Исследование

Атаки на банки

В статье представлен обзор методов, которые современные киберпреступники используют для проведения атак на финансовые организации, в частности на банки. Речь пойдет об общих тенденциях в этой области и о том, как вирусописатели создают программы, ориентированные на финансовые организации, которые умеют скрывать себя от антивирусов. Мы расскажем также о фишинге, «денежных мулах» и технических приемах, которые киберпреступники используют при запуске атак (например, таких как перенаправление трафика, атаки «man-in-the-middle» и «man-in-the-endpoint»). И наконец, будут предложены рекомендации по решению проблемы защиты информации, с которой сталкиваются все пользователи систем интернет-банкинга.

Цель статьи – дать IT-специалистам более подробное представление о способах проведения кибератак на финансовые организации, а также о том, каким образом можно уменьшить негативные последствия атак.

Основные тенденции

В 2007 году разработчики антивирусов столкнулись с резким увеличением числа вредоносных программ, нацеленных на банки (т.н. financial malware). Несмотря на то что финансовые организации не предоставляют точной информации, можно сделать вывод, что число атак на банки также возросло.




Рост вредоносного финансового ПО – в процентах

Несмотря на увеличение количества атак, процент обнаруживаемого за месяц вредоносного финансового ПО падает, что отражено на графике. Этому могут способствовать следующие факторы.

  • Авторы вредоносного ПО постоянно модифицируют свои программы для того, чтобы сделать их невидимыми для антивирусов. Однако, если изменения незначительны, антивирус может обнаружить новую вредоносную программу, используя сигнатуры предыдущих ее модификаций.
  • На приведенном выше графике отражена ситуация только с вредоносным финансовым ПО. Однако атаки на банки – это, как правило, многоступенчатый процесс: социальная инженерия, фишинг, использование троянских программ-загрузчиков, которые затем устанавливают на компьютер-жертву вредоносное финансовое ПО. Увеличение числа атак связано с увеличением числа модификаций троянцев-загрузчиков. Злоумышленникам проще модифицировать троянца (который, как правило, меньше по размеру и не столь сложный), чем сами вредоносные финансовые программы.

Помимо того, что увеличилось число вредоносных программ, нацеленных на финансовые организации, выросло и количество программ, которые могут разом атаковать два банка и более. Но, как показывает приведенный ниже график, процент вредоносного ПО, нацеленного более чем на три финансовых организации одновременно, также снижается.




Количество вредоносного ПО, способного атаковать более трех финансовых организаций одновременно, – в процентах

Таким образом подавляющее большинство такого рода вредоносных программ предназначены для проведения атак на 1-3 банка. Причина этого в том, что вредоносное финансовое ПО имеет своего рода «региональный» характер: вредоносные программы разрабатываются с целью поразить конкретные банки или финансовые организации в конкретном регионе. Каждая программа пишется в расчете на наиболее популярные банки в одном из таких регионов, как США, Германия, Мексика или Великобритания.

В основном в сфере интересов авторов вредоносного финансового ПО оказывается сравнительно небольшое число банков (см. график ниже). Судя по всему, выбор банков, обусловлен двумя факторами: большим количеством клиентов и относительной легкостью получения параметров доступа к счетам этих банков из-за низкого уровня защиты.




«Горячая десятка» банков, подвергшихся атакам вредоносного финансового ПО

В 2007 году произошло также резкое увеличение числа троянских программ, занимающихся кражей данных, которые пользователь вводит в веб-форму. Эти программы нацелены на наиболее популярные браузеры, такие как Internet Explorer, Opera и Firefox. Такие троянцы легко приспособить для кражи реквизитов кредитных карт, и их использования может оказаться вполне достаточно, чтобы взломать систему защиты банка: здесь все зависит от степени надежности принятых мер информационной безопасности. Многие банки, использующие однофакторную аутентификацию пользователей, уязвимы для относительно простых видов атак.

Умение скрываться от антивируса

Финансовые вредоносные программы отражают общие тенденции вредоносного ПО в выборе векторов заражения. Подавляющее большинство вредоносных программ, нацеленных на банки, заражают компьютеры через интернет. И хотя некоторое количество подобных программ по-прежнему доставляется на компьютер жертвы по электронной почте, у злоумышленников, атакующих финансовые организации, есть веские причины, чтобы предпочесть интернет.

