, связанных с
хищением конфиденциальной информации. Например, возможность хищения денег с
банковского счета зависит от получения злоумышленниками аутентификационных
данных к системе дистанционного банковского обслуживания. Информация похищается
внешними злоумышленниками, которые эксплуатируют уязвимости в периметре защиты
организации. Таким образом, за первую половину 2012 г. компьютерным мошенникам
удалось совершить 4588 хищений с банковских счетов российских компаний на общую
сумму $474,1 млн.
Глава управления "К" МВД РФ Алексей
Мошков заявил, что количество киберпреступлений, совершенных в РФ в 2012 году,
выросло на 28% по сравнению с предыдущим показателем. Он отметил, что
киберпреступность становится все более и более серьезной проблемой для страны.
Самыми распространенными в прошлом году
киберпреступлениями стали интернет-мошенничество, кража денег из систем
дистанционного банковского обслуживания и хищение средств со счетов физических
лиц в банках. В 2012 году было зарегистрировано 3645 таких преступлений против
2123 преступлений в 2011 году.
По словам Мошкова, главным успехом в борьбе с
киберпреступлениями стала ликвидация сети зараженных компьютеров, которые
использовались для хищения денег из систем дистанционного банковского
обслуживания. В сети было 6 млн компьютеров, ущерб составил 150 млн рублей.
Из полученной статистики следует что система
безопасности электронного банковского обслуживания не совсем совершенна.
Рассмотрим предлагаемые методы противодействия.
Меры безопасности
Для написания данной работы я исследовала меры
для повышения безопасности, предложенные в открытых источниках информации
(Интернет) на сайтах банков России, предлагающих свои электронные услуги.
Самая основная и самая трудная мера - повышение
осведомленности как самих клиентов в области собственной безопасности при
использовании интернет-сервисов, так и сотрудников розничных отделений банков
при продаже продуктов ДБО. Это могут быть различные наглядные пособия для
клиентов, памятки, специализированные странички на сайтах банков, рекламные
материалы.
Для сотрудников - проведение тренингов, создание
систем мотивации. Врага надо знать, чтобы с ним бороться и применять меры
самообороны. Банкам следует настойчиво оповещать клиентов - пользователей
систем ДБО о мерах безопасности и давать им подробные рекомендации о применении
защитных мер, в том числе антивирусного программного обеспечения с функциями
антихакер и антишпион.
Следующие меры носят более технологический
характер и могут быть отнесены к самим банкам. Считается, что чиповые карты
более защищенные, чем магнитные, поэтому в качестве первой рекомендации банкам:
пора переходить на чиповые карты. На данном этапе развития технологий чиповую
карту можно скопировать, только если ее подержать в руках. Кроме того, нужно
внедрять использование «электронных кошельков» или «виртуальных» карт для
интернет-платежей.
Получение своевременной информации о состоянии
своего счета - гарантия оперативного принятия мер по возврату похищенных
средств. При краже счет идет на минуты. Если в течение двух часов клиент успеет
сообщить в банк, что у него «увели» деньги, есть шансы вернуть всю сумму
полностью. Чем больше промежуток времени между фактом пропажи средств и
передачи сообщения в банк, тем меньше шансов остановить незаконную транзакцию.
Поэтому sms-информирование - это обязательный элемент безопасности.
Хорошие результаты дают системы онлайн-анализа
проведенных транзакций. Существуют признаки, по которым косвенно можно определить,
что происходит что-то неладное:
нетипичное «поведение» клиента - операции
производятся с другого IP-адреса, в странное время или списывается необычная
сумма.
Могут производиться нетипичные переводы со
счетов как юр. лиц, так и физ. лиц на карточные счета физ. лиц. Сразу после
таких переводов производится массовое снятие наличных.
многократный отказ в проведении транзакции за
короткий период и одновременное, либо за короткий промежуток времени, снятие
наличных с одной карты в разных регионах.
кроме того, это уже упоминавшиеся переводы на
счета электронных денег. Промышленные системы могут анализировать более 150
типов признаков аномального поведения клиентов, что позволяет выявлять и
пресекать не менее 70% мошеннических операций.
Введение условий использования карточных
продуктов вне мест постоянного проживания клиентов дает хороший эффект. Запрет
на проведение операции без предварительного уведомления о том, что человек
уехал в определенную страну, также помогает защитить держателей карт. Также хороший
эффект дает так называемая IP-фильтрация адресов, с которых клиенты проводят
операции в системах ДБО.
