Безопасность электронных банковских систем

Следующая причина - использование неадекватных уровней безопасности в системах ДБО(дистанционного банковского обслуживания). Уровень безопасности должен зависеть от сумм и типов операций: операции между своими счетами, предопределенные операции с ограниченными суммами требуют совершенно иного уровня безопасности, чем операции в пользу третьих лиц без ограничения суммы. При упрощенной системе безопасности можно разрешать только все операции по собственным счетам. Если в системе нет запрета на платежи в пользу третьих лиц, необходима криптография на компьютере пользователя и разовые пароли. Это позволяет хорошо защитить и банк, и клиента.

Встречаются и чисто технологические  ошибки в разработке систем ДБО. Их должны создавать профессионалы  в области безопасности, иначе  в системах могут возникать алгоритмические  «дыры». Например, в своем компьютере клиент вставляет USB-токен и начинает работу. В момент подписания платежного документа троян подкладывает фальшивое платежное поручение, которое подписывается правильными подписями и отправляется в банк. Это технологическая уязвимость: в некоторых системах существует незащищенный канал между микропроцессором шифрования и процессором компьютера, который недостаточно контролируется. Такая уязвимость закрывается профессиональнымикриптографами, так как простое применение сертифицированных криптографических библиотек эту проблему не поможет решить, потому что проблема в неверных алгоритмах применения библиотек.

Еще одна причина - использование в системах ДБО несертифицированных средств криптографической защиты информации, что создает условия правовой незащищенности участников информационных отношений. Случаи взлома криптографии очень редки: зачем взламывать шифр, если можно украсть ключи? Деньги пропадают с использованием собственных ключей пользователя. Если клиент будет пытаться доказать свои права в суде, то во внимание будут приниматься только сертифицированные средства.

Так же одной из важных угроз  систем ДБО сегодня является недостаточно проработанная нормативно-правовая база отношений клиента с банком. Юридически грамотный злоумышленник,знающий технологию применения электронной цифровой подписи,может найти уязвимости в договорах и регламента, а затем используя систему ДБО провести поддельную транзакцию, отказаться от нее и подать исковое заявление в суд. Задача банка – доказать в суде обратное,т.е. доказать, что банк действовал правильно.

В большинстве случаев  кредитная организация не несет  юридической ответственности перед  своими клиентами в рамках заключенного между ними договора. Компрометация  данных, которые необходимы злоумышленникам, зачастую происходит именно по вине клиентов. Тем не менее даже в таких случаях большинство кредитных организаций, в случае обращения клиента стараются помочь ему вернуть утраченные средства, и это часто удается сделать.

С другой стороны, возможны ситуации, когда кредитная организация  может понести юридическую ответственность  за убытки своих клиентов. Речь идет о случаях, когда клиент не виноват  в произошедшем, в том числе  на основании решения суда, включая  случаи, когда к списанию средств клиента причастны сотрудники кредитной организации.

Несмотря на то что большинство банков в рамках договора с клиентами формально не несет ответственности за утрату клиентами средств при использовании пин-кода пластиковой карты, суды в большинстве случаев встают на сторону клиентов. Такие риски могут быть застрахованы в рамках полиса страхования рисков эмитентов банковских карт.

Любой банк обязан выполнять  требования по обеспечению защиты информации следующих внешних по отношению  к финансовой организации нормативно-правовых актов:

• Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
• Федеральный закон РФ от 7 августа 2001 г. № 115-ФЗ "О противодействии легализации доходов, полученных преступным путем";
• Стандарт международнойплатежной системы VISA PA DSS (в контексте требований стандарта PCI DSS для программного обеспечения процессингового центра);
• Рекомендации ЦБ РФ, направленные циркулярным письмом Московского ГТУ Банка России № 33-00-18/3183 от 25.01.2010 г. "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга".

Виды  и методики осуществления мошенничества  в сфере интернет-банкинга

Мошенничество с картами  и мошенничество с ДБО, соединенные  в один технологический «узел», дают синергетический эффект для мошенничеств. Потери от таких действий в десятки  раз превосходят отдельно взятые воровство из интернет-банкинга и  кражи денег из банкоматов. Интернет-банкинг  позволяет воровать деньги с банковских счетов, а банкоматные сети дают возможность украденные деньги обналичивать.

Как пластиковые карты  вовлекаются в интернет-мошенничество? В первую очередь через расчеты  за услуги через Интернет. Далеко не все онлайн-магазины предлагают защищенные сервисы для использования платежных  карт. Используются порой совершенно незащищенные технологии. Как только клиент ввел на небезопасный сайт данные своей карты, он может быть уверен, что вскоре получит уведомление  о совершенной с его карты  покупке в каком-нибудь «левом»  интернет-магазине.

С другой стороны, пластиковые  карты служат для аутентификации клиента в системах дистанционного банковского обслуживания, в том  числе даже без наличия электронно-цифровой подписи. Так для мошенников открывается путь в системы ДБО.

И еще: карты стали соединять  с электронными деньгами и счетами  в сотовой связи.

Основные  виды правонарушений

• Самый распространенный вид мошенничеств через ДБО - это хищение денежных средств со счетов клиентов с использованием краденых «ключевых» данных клиентов
• Следующий вид правонарушения - кража персональных данных для изготовления персональной карты через специальные программы, скимминговые устройства, данные процессинговых центров.

Далеко не все онлайн-магазины предлагают защищенные сервисы для  использования платежных карт

Теперь мошенники стремятся  украсть персональные данные или  данные пластиковых карт не только для непосредственного их использования, но и для управления банковскими  счетами. Самое простое - когда секретные ключи лежат на носителе, который можно потерять. Либо воры могут украсть ключи с использованием троянов или просто могут получить мошеннический удаленный доступ к компьютеру клиента и использовать честно защищенные данные.

Прошли времена хакеров-одиночек. Сейчас чаще всего действует организованная группа или даже несколько различных  функциональных групп или группировок.

Нынешнее  мошенничество - это высокотехнологичная операция с очень специфическими функциями, где на каждом этапе нужна очень профессиональная подготовка. Универсалы-одиночки здесь не справятся. Работа таких групп сильно распределена по четко выраженным этапам, а также территориально.

Большинство мошеннических действий, связанных синтернет-банкингом, происходят вдва этапа. Сначала преступник должен получить в свои руки информацию об учетной записи клиента, имя пользователя и пароль. После этого он, используя украденные данные, переводит деньги своей жертвы на другой счет или обналичивает их.

Для первого этапа — получение информации — злоумышленники чаще всего используют две популярных схемы мошенничества:

— «Фишинг» схема: происходит от двух английских слов «пароль» и «рыбалка». Мошенники рассылают письма наэлектронные почтовые ящики, якобы, отлица банка, спросьбой предоставить личную информацию, такую, как номер социального страхования, имя пользователя в системе «Онлайн— банкинг» ипароль банковской карты.

Рис.2 Фишинг(карикатура)

— «Троянский конь» схема: врассылаемых мошенниками электронных письмах содержатся вредоносные программы, которые запускаются в компьютере потребителя безего ведома. Трояны часто входят вссылки или вложения отнеизвестных отправителей электронной почты. После установки такой программы автоматически определяется, когда человек-жертва мошенничества— пользуется сайтами банковских сервисов, при этом копируется имя пользователя и пароль, после чего троян передает эту информацию правонарушителю. Люди, использующие общедоступные компьютеры, втаких местах, как интернет-кафе, часто подвержены атаке подобных вирусов и других вредоносных или шпионских программ. Такие пользователи вбольшей степени рискуют стать жертвами кражи идентификационной информации.

Когда проведен подготовительный этап, определены цели, сроки, задачи, пути вывода наличных, средства прикрытия  и блокировки сервисов ДБО, можно  начинать собственно операцию: преступники  получают доступ непосредственно к  счету или карте клиента и  осуществляют несанкционированный  перевод на заранее подготовленный промежуточный счет. Затем нужна  хорошая DDoS-атака, которая обрушит сервис, чтобы клиент не смог своевременно получить информацию о движении средств на его счете. DDoS-атака должна закончиться в тот момент, когда деньги будут обналичены.

Значит, атаку на систему  ДБО можно представить как  выполнение следующих  этапов: 

• создание специального «инструментария» - программ-троянов для сбора данных;
• создание специального «инструментария» - программ-троянов для организации DDoS-атак;
• распространение троянов и создание БОТ-сетей;
• создание центра управления (координации) «операцией»;
• проведение «операции»;
• «зачистка» следов проведения «операции» - проведение DDoS-атак на системы ДБО.

Технические приемы получения данных пластиковых  карт:

• использование программ-«шпионов» в автоматизированных системах потенциальных жертв;
• использование программ-«шпионов» в банкоматах;
• использование накладок - «скиммеров» на банкоматы;
• воровство пластиковых карт и данных с пластиковых карт;
• изготовление пластиковых карт по подложным документам;
• изготовление пластиковых карт, принадлежащих «третьим» лицам;
• воровство персональных данных реальных граждан для использования в фиктивных «зарплатных» проектах.

Этапы операции по обналичиванию денежных средств:

• создание специального «инструментария» - программ-троянов или технических средств (скиммеров) для банкоматов;
• подготовка «пула» настоящих дебетовых карт, выпущенных на «третьих» лиц, либо подготовка «белого пластика» на основе краденых данных;
• получение этих пластиковых карт заинтересованными лицами;
• проведение «операции»;
• «зачистка» следов «операции» - DDoS-атака на системы ДБО.

Непосредственно обналичивание реализуется переводом со счета юридического лица на множество счетов пластиковых карт физических лиц с последующим снятием наличных в банкоматах. Как правило, происходит снятие небольших сумм в разных банкоматах. Это самое слабое звено: непосредственных исполнителей обналички можно найти

В «помощь» мошенникам появились  «зарплатные карточные проекты» фиктивных компаний, основной смысл  существования которых - массовое легальное  «распыление» крупных сумм и обналичивание. Мошенники собирают персональные данные, пишут заявление в банк и получают определенное количество дебетовых карт, на которые можно регулярно и на законных основаниях переводить деньги, а затем их обналичивать.

Случай  мошенничества и кражи  денег  в интернет-банкинге:

Попытки фишингабыли замечены в интернет-банке Сбербанка. Один из таких случаев очень подробно описала пострадавшая клиентка крупнейшего банка России в одной из соц. Сетей.. Так, 20 октября 2012 года девушка попыталась воспользоваться услугой «Сбербанк Онлайн». Но во время выполнения данной операции с ее карты Visa была снята крупная сумма в размере 30 тысяч рублей, их за четыре приема перевели на незнакомый ей QIWI-кошелек.

Когда девушке удалось  подключиться к системе и зайти  на сайт Сбербанка, то она увидела  предупреждение о проведении технических  работ. При этом там было отмечено, что владельцев счета или карты  может получать смс-коды, однако их следует проигнорировать или  отменить, так как они неверные и вызваны сбоями в работе интернет-банка. Практически сразу же ей перезвонил якобы сотрудник Сбербанка и  подтвердил только что прочитанную  информацию на официальном сайте. Девушка  в точности следовала полученным рекомендациям, а затем ей на мобильный  телефон поступило смс-сообщение  о переводе 4-мя операциями денег  с карты на кошелек виртуальной  платежной системы. Представители  Сбербанка не подтвердили кражу  средств таким путем со счета  ни одного клиента. По словам независимых экспертов, в случае с клиенткой «Сбербанк Онлайн» мошенники использовали метод так называемой социальной инженерии. Он стал очень популярным еще летом 2010-го года и по сей день не теряет своей актуальности среди наиболее эффективных способов мошенничества в интернет-банкинге.