Прежде всего, у вредоносных программ, доставляемых по электронной почте, больше шансов привлечь к себе внимание антивирусных компаний и финансовых организаций, не говоря уже о средствах массовой информации и конечных пользователях. Однако залогом успеха атак на финансовые организации является способность вредоносных программ к скрытным действиям, следовательно, загрузка их через интернет с использованием эксплойтов оказывается весьма привлекательным методом. Если пользователь не замечает ничего странного в работе своего компьютера, он будет продолжать работать в обычном режиме, а значит, будет вводить конфиденциальные данные, которые злоумышленники затем похитят и будут использовать в криминальных целях.

Во-вторых, при заражении через интернет быстрому обнаружению антивирусными решениями вредоносных программ препятствует то, что они размещаются на веб-сервере. Следовательно, киберпреступники, которые используют эти программы для проведения атак, могут легко модифицировать вредоносные файлы с помощью автоматических инструментов. Этот метод известен как «серверный полиморфизм». В отличие от обычного полиморфизма, где алгоритм, используемый для модификации кода, содержится в теле самой вредоносной программы, «серверный полиморфизм» не позволяет создателям антивирусов проанализировать алгоритм, изменяющий вредоносный код, поскольку он расположен на удаленном сервере. И хотя существует возможность разработки процедуры generic-обнаружения (обнаружения вредоносного кода по общим признакам, объединяющим вредоносные программы данного типа, а не по сигнатурам каждой конкретной программы) для программ, использующих «серверный полиморфизм», на это уходит больше времени.

Кроме того, некоторые «продвинутые» троянские программы-загрузчики, используемые для доставки вредоносного финансового ПО к месту назначения, самоуничтожаются (или «тают») после удачно или неудачно выполненной загрузки вредоносной финансовой программы. Естественно, это серьезно осложняет проведение антивирусными специалистами аналитических исследований.

«Денежные мулы» (money mules)

Увеличение потока вредоносного финансового ПО является результатом продолжающейся криминализации киберпространства и стремления использовать вредоносные программы для получения денег. Кража данных (номеров кредитных карт, кодов доступа к банковским счетам) — это лишь часть дела. Затем злоумышленникам нужно найти способ вывести деньги из платежной системы. Очевидно, что они не могут перевести украденные деньги на собственные счета, поскольку это существенно увеличивает риск быть обнаруженными и наказанными.

Банки ответили на увеличение количества атак дополнительным вложением средств, времени и сил в создание механизмов обнаружения мошенничества и нелегальной деятельности злоумышленников. Одной из таких мер безопасности является отслеживание транзакций, при которых крупные суммы переводятся в «подозрительные» регионы.

Для того чтобы обойти ловушки, расставленные банками, злоумышленники прибегают к услугам «денежных мулов», которых на языке киберкриминала называют дропами. Их находят, размещая объявления с предложениями о работе (например, «Требуется финансовый менеджер»), при этом на первый взгляд, предлагаемая работа выглядит вполне легальной. Если соискатель принимает предложение, он получает документы, которые выглядят вполне официально и которые потенциальный «денежный мул» должен подписать для придания законности сделке. После этого его банковский счет начинают поступать деньги, из которых 85-90% «мул» переводит далее через системы электронных платежей MoneyGram или E-Gold. Этот метод гарантирует преступникам анонимность, что, безусловно, снижает вероятность быть пойманными. Деньги, оставшиеся на счету «денежного мула», являются его «комиссией», но по сути это деньги, заработанные незаконным путем с использованием фишинга или вредоносного финансового ПО.




Объявление с предложением работы для «денежных мулов»

Работа «денежного мула» может показаться легким способом зарабатывания денег, некоторые «сотрудники» даже уверены, что занимаются абсолютно легитимной деятельностью. Однако закон рассматривает их как соучастников преступления, а не как жертв, попавшихся на удочку злоумышленников. «Мулы» рискуют: их могут выследить и арестовать, особенно если они живут в той же стране, что и жертва.

