Безопасность электронных банковских систем

Рис.3 Изображение фишингового сайта

 

Рис.4 Изображение мошеннического сообщения.

 

О ее сути рассказал глава  департамента экономической безопасности Альфа-Банка Валерий Антонов, который  досконально изучил эту технологию, дабы предупредить подобные случаи с  клиентами своего банка. Оказывается, мошенники создают поддельные сайты  и собирают личные данные держателей карт, вводя их в заблуждение.

 

Очень интересное мнение директора  Центра вирусных исследований и аналитики  при антивирусной компании Eset. В частности Александр Матросов отмечает всплеск подобных попыток завладеть деньгами честных клиентов в сфере в 2009 году, что стало настоящим шоком для руководителей крупнейших отечественных и иностранных банков. Именно тогда, стали высказываться первые мнения о том, что попытки внедрения системы дистанционного управления банковскими счетами будут необходимы. Тогда большинство решений по жалобам пострадавших клиентов решались не в их пользу, ведь в договоре об этом ничего не говорилось, причем клиент самостоятельно вводил пароли и коды, после чего остался без средств.

 

Однако мошенничество — не единственная проблема Интернет-банкинга, работа системы информационной безопасности периодически дает сбои: не работает сайт банка, возникают проблемы с качеством услуг, предоставляемых интернет-провайдерами. Впрочем, банки активно используют дистанционное обслуживание как альтернативный канал сбыта.

Иногда деятельность коммерческих банков испытывает интернет-атак. Сущность интернет-атак заключается в рассылке электронного письма с информацией о проблемах банка. Масштабы интернет-атаки могут быть довольно большими. Например, 30 web-ресурсов, каждый из которых характеризуется 10000 посетителей в день.

Точный расчет аудитории, которую  может охватить интернет-атака, невозможен. Однако, приблизительная оценка может быть осуществлена на основании публичных данных рейтингов web-сайтов

Так на сколько же актуальна проблема? Может не всё так страшно и проблема надумана?

Масштаб проблем

Актуальность проблемы поднятой в моей работе обуславливается также большимобъемомкиберпреступлений  при использовании  онлайн-банкинга.

Чтобы определить масштаб проблем я исследовала количество атак и урон от них с 2011 по 2012 год. 

Наибольший урон современным организациям наносит почтовый спам и распространение  вирусов, DDoS-атаки, фишинг, черви, аномалии в протоколах. В дополнение к этому у корпоративных клиентов все чаще появляется потребность ограничивать и контролировать действия своих сотрудников в сети, например заблокировать сайты, содержащие нежелательный контент, ограничить доступ к социальным сетям, предотвратить возможные каналы утечек информации.

Согласно статистике компании Symantec, в 2011 г. количество только заблокированных атак, совершенных с помощью вредоносного ПО, возросло на 81% и превысило 5,5 млрд. А количество уникальных кодов вредоносных программ достигло 403 млн, хотя в 2010 г. их было лишь 286 млн. Если говорить о web-атаках, их стало больше на 36%, в результате ежедневно совершается более 4,5 тыс. атак в день.

Давая предварительную оценку данным 2012 г., аналитики Symantec ожидают увеличения количества и сложности целевых атак. Используемые технологии и эксплойты станут доступны для массовых атак не столь высокого уровня сложности, а вирусописатели намного активнее будут использовать социальные сети для распространения вредоносных программ, что требует от компаний любого масштаба повышенного контроля периметра сети.

По данным Groub-IB, внешние угрозы в отношении корпоративных инфраструктур по-прежнему очень актуальны в связи с большим количеством атак на системы интернет-банкинга и инцидентов, связанных с хищением конфиденциальной информации. Например, возможность хищения денег с банковского счета зависит от получения злоумышленниками аутентификационных данных к системе дистанционного банковского обслуживания. Информация похищается внешними злоумышленниками, которые эксплуатируют уязвимости в периметре защиты организации. Таким образом, за первую половину 2012 г. компьютерным мошенникам удалось совершить 4588 хищений с банковских счетов российских компаний на общую сумму $474,1 млн.

Глава управления "К" МВД РФ Алексей Мошков заявил, что количество киберпреступлений, совершенных в РФ в 2012 году, выросло на 28% по сравнениюс предыдущим показателем. Он отметил, что киберпреступность становится все более и более серьезной проблемой для страны.

