Грабеж на расстоянии

Oсенью в Москве прошел очередной XV форум разработчиков интегрированных банковских систем. Подавляющее большинство докладов в этом году было посвящено информационной безопасности. Особое внимание выступающие уделяли защите систем дистанционного банковского обслуживания (ДБО). Причина - мощный рост количества и качества атак. Воровство через интернет-банки превратилось из искусства хакеров-одиночек в организованную преступность. Специалисты по безопасности кредитных учреждений рассказывают: сегодня одна группа людей занимается финансированием хакеров, вторая - хищением ключей, третья маскировками краж, четвертая - обналичкой ворованных денег и т.д. При этом методы борьбы с преступниками пока не разработаны, вычислить их практически невозможно.

Банки к такому повороту оказались не готовы. Например, один из ИТ-директоров кредитного учреждения, работающего на Урале, признался: «В начале года у нас было совершено порядка десяти удачных попыток хищений средств. Несколько раз преступникам удалось украсть по миллиону рублей. Сегодня на наш интернет-банк совершается по десять атак в месяц. Еще в конце 2008 года такие случаи были единичными».

Однако первые громкие хищения состоялись именно в 2008-м. Например, осенью прошлого года стало известно, что со счета Уральского бюро экспертизы и оценки, обслуживавшегося в Уральском банке реконструкции и развития, похищено около 1,5 млн рублей. Директор бюро Елена Топал обвинила банк в том, что он предоставил некачественную, незащищенную услугу. Руководство кредитного учреждения в ответ заметило: интернет-банк никто не взламывал, хищение ключа ЭЦП произошло на уровне компании. Его могли похитить либо сотрудники, либо хакеры при помощи вируса, от которого не были защищены компьютеры клиента.

В конце 2008-го управление «К» ГУВД Свердловской области сообщило: летом каждую неделю из финансово-кредитных учреждений Екатеринбурга якобы пропадало по 2 млн рублей. При этом офицеры спецподразделения говорили, что это лишь 10% от реального объема совершаемых хищений, так как некоторые клиенты держат деньги на счетах, «о которых предпочитают не говорить».

Статистику 2009 года правоохранители не раскрывают, ссылаясь на указания главка. Банки тоже всеми силами пытаются скрыть факты краж, однако информация то и дело просачивается в прессу. Одними из последних случаев стали DDOS-атака (обрушение на сервер ложных запросов с большого числа заранее зараженных вирусом компьютеров, в результате чего интернет-банк становится недоступным для реальных пользователей) на Гранбанк и попытки воровства денег с помощью фишинга (полной имитации интерфейса интернет-банка) у «Русь-Урал».

Атакуют сегодня в подавляющем большинстве счета корпоративных клиентов. Физлица в поле интереса преступников практически не попадают (например, у банка «Кольцо Урала» интернет-банк действует только для физлиц и пока не зафиксировано ни одной атаки, у СКБ-банка на сервис для граждан также никто не покушался). Причина - хранимые средства невелики, а если они и значительны, то снятие больших сумм вызывает подозрение.

Твой ключ - мой ключ

Методов украсть деньги посредством системы ДБО несколько. Первый - взломать ее. Однако сегодня это практически невозможно. Банки настолько хорошо защищены, что атака практически в 100% случаев будет замечена и отбита.

Второй метод гораздо более легкий и распространенный - воровство ключей ЭЦП, паролей у клиента. Начальник службы информационной безопасности Банка24.ру Андрей Ерин: «В 99% хищение средств происходит по вине самих клиентов, которые не соблюдают элементарные правила информационной безопасности, например, своевременно не обновляют антивирусные программы».
Существует несколько способов воровства. Первый - подкуп должностных лиц, имеющих доступ к счетам через системы ДБО. Второй - похищение ключей с помощью вирусов-троянов. Троян обнаруживает, что на компьютере стоит система ДБО, устанавливает в нее следящую программу, клиент вводит секретный ключ, вирус похищает его и по электронной почте пересылает злоумышленникам. Трояны постоянно обновляются, поэтому заметить их сразу антивирусными программами бывает сложно.

Еще один способ кражи ключей - фишинг - выделяет ведущий вирусный аналитик Лаборатории Касперского Денис Масленников. Например, клиенту на электронную почту приходит письмо якобы от администрации банка с просьбой пройти авторизацию по ссылке. Клиент заходит на сайт, который полностью повторяет оригинальную страницу кредитного учреждения, вводит логин и пароль - а преступники их считывают. Директор департамента информационных технологий СКБ-банка Вячеслав Лаптев: «Фишинг - не столь распространенный способ воровства данных. Обычно у банка есть несколько степеней защиты, просто ввести логин и пароль недостаточно. Нужна ЭЦП, которую простым фишингом не украдешь. Конечно, преступники могут придумать что-то более изощренное. Например, сделать такую имитацию интернет-банка, которая будет вести пользователя вплоть до подписи платежки. Но я пока с таким не сталкивался».