Привлекать «денежных мулов» выгодно. Во-первых, если и они, и сами злоумышленники действуют в одной стране, то шансы на то, что автоматизированные банковские системы сочтут транзакции подозрительными, весьма незначительны. Во-вторых, преступники могут пользоваться услугами сразу нескольких «мулов» и переводить, например, $50 000 не одной суммой, а разбить ее на десять переводов по $5000. Это снижает вероятность вызвать подозрения и уменьшает потери в случае, если одна или две транзакции все же будут заблокированы.

Естественно, вербуя «мулов», киберпреступники рискуют – они должны быть уверены в своих помощниках. Ведь почти не существует гарантии того, что «мул» не исчезнет вместе с деньгами, переведенными на его счет.

Фишинг

Начиная разговор о фишинге, необходимо, прежде всего, дать ему точное определение. Под фишингом мы понимаем следующее: это электронные письма, присланные якобы от имени какой-либо (финансовой) организации и составленные таким образом, чтобы получатель, попавшись на удочку, сообщил свои конфиденциальные данные. Фишинг основан исключительно на методах социальной инженерии, и как только в дело вступают вредоносные программы, атака уже не может более считаться фишингом.

Нескончаемый поток фишинговых писем и появление наборов утилит для проведения фишинг-атак убедительно демонстрирует, что фишинг – это по-прежнему очень эффективный способ заставить пользователя «поделиться» своими конфиденциальными данными. И причин тому несколько. Во-первых, попытки «просветить» пользователей не дают пока желаемого результата: люди упорно продолжают проходить по ссылкам, содержащимся в фишинговых рассылках. Создается впечатление, что пользователи либо не подозревают о существовании механизмов защиты (таких как https), либо не придают этому вопросу серьезного значения, либо просто игнорируют предупреждения о недействительных или недостоверных сертификатах безопасности веб-сайтов. Кроме того, в попытке максимально увеличить денежный оборот киберпреступники постоянно придумывают все более изощренные схемы социальной инженерии, чтобы обмануть пользователя, достаточно сведущего в вопросах безопасности.

Вторая причина эффективности фишинга в том, что система защиты большинства финансовых учреждений может быть легко взломана с помощью самой простой фишинг-атаки. Даже беглый взгляд на меры безопасности, принимаемые во многих банках США, Великобритании и других стран, показал, что для получения доступа в систему интернет-банкинга используются самые обычные статические логины и пароли. Все, что требуется от киберпреступников, — получить эти имена и пароли, после чего они могут свободно проводить практически любые транзакции. Еще одним минусом использования статического имени пользователя и пароля является то, что их можно сохранять в памяти компьютера, что означает, что злоумышленнику нет необходимости обрабатывать данные в режиме реального времени, эту работу можно сделать позднее.

Банки, которые более ответственно относятся к своим системам защиты, используют как минимум один динамический пароль – одноразовый пароль, который действителен только для одной сессии. Такая аутентификация может применяться как при входе в систему, так и при подтверждении транзакции, а лучше в обоих случаях. Это сделает невозможным подтверждение транзакции с помощью устаревшего пароля, а в идеале – остановит злоумышленника уже при попытке несанкционированного входа в систему.

Для того чтобы киберпреступники могли с помощью фишинга произвести транзакцию в обход установленных динамических паролей, они должны применить атаку Man-in-the-Middle (MitM). Этот тип атаки мы рассмотрим чуть ниже. Подготовить атаку Man-in-the-Middle существенно сложнее, чем запустить работу стандартного фишингового сайта. Однако сейчас появилась возможность приобрести наборы утилит для проведения атак Man-in-the-Middle, поэтому злоумышленники могут атаковать популярные банки, прилагая для этого минимум усилий.

Судя по тому что фишинг остается очень распространенным видом интернет-мошенничества, атаки с его использованиемчасто бывают вполне успешны. Однако, с точки зрения киберпреступников, у фишинга имеется один серьезный недостаток: пройти или не пройти по ссылке, содержащейся в сообщении, вводить или не вводить данные зависит только от пользователя.