Полный перечень мер безопасности для клиентов
Проанализировав данные с сайтов банков
Российской Федерации, я объединила рекомендации, предложенные для повышения
безопасности при работе с ДБО, и создала полный перечень мер безопасности для
клиентов:
Для доступа в личный кабинет требуется только
идентификатор и пароль/одноразовый пароль. В случае,если от Вас требуется ввод
любой другой персональной информации (номеров банковских карт, мобильного
телефона, других личных данных), следует прекратить пользование услугой и
связаться с банком.
Банк никогда не запрашивает пароли для отмены
операций. Если Вам предлагается ввести пароль для отмены операции, то прекратите
сеанс использования услуги и срочно обратитесь в банк.
При получении SMS с одноразовым паролем
внимательно ознакомьтесь с его содержанием. Вводить пароль следует только в том
случае, если операция инициирована вами и реквизиты получателя средств в
обязательном порядке соответствуют реквизитам операции в полученном
SMS-сообщении.Для отмены операций сообщения с паролями банком никогда не
направляются.
Проверяйте, что установлено защищенное
SSL-соединение с официальными сайтами услуги.
Ни при каких обстоятельствах не разглашайте свой
пароль никому, включая сотрудников банка.Пароль для входа в систему это Ваша
личная конфиденциальная информация.
Не используйте сомнительные места и компьютеры
для работы с интернет-банком. Не пользуйтесь онлайн услугой непосредственно
через Интернет-обозреватель мобильного устройства (телефона, планшета и пр.),
на который приходят SMS-сообщения с подтверждающим одноразовым паролем. Для
мобильных устройств существуют собственные версии системы.
При утрате мобильного телефона (устройства), на
который Банк отправляет SMS-сообщения с подтверждающим одноразовым паролем или
неожиданным прекращением работы SIM-карты, Вам следует как можно оперативней
обратиться к своему оператору сотовой связи и заблокировать SIM-карту.
Пользуйтесь дополнительными возможностями
системы по повышению уровня безопасности (SMS-информирование о входе в личный
кабинет, настройка видимости карт и счетов, управление лимитами на операции и
пр.).
Не устанавливайте на мобильный телефон,
устройство, на который Банк отправляет SMS-сообщения с подтверждающим
одноразовым паролем, приложения, полученные от неизвестных вам источников.
Помните, что банк не рассылает своим клиентам ссылки или указания на установку
приложений через SMS/MMS/Email - сообщения.
Требования к хранению одноразовых паролей,
напечатанных на чеке банкомата, аналогичны требованиям к хранению ПИН-кодов
банковских карт: никто, кроме Вас не должен иметь доступ к чеку с одноразовыми
паролями. В случае их утери или кражи Вам следует незамедлительно обратиться в
банк или запросить новый список паролей на банкомате.
Используйте лицензионное программное
обеспечение, а также своевременно обновляйте антивирусные программы;
В официальных письмах банк всегда обращается к
клиенту по имени и указывает конкретные реквизиты, в зависимости от типа письма
(например - тип карты, номер счета). Мошенникам такая информация не известна и
письма от них всегда будут выглядеть "обезличенными" (в обращении
указаны только общедоступные данные, например адрес электронной почты) или
содержать неверные (другого человека) данные.
Сообщение от мошенников о якобы имевшем место
«выигрыше», для получения которого просят вписать данные по карте в указанную
форму. После заполнения «формы» через некоторое время происходит хищение денежных
средств. Такие реквизиты карты как: номер, срок её действия, CVV2, фамилия и
имя владельца достаточны для списания с неё денежных средств, указывайте их
только при осуществлении покупок или платежей на доверенных (известных, хорошо
себя зарекомендовавших) Интернет-ресурсах.
Тестовый опрос представителей целевой аудитории
показал, что большинство из них, не понимает и половины из вышеописанных
рекомендаций. Получив из средств массовой информации, сведения о выявленных
мошенничествах в этой сфере, ещё больше пугается и всячески старается избежать
любых контактов с ДБО. На раз наблюдала очереди у банкоматов в дни получения
заработной плати и пенсии (люди снимают всю сумму, что бы у них её не украли).
О каком продвижении ДБО можно говорить в такой ситуации? Ниже представлен
предлагаемый мной перечень мер по повышению безопасности операций с ДБО.
Адаптированный для понимания целевой аудиторией.