Денис Масленников подтверждает:

- По нашим данным, доля фишинговых писем в спаме в третьем квартале 2009 года составила 0,99% - в два раза больше, чем во втором квартале. Наиболее часто атакуются платежная система PayPal и интернет-аукцион eBay. В России фишинговые атаки не столь распространены, как на Западе. Причина - меньшая востребованность систем онлайн-платежей и онлайн-банкинга. Если различные клиентские сервисы начнут обретать популярность среди российских пользователей, этот факт не останется незамеченным злоумышленниками. Тогда можно будет ожидать увеличения роста фишинговых атак на российских пользователей.

После кражи секретных данных преступники похищают средства и в большинстве случаев переводят их на пластиковые карты подставных лиц. Таким образом, найти злоумышленника оказывается невозможно. Статистика ИТ-директоров уральских банков показывает, что в 95% случаев карты оформляются в крупных федеральных банках (ВТБ 24, Альфа-Банк, Газпромбанк), в которых эмиссия пластика велика, а процедуры оформления и идентификации упрощены.

Хищения зачастую сопровождаются маскировкой. Способа два - банальная смена пароля и DDOS-атака на сервер банка с целью на некоторое время сделать сервис ДБО недоступным для клиентов.

Индивидуальная защита

Вал атак конца 2008 - начала 2009-го в срочном порядке вынудил банки совершенствовать систему защиты систем ДБО. По некоторым данным, банки даже заказывали санкционированные атаки на свои сервисы, чтобы выявить их слабые места. В результате сегодня, по утверждениям ИТ-директоров, 90% попыток хищений средств удается пресечь.

Проблема в обнаружении преступных действий заключается в том, что злоумышленники пользуются совершенно легитимными секретными данными. Поэтому для банка при проведении платежа не происходит ничего подозрительного. Тем более что преступники обычно больше 1 млн рублей не снимают (с пластиковой карты снять большую сумму сложно), а иногда бывает, что перечисляют и по 50 тыс. рублей, что для юрлиц - обычное дело.

Способы защиты от несанкционированного снятия средств можно грубо поделить на две части. Первый происходит на уровне банка.
Вячеслав Лаптев:

- Есть такое понятие - «фрод». Оно означает потенциально мошенническую операцию. У нас внедрена система, позволяющая отслеживать не свойственные конкретному клиенту платежные поручения. Создана специальная служба, которая занимается их проверкой. Мы звоним клиентам, чтобы удостовериться, действительно ли они перечислили данную сумму на данный счет. Кроме того, мы отслеживаем способы маскировки преступников. Например, если после перевода средств пользователь меняет пароль, то это очень подозрительно.

Самый простой способ антифишинга, который применяют банки, - выведение на экран персональной информации о клиенте. Как правило, любая имитация не может держать базу данных банка, поэтому ее легко обнаружить.

Кредитные учреждения уже давно разработали и дополнительные методы защиты. Однако, как признаются ИТ-директора, клиенты к ним не готовы, считая их прихотью банка.

Иногда клиенты правы, потому что кредитные учреждения зачастую используют неэффективные массовые методы борьбы с мошенниками. Например, некоторые предлагают ограничить суммы платежей, ввести IP-фильтрацию (ограничение количества компьютеров, имеющих возможность получения доступа к счету клиента), составить перечень организаций и физических лиц, в пользу которых клиент никогда не будет совершать платежи.

Однако клиентам необходимо обратить внимание на индивидуальные способы защиты.

Первый - подкрепление авторизации одноразовыми паролями. Они не являются ЭЦП. Таблицы с ними клиент может периодически получать у банка. На стороне кредитного учреждения их не украсть (базы защищены очень хорошо). У компании их можно похитить только физически, что сразу будет замечено. Есть аппаратное средство для генерации одноразовых паролей, так называемый ОТР-токен.

Второй способ - использование аппаратных средств для хранения ключей ЭЦП. Наиболее эффективное - USB-токен.

В идеале он работает как мини-компьютер: это флешка со встроенным процессором, который защищен от записи и копирования. Все операции по счетам проходят внутри токена (в него заходит документ без подписи, выходит уже с ЭЦП). Наружу, в интернет, конфиденциальная информация вообще не поступает.

USB-токен был бы идеальной защитой, если бы не одно но. По нашим сведениям, в России пока не реализован стандарт, по которым ключ из токена не уходил бы во внешнюю среду. Пока процедура происходит следующим образом. Гаджет настраивается на определенную программу, и только она может запросить ЭЦП из токена. Преступники могут имитировать приложение или украсть ключ из него самого. Хотя пока таких случаев не было.

Подобное устройство стоит порядка 1 тыс. рублей, но клиенты неохотно идут на его добровольную покупку. Предприятия до сих пор руководствуются политикой «крадут у всех, но только не у меня». Свою роль здесь играет и крайняя скрытность банков: за всю историю интернет-банкинга только два-три учреждения признались в том, что у их клиентов украли деньги. Конечно, можно долго кричать о сломе менталитета. А пока - замкнутый круг.