Этот момент выбора присутствует всегда, когда речь идет о методах социальной инженерии. Технический подход, предусматривающий использование вредоносного программного обеспечения, исключает возможность выбора: его можно применять в отношении тех пользователей, которые не попались на удочку фишинг-мошенников.

Автоматизированные атаки

Создаваемое вредоносное финансовое ПО бывает самым разнообразным, и обычно оно «подгоняется», т.е. специально приспосабливается для атаки на конкретную организацию. Способ действия такой вредоносной программы, как правило, определяется тем, какая система безопасности установлена в компьютерной сети банка. Это значит, что киберпреступникам нет необходимости тратить время на создание чересчур сложного вредоносного ПО. Есть несколько методов, которые вирусописатели могут использовать, чтобы обойти систему защиты банка и получить пользовательские данные. Например, если в системе защиты банка применяется однофакторная аутентификация со статическим именем пользователя и паролем, то задача решается всего лишь регистрацией того, какие клавиши нажимаются. Другое дело, если банк использует динамические кнопочные панели, и пользователь должен набрать некую «произвольную» комбинацию, чтобы ввести свой пароль. «Перехитрить» систему защиты авторы вредоносных программ могут, применив один из двух методов: либо сделать снимок экрана, когда пользователь заходит на конкретный сайт, либо получить информацию, перехватив отправленную на сайт форму, заполненную пользователем. В обоих случаях похищенные данные обрабатываются позднее.

Использование кодов авторизации (Transaction Authorisation Numbers (TAN)) для подтверждения транзакции несколько усложнило получение доступа к счетам. Финансовая организация может выдать держателю счета список кодов на физическом носителе или присланный в виде SMS-сообщения. В обоих случаях у киберпреступников не будет к нему доступа. Чаще всего вредоносное ПО перехватывает вводимую пользователем информацию одним из способов, описанных выше. Как только пользователь вводит код, вредоносная программа перехватывает эту информацию и либо выдает поддельное сообщение об ошибке, либо отправляет другой, неправильный, код на сайт финансовой организации. В результате пользователю приходится вводить другой код. В некоторых финансовых организациях для завершения транзакции требуется ввести два кода (это зависит от установленной в их сети системы защиты). Если же требуется введение только одного кода, то описанная выше атака может позволить киберпреступникам совершить две транзакции.

Успех подобной атаки в большой степени зависит от особенностей системы авторизации. Некоторые системы не ограничивают срок действия кодов авторизации транзакции, и следующим вводимым кодом оказывается тот, что идет следующим в списке. Если следующий по списку код не попадает на сайт финансовой организации, злоумышленники могут либо воспользоваться им немедленно, либо сохранить его и использовать позднее. Однако украденные коды менее «долговечны», чем статические имя пользователя и пароль, потому что, если у пользователя постоянно будут возникать проблемы во время банковской онлайн-сессии, то он, скорее всего, позвонит в банк и попросит о помощи.

Если коды авторизации отправляются держателю счета в виде SMS-сообщений, то для каждой отдельной транзакции будет предоставляться отдельный код (подобно методу двухфакторной аутентификации). С этого момента киберпреступники начинают обрабатывать информацию в режиме реального времени, применяя атаку Man-in-the-Middle.

Перенаправление трафика

Еще один метод в арсенале киберпреступников – перенаправление трафика. Для этого есть несколько способов. Самый простой – модифицировать файл hosts (системный файл Windows). Этот файл, расположенный в директории %windows%system32driversetc, может быть использован для того, чтобы обойти запросы к DNS-серверу (Domain Name Server). DNS-сервер преобразует доменные имена, например www.kaspersky.com, в IP-адреса. Имена доменов нужны исключительно для удобства пользователей; компьютерам для соединения с узлом необходим IP-адрес. Если файл hosts модифицировать так, чтобы он перенаправлял запросы с определенным доменным именем на IP-адрес фальшивого сайта, компьютер соединится с этим последним.