Адаптированный перечень мер безопасности:
ПРАВИЛО 10 НИКОГДА:
НИКОГДА банк не требует ввода номеров банковских
карт, мобильного телефона, других личных данных для доступа в личный кабинет;
НИКОГДА банк не запрашивает пароли для отмены
операции;
НИКОГДА не разглашайте свой пароль;
НИКОГДА не используйте сомнительные места и
компьютеры для работы с онайн-банком;
НИКОГДА банк не рассылает своим клиентам ссылки
или указания на установку приложений через SMS/MMS/Email - сообщения;
НИКОГДА не используйте нелицензионное
программное обеспечение;
НИКОГДА не забывайте обновлять антивирусную
программу на своем персональном компьютере
НИКОГДА не используйте незнакомые банкоматы,
расположенные в затемненных, немноголюдных местах;
НИКОГДА не используйте банкомат, если у него
повреждена или имеет не стандартный вид клавиатура, картоприемник
НИКОДА не забывайте проверять баланс своих банковских
счетов.
Перспективы использования ДБО
Использование ДБО:
Перспективы развития и распространение ДБО
показывают актуальность моей работы.
Развитие онлайн-банкинга сейчас достаточно
перспективно. Все большее количество банков начинают внедрять системы, которые
позволяют им взаимодействовать с клиентами через Интернет. Так, по мнению
специалистов, около половины всех клиентов банков, внедривших подобные системы,
могут в дальнейшем использовать глобальную мировую сеть Интернет для
взаимодействия с банками.
На текущий момент, большинство потребителей
услуг онлайн -банкинга - это бухгалтеры предприятий, которые ведут расчеты,
получают выписки, отправляют платежные поручения через Интернет.
Следующей ступенью дальнейшего развития
онлайн-банкинга может стать работа с конкретными отраслями промышленности.
Так, одним из перспективных направлений является
предоставление клиентам механизмов, которые позволят быстро производить
платежи, вне зависимости от места нахождения получателя и банка, услугами,
которого он пользуется. Большинство банков, внедривших системы онлайн-банкина,
находится в Москве, однако и региональные банки все чаще используют Интернет
для обслуживания клиентов.
Ряд экспертов называют 2013-й «годом
аутентификации», так как многие компании , осознав недостаточность традиционной
защиты с помощью логина/пароля, станут разрабатывать развитые средства
аутентификации. «Парольная модель защиты мертва,- заявляют в Fortinet.- Ей на
смену придет двухфакторная аутентификация».
Как отмечают в «Лаборатории Касперского», хотя
по-прежнему доминируют бессистемные атаки, направленные на кражу личной
информации случайных пользователей, заметным явлением стали целенаправленные
акции, попытки проникновения в корпоративную сеть конкретной организации. 16%
компаний считают, что в будущем эта угроза станет для них самой актуальной.
Нередко главной задачей является сбор конфиденциальных данных, которые можно с
выгодой продать. Целевые атаки вовсе не обязательно связаны с применением
изощренных методов: в большинстве случаев слабым звеном становится
«человеческий фактор». В 2013 году еще более распространенным явлением станет
кибершпионаж.
Распространение:
Банковские специалисты отмечают высокий интерес
к технологии онлайн-банкинга со стороны клиентов.
Чтобы узнать распространение ДБО, я решила
провести опрос в своем городе. Среди 20 опрошенных только 25% не пользуются
электронными банковскими услугами, а так же всего 15% подвергались атакам
мошенников. Результаты опроса представлены на диаграммах:
Диаграмма 1.
Использование электронных банковских платежных систем
Диаграмма 2. Возраст участников опроса
Диаграмма 3 Атаки мошенников
Как оказалось,электронные платежные банковские
системы используют в основном люди в возрасте от 18 до 50 лет, люди же
пенсионного возраста не доверяют ДБО по причинам сопутствующих рисков и
отсутствия знаний банковских аббревиатур. Так же люди данной возрастной категории
не пользуются электронными банковскими услугами, так как рекомендации по
безопасному использованию банковских услуг зачастую им не понятны. Поэтому
предложенный перечень мер безопасности не подходит для людей пенсионного
возраста. Для того чтобы расширить круг людей, использующих ДБО, я решила
адаптировать данный перечень мер безопасности.
Заключение
На сегодняшний день одним из важных факторов
успешного функционирования системы онлайн-банкинга является охват наиболее
широкого спектра операций с клиентами и банковских продуктов. В своей работе я
попыталась создать памятку для привлечения большего количества пользователей.
Показала актуальность проблемы защиты онлайн-банкинга, исследовала
сопутствующие риски и перспективы развития онлайн-банкинга в России.