Самыми распространенными в прошлом году киберпреступлениями стали интернет-мошенничество, кража денег из систем дистанционного банковского обслуживания и хищение средств со счетов физических лиц в банках. В 2012 году было зарегистрировано 3645 таких преступлений против 2123 преступлений в 2011 году.

По словам Мошкова, главным успехом в борьбе с киберпреступлениями стала ликвидация сети зараженных компьютеров, которые использовались для хищения денег из систем дистанционного банковского обслуживания. В сети было 6 млн компьютеров, ущерб составил 150 млн рублей.

Из полученной статистики следует что система безопасности электронного банковского обслуживания не совсем совершенна.

Рассмотрим предлагаемые методыпротиводействия.

Меры безопасности

Для написания данной работы я исследовала меры для повышения   безопасности, предложенные в открытых источниках информации (Интернет) на сайтах банков России, предлагающих свои электронные  услуги.

 

Самая основная и самая  трудная мера - повышение осведомленностикак самих клиентов в области собственной безопасности при использовании интернет-сервисов, так и сотрудников розничных отделений банков при продаже продуктов ДБО. Это могут быть различные наглядные пособия для клиентов, памятки, специализированные странички на сайтах банков, рекламные материалы.

Для сотрудников - проведение тренингов, создание систем мотивации. Врага надо знать, чтобы с ним  бороться и применять меры самообороны. Банкам следует настойчиво оповещать  клиентов - пользователей систем ДБО  о мерах безопасности и давать им подробные рекомендации о применении защитных мер, в том числе антивирусного  программного обеспечения с функциями  антихакер и антишпион.

Следующие меры носят более технологический характер и могут быть отнесены к самим банкам. Считается, что чиповые карты более защищенные, чем магнитные, поэтому в качестве первой рекомендации банкам: пора переходить на чиповые карты. На данном этапе развития технологий чиповую карту можно скопировать, только если ее подержать в руках. Кроме того, нужно внедрять использование «электронных кошельков» или «виртуальных» карт для интернет-платежей.

Получение своевременной информации о состоянии  своего счета - гарантия оперативного принятия мер по возврату похищенных средств. При краже счетидет на минуты. Если в течение двух часов клиент успеет сообщить в банк, что у него «увели» деньги, есть шансы вернуть всю сумму полностью. Чем больше промежуток времени между фактом пропажи средств и передачи сообщения в банк, тем меньше шансов остановить незаконную транзакцию. Поэтому sms-информирование - это обязательный элемент безопасности.

Хорошие результаты дают системы онлайн-анализа проведенных транзакций. Существуют признаки, по которым косвенно можно определить, что происходит что-то неладное: 

• нетипичное «поведение» клиента - операции производятся с другого IP-адреса, в странное время или списывается необычная сумма.
• Могут производиться нетипичные переводы со счетов как юр. лиц, так и физ. лиц на карточные счета физ. лиц. Сразу после таких переводов производится массовое снятие наличных.
• многократный отказ в проведении транзакции за короткий период и одновременное, либо за короткий промежуток времени, снятие наличных с одной карты в разных регионах.
• кроме того, это уже упоминавшиеся переводы на счета электронных денег. Промышленные системы могут анализировать более 150 типов признаков аномального поведения клиентов, что позволяет выявлять и пресекать не менее 70% мошеннических операций.

Введение  условий использования карточных  продуктов вне мест постоянного  проживания клиентовдает хороший эффект. Запрет на проведение операции без предварительного уведомления о том, что человек уехал в определенную страну, также помогает защитить держателей карт. Также хороший эффект дает так называемая IP-фильтрация адресов, с которых клиенты проводят операции в системах ДБО.

Полный перечень мер безопасности для клиентов.

Проанализировав данные с  сайтов банков Российской Федерации, я объединила рекомендации, предложенные для повышения безопасности при работе с ДБО, и создалаполный перечень мер безопасности для клиентов:

• Для доступа в личный кабинет требуется толькоидентификатори пароль/одноразовый пароль. В случае,если от Вас требуется ввод любой другой персональной информации (номеров банковских карт, мобильного телефона, других личных данных), следует прекратить пользование услугой и связаться с банком.
• Банк никогда не запрашивает пароли для отменыопераций. Если Вам предлагается ввести пароль для отмены операции, то прекратите сеанс использования услуги и срочно обратитесь в банк.
• При получении SMS с одноразовым паролем внимательно ознакомьтесь с его содержанием. Вводить пароль следует только в том случае, если операция инициирована вами и реквизиты получателя средств в обязательном порядке соответствуют реквизитам операции в полученном SMS-сообщении.Для отмены операций сообщения с паролями банком никогда не направляются.
• Проверяйте, что установлено защищенное SSL-соединение софициальными сайтами услуги.
• Ни при каких обстоятельствах не разглашайте свой пароль никому, включая сотрудников банка.Пароль для входа в систему это Ваша личная конфиденциальная информация.
• Не используйте сомнительные места и компьютеры для работы с интернет-банком. Не пользуйтесь  онлайн  услугой непосредственно через Интернет-обозреватель мобильного устройства (телефона, планшета и пр.), на который приходят  SMS-сообщения с подтверждающим одноразовым паролем. Для мобильных устройств существуют собственные версии системы.
• При утрате мобильного телефона (устройства), на который Банк отправляет SMS-сообщения с подтверждающим одноразовым паролем или неожиданным прекращением работы SIM-карты, Вам следует как можно оперативней обратиться к своему оператору сотовой связи и заблокировать SIM-карту.
• Пользуйтесь дополнительными возможностями системы по повышению уровня безопасности (SMS-информирование о входе в личный кабинет, настройка видимости карт и счетов, управление лимитами на операции и пр.).
• Не устанавливайте на мобильный телефон, устройство, на который Банк отправляет SMS-сообщения с подтверждающим одноразовым паролем, приложения, полученные от неизвестных вам источников. Помните, что банк не рассылает своим клиентам ссылки или указания на установку приложений через SMS/MMS/Email – сообщения.
• Требования к хранению одноразовых паролей, напечатанных на чеке банкомата, аналогичны требованиям к хранению ПИН-кодов банковских карт: никто, кроме Вас не должен иметь доступ к чеку с одноразовыми паролями. В случае их утери или кражи Вам следует незамедлительно обратиться в банк или запросить новый список паролей на банкомате.
• Используйте лицензионное программное обеспечение, а также своевременно обновляйте антивирусные программы;

 

В официальных письмах банк всегда обращается к клиенту по имени и указывает конкретные реквизиты, в зависимости от типа письма (например - тип карты, номер счета). Мошенникам такая информация не известна и письма от них всегда будут выглядеть "обезличенными" (в обращении указаны только общедоступные данные, например адрес электронной почты) или содержать неверные (другого человека) данные.

Сообщение от мошенников о  якобы имевшем место «выигрыше», для получения которого просят вписать  данные по карте в указанную форму. После заполнения «формы» через  некоторое время происходит хищение  денежных средств. Такие реквизиты  карты как: номер, срок её действия, CVV2, фамилия и имя владельца  достаточны для списания с неё  денежных средств, указывайте их только при осуществлении покупок или  платежей на доверенных (известных, хорошо себя зарекомендовавших) Интернет-ресурсах.

 

Тестовый опрос представителей целевой аудитории показал, что  большинство из них, не понимает и  половины из вышеописанных рекомендаций. Получив из средств массовой информации, сведения о выявленных мошенничествах в этой сфере, ещё больше пугается и всячески старается избежать любых  контактов с ДБО. На раз наблюдала очереди у банкоматов в дни получения заработной плати и пенсии (люди снимают всю сумму, что бы у них её не украли). О каком продвижении ДБО можно говорить в такой ситуации? Ниже представлен предлагаемый мной перечень мер по повышению безопасности операций с ДБО. Адаптированный для понимания целевой аудиторией.

Адаптированный  перечень мер безопасности:

ПРАВИЛО 10 НИКОГДА:

1. НИКОГДА банк не требует ввода номеров банковских карт, мобильного телефона, других личных данных для доступа в личный кабинет;
2. НИКОГДА банк не запрашивает пароли для отмены операции;
3. НИКОГДА не разглашайте свой пароль;
4. НИКОГДА не используйте сомнительные места и компьютеры для работы с онайн-банком;
5. НИКОГДА банк не рассылает своим клиентам ссылки или указания на установку приложений через SMS/MMS/Email – сообщения;
6. НИКОГДА не используйте нелицензионное программное обеспечение;
7. НИКОГДА не забывайте обновлять антивирусную программу на своем персональном компьютере
8. НИКОГДА неиспользуйте незнакомые банкоматы, расположенные в затемненных, немноголюдных местах;
9. НИКОГДА не используйте банкомат, если у него повреждена или имеет не стандартный вид клавиатура, картоприемник
10. НИКОДА не забывайте проверять баланс своих банковских счетов.