Еще один тип атак, связанный с перенаправлением трафика – изменение настроек DNS-сервера. Вместо того, чтобы избежать отправки запроса на легальный DNS-сервер, настройки меняются, таким образом, чтобы компьютер использовал иной, вредоносный DNS-сервер. Большинство людей, подключающихся к интернету с домашнего компьютера, отправляют запросы на DNS-сервер своего интернет-провайдера. Поэтому подавляющее большинство таких атак ориентировано на рабочие станции. Однако если для получения доступа в интернет используется маршрутизатор, то по умолчанию DNS-запросы выполняет он, передавая их результаты на рабочие станции. Было отмечено несколько атак на маршрутизаторы, целью которых было изменить настройки DNS на маршрутизаторе . Учитывая повышенный интерес к плохой защищенности маршрутизаторов, следует ожидать, что атаки на них станут более распространенными. Для изменения ключевых настроек модификации отдельных установок, таких как установки используемых DNS-серверов, могут быть применены атаки XSS (Сross Site Sсriрting), для проведения которых нужно, чтобы пользователь посетил определенный сайт в интернете.

Перенаправлять трафик можно и установив на компьютер-жертву троянскую программу, которая отслеживает посещение интернет-сайтов. Как только пользователь соединяется с сайтом банка или другой финансовой организации, троянец перенаправляет трафик на фальшивый сайт. Это можно сделать с сайта, использующего протокол HTTPS, на сайт HTTP (потенциально небезопасный): тогда троянец, как правило, может блокировать любое предупреждающее сообщение, посылаемое браузером.

С точки зрения киберпреступников, у этого метода есть свои недостатки: такие троянские программы обычно представляют собой так называемые Browser Helper Objects, которые работают только в Internet Explorer. Кроме того, хотя трафик и перенаправлен, передаваемые данные нельзя обрабатывать в режиме реального времени, что дает жертве возможность связаться со своим банком и остановить транзакцию.

Атака Man-in-the-Middle

В более сложном вредоносном ПО применяется атака Man-in-the-Middle (MitM), которая позволяет киберпреступникам не только поразить больше банков, но и гарантированно получить более высокую прибыль, поскольку информация обрабатывается в реальном времени. При атаке Man-in-the-Middle используется вредоносный сервер, который перехватывает весь трафик между контрагентами, т.е. между клиентом и финансовой организацией. Пользователь не замечает ничего подозрительного, и, когда его просят разрешить транзакцию, на самом деле он разрешает транзакцию, осуществляемую киберпреступниками. Вредоносное ПО, применяющее атаку MitM, обычно либо скрывает уведомления браузера о фальшивом сертификате безопасности веб-сайта, либо (что случается чаще) показывает фальшивое уведомление. Однако в зависимости от подхода, реализованного авторами вредоносной программы, ей может не потребоваться ни того, ни другого. Например, пользователь заходит на сайт банка, вредоносная программа получает контроль над трафиком и перенаправляет его на MitM-сервер; вредоносная программа лишь «обновляет» банковскую страницу, создавая у пользователя впечатление, что он по-прежнему находится на сайте банка.

Во многих сложных финансовых вредоносных программах, предназначенных для проведения атак MitM, используются также HTML-инъекции.

Как правило, это происходит следующим образом. Троянская программа Trojan-Spy.Win32.Sinowal, принадлежащая семейству вредоносных программ, которые могут атаковать более 750 банков, часто показывает всплывающие окна, куда пользователь должен ввести данные. Sinowal может показывать и всплывающие окна, где запрашивается не имеющая прямого отношения к делу информация, пытаясь убедить пользователя ввести другие конфиденциальные данные. Ниже приведен пример скриншота, показывающий всплывающее окно, созданное троянцем Sinowal на сайте банка. У пользователя запрашиваются реквизиты кредитной карты, которые не имеют отношения к текущей транзакции.


Всплывающее окно, созданное Sinowal, в котором запрашиваются реквизиты кредитной карты

Более распространенным способом использования HTML-инъекций является размещение на интернет-странице банка дополнительной формы, при заполнении которой требуется ввести дополнительную информацию.

Как правило, запрашиваемые данные – это имя пользователя и пароль, необходимые для совершения транзакции. Таким образом сервер, проводящий атаку Man-in-the-Middle, может автоматически завершить транзакцию даже в тех случаях, когда используется двухфакторная аутентификация.

И хотя нельзя сказать, что успешное завершение атаки Man-in-the-Middle невозможно без использования этого метода, он легче других поддается автоматизации. Однако некоторые атаки Man-in-the-Middle применяют другую тактику. Они или добавляют еще одну транзакцию, или модифицируют уже подтвержденную клиентом транзакцию, разумеется, не уведомляя об этом жертву.

Обычно атаки Man-in-the-Middle проходят успешно, но с точки зрения киберпреступников, у них есть определенные недостатки. MitM-атаки существенно замедляют работу браузера, что может вызвать подозрения у пользователя. Кроме того, банки пересматривают подход к системам защиты, и пытаются выявить незаконные транзакции эвристическими методами. Например, если клиент входит в систему с определенного IP-адреса 99 раз, а в сотый раз он делает это с IP-адреса, зарегистрированного в другой стране, система подаст сигнал о возможной угрозе безопасности.

Стараясь максимально увеличить свою прибыль и остаться при этом на свободе, киберпреступники изучают другие способы проведения атак. В результате мы наблюдаем усиление активности так называемого следующего поколения вредоносного финансового ПО – атак Man-in-the-Endpoint.

Следующее поколение

Концепция атак Man-in-the-Endpoint обсуждается на протяжении уже нескольких лет, однако лишь недавно эти атаки стали активно применяться. В отличие от атаки Man-in-the-Middle атака Man-in-the-Endpoint не использует дополнительный сервер для перехватывания трафика между клиентом и сервером: все изменения происходят в локальной системе.

У такого подхода есть несколько важных преимуществ. Во-первых, соединение с компьютерной системой финансовой организации устанавливается напрямую, и тогда незаконная транзакция не привлечет к себе внимания тем, что пользователь вошел в систему с неизвестного IP-адреса. Во-вторых, атака Man-in-the-Endpoint более эффективна в борьбе со сложными системами защиты, чем атака Man-in-the-Middle.

Однако создание атаки Man-in-the-Endpoint требует от писателя вредоносных программ времени и усилий. Один из сценариев атаки – заражение системы троянской программой, предназначенной для перехвата всего трафика HTTPS и отправки его вирусописателям. Анализ перехваченного трафика позволяет вирусописателям получить представление об особенностях работы сайта и создать еще одну троянскую программу, специально предназначенную для атаки на этот сайт.

Киберпреступники обычно используют Man-in-the-Endpoint для атаки на банки с двухфакторной системой аутентификации, затрудняющей получение несанкционированного доступа к разделу на сайте банка, используемому для проведения транзакций. Метод, описанный выше, эффективен с технической точки зрения. Он также избавляет от необходимости привлекать инсайдеров, т.е. работников финансовой организации, способных предоставить преступнику достоверные имена пользователей и пароли для входа на ее сайт.

Троянские программы, используемые для атаки, часто имеют возможность получать информацию с сервера управления, где преступники хранят данные о номерах счетов и количестве денег, которые следует перевести. В результате каждый зараженный компьютер в динамическом режиме получает сведения, на основании которых он переводит средства соответствующим «денежным мулам».

Примечательно, что вирусописатели создают варианты вредоносной программы в соответствии со специфическими механизмами защиты банка. Это делается для того, чтобы максимально увеличить эффективность атаки. Например, в одном банке троянец тайком добавляет новую транзакцию, в другом – скрытно подменяет транзакцию пользователя, чтобы не вызвать подозрений.

Решения

Потери финансовых организаций в результате деятельности киберпреступников растут во всем мире. Установка более надежных систем защиты стоит больших денег, но очевидно, что банкам придется пойти на эти траты. Рассказанное в этой статье наглядно демонстрирует, что однофакторная аутентификация легко преодолевается злоумышленниками: все, что для этого требуется, – это простая программа-кейлоггер для перехвата вводимой с клавиатуры информации. Обнадеживает то, что многие банки, в которых еще не установлена двухфакторная система аутентификации, в настоящее время планируют это сделать.

Однако сегодня наметилась четкая тенденция: рост числа банков, использующих двухфакторную систему аутентификации, привел к увеличению количества вредоносного ПО, способного обойти и этот способ защиты. Это значит, что повсеместное применение двухфакторной аутентификации не даст долгосрочного эффекта, а лишь поднимет планку для писателей вредоносного финансового ПО.

С другой стороны, следует отметить, что большинство банков, использующих в настоящее время двухфакторную систему аутентификации, до сих пор не настроили ее так, чтобы она обеспечивала максимальную степень защиты. Это значит, что создатели систем IT-безопасности могут повысить уровень защиты финансовых организаций, оптимизируя настройки установленной системы.

Тем не менее, у двухфакторной аутентификации существует серьезный недостаток: несмотря на то что сама сессия интернет-банкинга защищена, контроль над тем, что именно происходит во время сессии, отсутствует. Для усиления защиты требуются дополнительные способы контроля, такие как использование криптографического устройства аутентификации (токена) или SMS-сообщений (которые уже применяются некоторыми финансовыми организациями). С помощью SMS-сообщений можно устанавливать ограничение на срок действия кодов авторизации, на доступные для совершения транзакции номера счетов, на максимально допустимую сумму транзакции.

Очевидно, что у последнего метода есть потенциальные недостатки – его широкое использование приведет к тому, что вирусописатели будут создавать вредоносные программы для устройств, которые принимают SMS-сообщения. И в этом случае криптографическое устройство доступа – хорошее решение, поскольку установить какое-либо дополнительное программное обеспечение на него невозможно. В идеале такое устройство должно иметь отдельные алгоритмы для входа на сайт и для подтверждения транзакции.

В настоящее время при подтверждении транзакции от пользователей требуется криптографическая верификация. Но проблема в том, что коды верификации не несут для пользователя никакой смысловой нагрузки. Поэтому для каждой транзакции нужно проводить дополнительную верификацию. Использование для этого суммы транзакции –не самый безопасный способ, поскольку некоторые троянские программы уже «справляются» с этим механизмом, изменяя номер счета вместо проведения дополнительных транзакций.

Верификация, обеспечивающая должный уровень безопасности, могла бы включать в себя требование к пользователю ввести реквизиты счета, на который он хочет перевести деньги, т.е. ту информацию, которой нет у вредоносных программ и у киберпреступников. Преимущество такого сценария в том, что пользователь самостоятельно вводит номер счета. Теоретически это означает, что у него больше шансов обнаружить подложную транзакцию, чем в том случае, если бы он просто вводил данные, присланные в SMS-сообщении.

Кроме того, подобный механизм можно сделать более удобным для пользователя, предусмотрев возможность создания списка разрешенных номеров счетов, для доступа к которым не требуется дополнительная аутентификация. Однакоэто потребует защиты как для самого списка разрешенных, так и для процедуры доступа к нему.

Очевидно, что многое зависит от самих финансовых организаций и банков, от их желания принимать надлежащие меры защиты. Обеспечение безопасности интернет-банкинга – сравнительно новая проблема, и на создателей антивирусного ПО в этой связи ложится дополнительная ответственность: способны ли решения для защиты от информационных угроз обнаруживать последние варианты современных вредоносных финансовых программ, в состоянии ли они заблокировать фишинг-атаки?

И последнее, но не менее важное: любая система или процедура безопасности в конечном счете проверяется по тому, насколько эффективно работает ее самое слабое звено. В данном случае это пользователь. Станет ли он проходить по ссылке или запускать приложение? Установлены ли в его системе все необходимые обновления? Часть финансовых организаций уже учитывают эти факторы, а некоторые (например, в Новой Зеландии) даже отказываются возмещать убытки, если в системе, подвергшейся атаке, не были установлены все необходимые обновления.

К сожалению, опыт показывает, что попытки обучения пользователей не слишком продуктивны и что меры безопасности, принимаемые организациями, часто бывают бессистемными. Следовательно, когда дело доходит до атак на банки, антивирусная индустрия вновь оказывается на передовой, защищая как пользователей, так и финансовые организации.


«Лаборатория Касперского» не возражает против перепубликации материала с полным указанием авторства (автор, компания, первоисточник).

Публикация переработанного текста требует дополнительного согласования с информационной службой компании.

Атаки на банки

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике