2017/07/06 13:42:04

Безопасная система ДБО

Большинство специалистов в области информационной безопасности хорошо знают, какие риски несут в себе системы ДБО, и потому наблюдают за динамичным ростом этого сегмента рынка со вполне понятной настороженностью. Рынок ДБО действительно растет, но… еще быстрее растут убытки пользователей этих сервисов. Банки инвестируют в проекты по безопасности ДБО десятки миллионов рублей, но проходит время, и мошенники вновь изобретают способ украсть деньги у их клиентов. Самое неприятное здесь в том, что выпускаемые средства защиты не являются превентивной мерой: в основном они призваны лишь «латать дыры», обнаруженные вследствие уже реализованных атак.

Содержание

Кражи финансовых средств из ДБО стали выгодными для хакеров, и поэтому этот вид преступной деятельности становится все более популярным. По прогнозам экспертов, в ближайшем будущем DDoS-атаки «на заказ» отойдут на второй план. Это связано с повышением уровня безопасности компьютерных систем многих компаний, а также сравнительно большими усилиями, требуемыми для проведения DDoS-атак, нежели для использования бот-сетей для кражи денег из систем ДБО.

Возникает логичный вопрос: почему до сих пор не было придумано адекватного метода противодействия любым атакам на системы ДБО? Ответ видится следующим: разработчики средств безопасности все это время играли против хакеров на их поле, а именно — строили системы защиты внутри операционной системы (ОС), которая априори является недоверенной средой. Стандартный компьютер бухгалтера, работающего с системой интернет-банкинга, параллельно используется и для других задач — переписки по электронной почте, обмена файлами, интернет-серфинга и т. д. Все это резко увеличивает риск заражения компьютера вредоносным программным обеспечением (вирусами, троянами и т. п.). При этом ни один из современных антивирусных продуктов не дает 100% гарантии безопасности, что в максимальной степени относится к технологии руткитов, которые перехватывают управление компьютером еще до загрузки операционной системы и не могут быть обнаружены классическими антивирусными средствами.

У современного человека все многообразие вредоносного программного обеспечения описывается словом «вирус». Однако вирусы в классическом их понимании (имеющие саморепликацию основной особенностью) уже давно не занимают лидирующих позиций в рейтинге компьютерных угроз. На первое место вышли черви и трояны – они могут как вымогать деньги (печально известные Trojan.Winlocker и Trojan.Ransom), собирать информацию о пользователе (пароли и списки контактов, по которым они рассылаются для увеличения покрытия), так и похищать крупные суммы денег без ведома жертвы (а ей может быть как простой пользователь, так и крупная компания или банк).

Масштабы ситуации оценить достаточно сложно – судить остается только по новостным лентам, в которых все чаще и чаще упоминаются «вредоносное ПО», «мошенники» и астрономические суммы денег. Но даже и такой подход не дает полной картины – информация о большинстве случаев остается недоступной для широкой общественности (в силу несовершенства законодательства РФ, не обязующего компании раскрывать информацию при утечках персональных данных). Стоит понимать, что информация в прессе редко бывает подробной и описывает происшествия в общих чертах без конкретики, в силу чего читатель никак не связывает происходящее с реальной жизнью. Случай же, описанный ниже, произошел совсем в одной из российских компаний.

Цель – клиент банка

Жертвой в данном случае едва не стала московская компания, являющаяся клиентом одного из крупных банков. Причина, по которой злоумышленников заинтересовала именно эта компания – использование предоставляемых банком услуг ДБО (дистанционного банковского обслуживания). С одной из машин компьютерного парка компании осуществлялся регулярный доступ к услугам ДБО банка, именно этот компьютер и подвергся атаке.

Несмотря на установленный в системе антивирус (к слову, от достаточного известного производителя), вредоносный код был внедрен и исполнялся без каких-либо препятствий. Это достаточно яркий пример несостоятельности сигнатур в деле борьбы с целевыми атаками и угрозами нулевого дня.

Не случайно был выбрана и дата атаки – все произошло 29 декабря, фактически, перед самым Новым годом. Если бы злоумышленникам удалось осуществить свой план, пропажи не заметили бы еще как минимум десять дней.

Сценарий

К сожалению, не удалось выяснить, каким образом вредоносное приложение попало на атакованную машину. Но с определенной долей уверенности можно утверждать, что без действий инсайдеров дело не обошлось. Одно из подтверждений – уникальный вредоносный код, не замеченный антивирусом (и, соответственно, не находящийся в антивирусных базах). Если бы это была массовая атака, ее бы заметили достаточно быстро, сигнатуру вредоноса занесли бы в базы чуть ли не на следующий день, после чего план злоумышленников бы провалился.

Соответственно, должен был быть некто, имеющий информацию об использовании данной компанией ДБО, примерных суммах, и даже, возможно, об используемых компанией средствах информационной безопасности.

Учитывая возможность участия в этом инциденте инсайдеров, вредонос мог попасть в систему каким угодно образом – прислан по e-mail от доверенного отправителя, принесен на флешке одним из клиентов компании или даже запущен инсайдером на машине вручную.

Вредоносом оказался троян, либо управляемый удаленно, либо работающий автономно. Известно только, что троян работал по следующему сценарию:

  • Ожидание момента подключения к системе ключа (сертификата, выданного банком, находящегося на внешнем носителе)
  • Считывание ключа
  • Считывание логина и пароля доступа к ДБО
  • Запрос на перевод денег на счет взломщика – была попытка вывести примерно один миллион рублей (в случае с автономной работой – просто отсылка всех данных злоумышленнику)
  • Скачивание приложения под названием kill.exe, которое уничтожает следы пребывания вредоноса весьма грубо – убивая всю систему целиком (приложение создавало в директории с драйверами файл, при попытке чтения которого система рушилась)

Следы действий злоумышленника удалось обнаружить только после вывода атакованной машины из строя, и то только по логам, оставшимся на сервере. От потери солидной суммы денег компанию спасла лишь счастливая случайность – злоумышленник пытался вывести фиксированную сумму денег, которой на счету не оказалось, поскольку незадолго до этого сотрудникам компании выплатили зарплату.

Как из систем ДБО утекают деньги

Рассмотрим эволюцию методов взлома систем ДБО за последние четыре года:

  • Хищение ключей электронной подписи (ЭП) с незащищенных носителей.

Наиболее простая и отработанная технология, при помощи которой до сих пор реализуется большинство атак на клиентов систем ДБО, хранящих ключи ЭП на флешках, дисках, дискетах, в папке на жестком диске и т. д.

  • Хищение закрытых ключей ЭП из оперативной памяти.

По сравнению с первой чуть более сложная атака. Обычно применяется в случае использования клиентом средства защищенного хранения ключей ЭП, которое позволяет извлекать их из закрытой области памяти устройства.

  • Несанкционированный доступ к криптографическим возможностям смарт-карты.

Одна из наиболее опасных и перспективных атак. Реализуется либо при помощи средств удаленного управления компьютером клиента (класса TeamViewer), либо с использованием удаленного подключения к USB-порту (технология USB-over-IP). Ограничением для данной атаки является обязательное подключение смарт-карты (токена) в момент ее проведения.

  • Подмена документа при передаче его на подпись в смарт-карту.

Наиболее сложный и опасный на сегодняшний день вид атак. В данном случае пользователь видит на экране монитора одну информацию, а в смарт-карту на подпись отправляется другая. Параллельно могут быть подменены данные об остатках на счете, выполненных транзакциях и т. д. Также следует отметить, что каждая из четырех перечисленных технологий эффективна не только на своем уровне защиты, но и на всех более «простых». Данная ситуация проиллюстрирована на рис. 1.

Файл:дбо 01.jpg


Рис. 1. Соотношение уровней защиты и технологий атак на средства выработки ЭЦП

Критичный набор некритичных уязвимостей систем ДБО[1]

Самые распространенные уязвимости имеют средний и низкий уровни риска. Однако их сочетание и наличие характерных для отдельных систем критических уязвимостей может привести к серьезным последствиям, в том числе к получению полного контроля над системой.

Image:Критичный набор некритичных уязвимостей систем ДБО.jpg

Как повысить уровень безопасности при использовании ДБО

Изменить ситуацию сможет лишь кардинальная смена подхода к решению этой проблемы, а именно — перенос функции контроля основных параметров документа из операционной системы в замкнутую среду на внешнем устройстве. Тогда функции защиты, целостности и неизменности документа реализуются не в операционной системе, являющейся недоверенной средой, а на отчуждаемом защищенном носителе. Что может выступать в качестве такого устройства?

Для начала перечислим требования, которым это устройство должно удовлетворять. Итак:

  • не позволять вносить изменения в свои алгоритмы работы;
  • предоставлять возможность визуального контроля целостности значимых полей документа (номер счета, сумма транзакции, банк-получатель и т. д.) во внешней (доверенной) среде с последующей передачей его напрямую в смарт-карту на подпись;
  • работать со смарт-картами, аппаратно реализующими отечественные криптоалгоритмы, чтобы удовлетворять требованиям ФЗ-63 для квалифицированной электронной подписи;
  • не пропускать документ на подпись до момента физического нажатия на кнопку подтверждения транзакции.

Существует также ряд важных параметров решения, которые следует учитывать в проектах по повышению безопасности систем ДБО, а именно:

  • Приемлемая цена для конечного пользователя. Необходима для сохранения инвестиций и снижения репутационных рисков, что особенно актуально для тех банков, которые уже выдали своим клиентам защищенные ключевые носители.
  • Возможность работы со смарт-картами. Ввиду последних тенденций, а именно — реализации отечественных криптоалгоритмов на базе чипов платежных банковских карт, что позволит каждому физическому лицу всегда иметь с собой ключ квалифицированной электронной подписи — поддержка смарт-карточных технологий постепенно становится необходимой в самых различных сферах деятельности.
  • Привычная для пользователя схема работы. Если использование нового решения будет накладывать на клиентов дополнительную нагрузку, например, необходимость регулярного запуска виртуальных сред с внешних носителей либо многоразовый ручной ввод платежных реквизитов в документы и т. д., это вызовет отторжение у конечных заказчиков.

Рекомендации

  • Исключайте посещение с ПК, на которых осуществляется подготовка и отправка документов в Банк, сайтов сомнительного содержания и любых других Интернет-ресурсов непроизводственного характера (социальные и пиринговые сети, конференции и чаты, телефонные сервисы и т.п.), чтение почты и открытие почтовых вложений от недоверенных источников, установку и обновление любого ПО не с сайтов производителей.
  • Настройками сетевого оборудования, корпоративных и персональных сетевых экранов выход в сеть Интернет ограничивайте «белым списком» со всех рабочих мест, на которых осуществляется подготовка, подписание и отправка платежных документов.
  • В «белый список» должны включаться исключительно доверенные сайты и хосты самой организации, банков, налоговой службы, других государственных органов, необходимых в производственном процессе, сервера обновлений системного и антивирусного ПО.

  • Обеспечивать конфиденциальность ключей ЭЦП, не допускать не санкционированного использования ключей.
  • Использование современного антивирусного обеспечения. Регулярное обновление антивирусного программного обеспечения.
  • Регулярное проведение антивирусной проверки на компьютерах.
  • Своевременная установка обновлений безопасности операционной системы и программного обеспечения компьютеров.
  • Настройки сетевого оборудования, корпоративных и персональных сетевых экранов выход в Интернет должен быть ограничен «белым списком» доверенных сайтов.
  • Не работать на компьютерах, на которых осуществляется подготовка и отправка документов в Банк, под учетными записями, имеющими административные права.
  • Минимизировать количество пользователей компьютеров, на которых осуществляется подготовка и отправка документов в Банк.
  • Установить надёжные пароли на вход в компьютер, обеспечить периодическую смену этих паролей.
  •     Поддерживать точность системного времени компьютера по местному времени с точностью до 1 минуты.
  •     Ограничить физический доступ к компьютерам, на которых осуществляется подготовка и отправка документов в Банк, допускаются только работники, непосредственно уполномоченные на работу с программным обеспечением «Интернет Банк-Клиент».
  • Хранить ключевые носители способом, исключающем несанкционированный доступ к ним.

Оргмеры обязательные:

  • Самостоятельно генерировать секретный ключ;
  • Регулярно контролируйте состояние своих счетов;
  • Не передавать пароли к секретным ключам, не записывать и не сохранять пароли вместе с носителем ключ

2016: Центробанк возьмет под контроль интернет-банкинг

Банк России проведет масштабную проверку безопасности онлайн-банкинга. Регулятор проверит степень защищенности платежных онлайн-сервисов и мобильных приложений от киберугроз. После проверки ЦБ намерен взять данную сферу под контроль и сертифицировать дистанционные сервисы на соответствие требованиям информационной безопасности.

В настоящее время безопасность дистанционного обслуживания самостоятельно определяет каждый банк. ЦБ планирует взять эту сферу под контроль, так как резко участились случаи списания средств клиентов. В частности, если в январе-сентябре 2015 г. хакеры пытались совершить 16 тыс. несанкционированных операций со счетами физлиц, то за аналогичный период 2016 г. было предпринято уже 102,7 тыс таких попыток. При этом банкам и регулятору в этом году удалось предотвратить хищение только не более 2–3% средств.

Введение обязательной сертификации дистанционных сервисов означает, что требования ЦБ к достаточности капитала банков будут зависеть от их соответствия стандартам безопасности. Чем больше риски в системах онлайн-банкинга, тем меньше возможностей наращивать кредитование и вкладывать средства в прочие активы. В будущем данные требования будут оформлены в виде национальных стандартов. Их разработкой займется специально созданная межведомственная рабочая группа, в состав которой войдут представители ЦБ, Минфина, МВД России, Минкомсвязи и ФСТЭК.

В частности, ЦБ сделает обязательным двойное подтверждение транзакций, идущих по дистанционным каналам. На данный момент большинство кредитных организаций используют для идентификации клиента рассылку по SMS одноразовых паролей или специальные электронные USB-ключи и смарт-карты (eToken).

Не смотря на повышенную обеспокоенность регулятора, сами банки и так готовы принимать дополнительные меры безопасности, потому что ситуация критичная. Как рассказал руководитель службы информационной безопасности банка из топ-10, из-за бурного развития мобильного банкинга многие клиенты используют телефон как единственное платежное устройство. Вирус-троян может без труда перехватить пароль и логин пользователя, а затем и поступивший по SMS одноразовый код для совершения операции[2].

2015: Центробанк требует усилить меры безопасности в системах ДБО

10 марта 2015 года вступило в силу указание ЦБ № 3361-У о необходимости кредитным организациям организовать регистрацию всех устройств, которые их клиенты используют для входа в приложения интернет-банкинга и мобильный банк.

Предполагается, что провести операции с незарегистрированных телефона, планшета или ПК будет невозможно. Кроме этого, банки обязаны блокировать рассылку служебных SMS (одноразовые пароли и пр.) при смене клиентом номера или SIM-карты[3].

"Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств, – говорится в документе. – Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц)".

Что касается понятия "идентификатора", то оно прописано в Положении регулятора 382-П (п.2.6.3). Согласно документу, идентификационной информацией, в зависимости от технической возможности, является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства (далее - идентификатор устройства). Тот факт, что в Положении допускается использование иных идентификаторов устройства говорит о том, что банки, вероятнее всего, смогут реализовать новое требование регулятора по своему разумению.

Павел Головлев, начальник управления безопасности информационных технологий СМП-банка поведал: "В качестве идентификатора устройства банк использует IP-адрес устройства. Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление. Если клиент меняет устройство, ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет – то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку".
Александр Новиков, директор департамента дистанционного банковского обслуживания Бинбанка, заявил: "В банке вопрос безопасности и регистрации мобильных устройств решается в том числе с помощью push-уведомлений – это разовые пароли для подтверждения операций, которые приходят на мобильные устройства. Эти уведомления присылаются банком клиенту напрямую в отличие от SMS, что повышает безопасность. Все мобильные устройства (телефоны, планшеты), к которым подключены push-уведомления, отображаются в браузерной версии интернет-банка. При утере мобильного устройства клиент может оперативно зайти в интернет-банк через любой компьютер и удалить его из списка. Соответственно, мошенники не смогут им воспользоваться для получения пароля".

2012: ЦБ РФ планирует обязать пользователей онлайн-банкинга указывать IP- и МАС-адреса

Центральный Банк Российской Федерации опубликовал в октябре 2012 года на своем сайте проект указания об изменениях в Положении от 2004 г. «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

В данном проекте Банк России предлагает добавить несколько пунктов, согласно которым пользователь для получения доступа к системе онлайн-банкинга должен предварительно указать IP- и МАС- адреса, с которых будет осуществляться подключение к онлайн-счету.

«Сведения об IP- и МАС-адресе (IP- и МАС-адресах), посредством которых юридическим лицом осуществляется доступ к банковскому счету, открытому в кредитной организации, с целью совершения операций по нему в рамках заключенного кредитной организацией с данным юридическим лицом договора, предусматривающего его обслуживание с использованием технологии дистанционного доступа к банковскому счету, включая интернет-банкинг», – сказано в проекте указания ЦБ РФ. В документе приводятся аналогичные пункты, распространяющиеся на физических лиц и индивидуальных предпринимателей.

Полностью безопасный интернет-банкинг невозможен

Об угрозах безопасности дистанционного банковского обслуживания (ДБО) сейчас говорится очень много. За последнее время накопилась статистика – и отечественная, и зарубежная, свидетельствующая о серьезности вопроса. Сейчас в России интернет-банкинг использует каждый десятый пользователь Сети. По оценкам разных исследователей, потери от онлайн-преступлений в нашей стране составляют порядка 500 млн руб. в год. Правоохранительные органы стали уделять проблеме мошенничества в ДБО существенно больше внимания, и это положительная тенденция.

Может быть, есть способ полностью обезопасить интернет-банкинг? На этот вопрос ответ однозначный – нет. ДБО – это процесс, а абсолютно безопасных процессов не бывает, некоторый риск присутствует всегда. Однако безопасность можно рассматривать как состояние, при котором уровень риска использования сервиса приемлем как для пользователя, так и для владельца. Качество предоставляемой услуги ДБО для банков – это вопрос привлечения клиентов. Качество определяется прежде всего объемом предоставляемых услуг, удобством использования, доступностью и защищенностью. Именно защищенность становится все более весомым критерием при выборе системы ДБО и в немалой степени влияет на выбор банка.

2017: Из каждого третьего онлайн-банка можно украсть деньги

В начале июля 2017 года Positive Technologies опубликовала результаты исследования, согласно которым доля финансовых приложений, содержащих критически опасные уязвимости, в 2016 году снизилась, однако общий уровень риска выявленных уязвимостей стал значительно выше. Наиболее распространены оказались недостатки механизмов идентификации, аутентификации и авторизации.

По данным компании, популярность электронных финансовых инструментов в России за последний год заметно выросла благодаря развитию бесконтактных систем оплаты: к уже привычным PayPass и payWave присоединились технологии NFC-платежей с помощью смартфонов — Apple Pay и Google Wallet. Однако безопасность общедоступных веб- и мобильных приложений в финансовой сфере до сих пор оставляет желать лучшего, поскольку для таких приложений характерны все уязвимости и угрозы, известные в области безопасности приложений, отметили в Positive Technologies. При этом в случае банковских приложений реализация угроз приводит к серьезным последствиям, включая хищение денежных средств, несанкционированный доступ к персональным данным и банковской тайне, а также репутационные потери для бизнеса.

Исследование компании показало, что в 2016 году доля критически опасных уязвимостей финансовых приложений выросла на 8%, а доля уязвимостей среднего уровня риска — на 18%. При этом в продуктивных системах выявлено почти в два раза больше уязвимостей, чем в системах, находящихся в разработке. А финансовые приложения, разработанные вендорами, в среднем содержат в два раза больше уязвимостей, чем те, которые разработаны банками самостоятельно.

Большинство онлайн-банков (71%) имеют недостатки в реализации двухфакторной аутентификации. 33% приложений онлайн-банков содержат уязвимости, позволяющие украсть деньги, а в 27% приложений злоумышленник может получить доступ к сведениям, составляющим банковскую тайну.

Что касается мобильных банков, то в каждом третьем приложении можно перехватить или подобрать учетные данные для доступа. По оценкам экспертов Positive Technologies, банковские iOS-приложения по-прежнему безопаснее, чем их аналоги для Android. При этом серверные части мобильных банков защищены значительно хуже клиентских: уязвимости высокой степени риска найдены в каждой исследованной системе.

Исследование также позволило выявить уязвимости в автоматизированных банковских системах (АБС), которые обычно считаются недоступными для внешнего злоумышленника. На практике две трети уязвимостей, выявленных в АБС, оказались критически опасными, включая такие, которые позволяют получить административный доступ к серверу. Подобный доступ дает возможность злоумышленнику, оставаясь незамеченным, проводить любые мошеннические операции, связанные с деньгами: например, заводить новые счета и указывать на них любое количество денег, или же подменять платежные поручения, отправляемые в Центробанк.

2016: В России в 5,5 раз возросло число несанкционированных снятий денежных средств с банковских карт через интернет-банкинг

За год, с июля 2015 г. по июнь 2016 г., в России в 5,5 раз возросло число несанкционированных снятий денежных средств со счетов держателей банковских карт через интернет-банкинг. На банковский фрод с использованием интернет-банкинга приходится 93% от убытков связанных с несанкционированным снятием.

При этом на кражу наличных, снятых из банкомата, приходится лишь 4% страховых случаев, а 3% - на утрату банковской карты, подсчитали эксперты «АльфаСтрахование», проанализировав статистику обращений по страховым случаям с банковскими картами, произошедшими с клиентами компании.

Управление банковскими счетами с использованием современных технологий через приложения в интернете, с компьютера или мобильного, широко используется многими финансовыми организациями и в первую очередь банками. Мошенники не стоят в стороне и тоже активно практикуют эти технологии в целях корыстного обогащения.

По мнению экспертов «АльфаСтрахование», основной причиной резкого возрастания числа убытков по несанкционированному снятию, связанной с интернет мошенничеством, является недостаточная осведомленность населения в части правильного использования новых интернет технологий.

Большое количество случаев несанкционированного снятия происходит по вине самих держателей карт, так как они сами предоставляют доступ третьим лицам к информации, предназначенной для личного пользования, не понимая, чем это может для них обернуться.

К тому же с каждым годом возраст держателей банковских карт растет, а их знания в области современных банковских технологий остаются на прежнем уровне. Зачастую этот уровень просто нулевой.

Пострадавшие охотно называют пароли в личные кабинеты и PIN-коды, стоит только позвонившему представиться сотрудником банка, в котором у застрахованного открыт счет. Хотя в правилах по использованию банковских карт и памятках, которые выдают некоторые банки, указано, что ПИН-код нельзя называть никому, даже находясь в банке, не говоря уже о «сотруднике», звонящему по телефону. Чаще всего мошенники говорят, что они решают какую-либо внезапно возникшую проблему со счетом, либо переводом средств.

2014

Главные уязвимости онлайн-банков: авторизация, аутентификация и Android (исследование 2014 года)

Уязвимости высокого уровня риска в исходном коде, а также серьезные недостатки механизмов аутентификации и авторизации во многих системах дистанционного банковского обслуживания позволяют проводить несанкционированные транзакции или даже получить полный контроль над системой со стороны внешнего злоумышленника, что может привести к существенным финансовым и репутационным потерям.

Уязвимости высокого уровня риска в исходном коде, а также серьезные недостатки механизмов аутентификации и авторизации во многих системах дистанционного банковского обслуживания позволяют проводить несанкционированные транзакции или даже получить полный контроль над системой со стороны внешнего злоумышленника, что может привести к существенным финансовым и репутационным потерям. Такие выводы содержатся в исследовании уязвимостей ДБО, обнаруженных экспертами Positive Technologies (Позитив Текнолоджиз) в 2013 и 2014 годах в ходе работ по анализу защищенности для ряда крупнейших российских банков. В данной статье мы представляем некоторые результаты этого исследования.

В рамках исследования было рассмотрено 28 систем дистанционного банковского обслуживания физических (77%) и юридических лиц (23%). Среди них были и мобильные системы ДБО, представленные серверной и клиентской частью (54%). Две трети систем (67%) являлись собственными разработками банков (использовались Java, C# и PHP), остальные были развернуты на базе платформ известных вендоров. Большинство систем ДБО (74%) находились в промышленной эксплуатации и были доступны для клиентов, а четверть ресурсов составляли тестовые стенды, готовые к переводу в эксплуатацию.

Общие результаты

Почти половина обнаруженных уязвимостей систем ДБО (44%) имеет высокий уровень риска. Примерно одинаковое количество уязвимостей имеют среднюю и низкую степень риска (26% и 30%). В целом, уязвимости высокого уровня риска были выявлены в 78% исследованных систем.

Большая часть уязвимостей (42%) связана с ошибками реализации механизмов защиты систем ДБО, заложенных разработчиками. В частности, к данной категории уязвимостей относятся недостатки механизмов идентификации, аутентификации и авторизации. На втором месте — уязвимости, связанные с ошибками в коде приложений (36%). Остальные уязвимости в основном связаны с недостатками конфигурации (22%).

Наиболее часто в системах ДБО встречались уязвимости, связанные с возможностью идентификации используемого ПО и с предсказуемыми форматами идентификаторов пользователей (57% систем). Более чем в половине систем (54%) обнаружены ошибки в программном коде типа «Межсайтовое выполнение сценариев». Если при наличии этой уязвимости в системе клиент банка перейдет по специально сформированной вредоносной ссылке, атакующий может получить доступ к системе ДБО с привилегиями данного клиента.

Распространены также уязвимости, позволяющие реализовать атаки на сессии пользователей (54% систем). Сюда относятся уязвимости, связанные с некорректным завершением сессий, некорректной настройкой cookie-параметров, возможностью параллельной работы нескольких сессий для одного пользователя, отсутствием привязки сессии к IP-адресу клиента и др. При успешной атаке злоумышленник может получить доступ к личному кабинету пользователя с его привилегиями.

В число наиболее распространенных вошла уязвимость высокой степени риска «Внедрение внешних сущностей XML», которая обнаружена в 46% систем. В результате ее эксплуатации злоумышленник может получить содержимое файлов, хранящихся на уязвимом сервере, данные об открытых сетевых портах узла, вызвать отказ в обслуживании всей системы ДБО, — а также, в ряде случаев, обратиться к произвольному узлу от лица уязвимого сервера и развить атаку.

Отказ в обслуживании системы ДБО может быть вызван с использованием различных уязвимостей в половине исследованных ресурсов (52%).

Большинство распространенных уязвимостей имеет средний или низкий уровень риска. Тем не менее, в сочетании с особенностями функционирования конкретных систем ДБО это может привести к реализации серьезных угроз безопасности, включая кражу конфиденциальных данных (89% систем) и кражу денежных средств (46%).

Image:уязвимости онлайн-банков 2014 02.png

Исследованные системы ДБО содержат также ряд существенных недостатков на уровне логики. К примеру, в ряде систем была обнаружена возможность атак на основе некорректного использования алгоритмов округления чисел. Скажем, злоумышленник переводит 0,29 рублей в доллары США. При стоимости одного доллара в 60 рублей, сумма в 0,29 рублей соответствует 0,00483333333333333333333333333333 долларов. Данная сумма будет округлена до двух знаков после запятой, т. е. до 0,01 доллара (один цент). Затем злоумышленник переводит 0,01 доллара обратно в рубли и получает 0,60 рублей. Таким образом злоумышленник «выигрывает» 0,31 рублей. В результате автоматизации данной процедуры, учитывая отсутствие ограничений по количеству транзакций в сутки и минимальному размеру транзакции, а также возможности эксплуатации уязвимости типа Race Condition («Состояние гонки»), — в ряде случаев злоумышленник может получать неограниченные суммы денежных средств.

Уязвимости по разработчикам Уязвимостей высокой степени риска больше в системах ДБО, предоставленных вендорами (49%), чем в системах собственной разработки конкретного банка (40%). Кроме того, системы, поставляемые профессиональными разработчиками, в среднем содержат в 2,5 раза больше уязвимостей на уровне кода приложения, чем системы собственной разработки. Данный факт можно объяснить тем, что при использовании ПО от вендора банк в вопросах качества кода полагается главным образом на поставщика. При этом сложная архитектура, кроссплатформенность и большое количество функций систем ДБО не всегда позволяют вендору обеспечить должный уровень защищенности на уровне кода приложения.

Image:уязвимости онлайн-банков 2014 03.png

Уязвимости механизмов защиты

Наиболее распространенным недостатком механизмов идентификации систем ДБО является предсказуемость формата идентификатора учетной записи (64% систем). Зная несколько существующих в системе идентификаторов, злоумышленник может вычислить механизм их формирования и подобрать нужный. 32% исследованных систем раскрывали информацию о существующих в системе учетных записях, возвращая различные ответы в зависимости от существования введенного идентификатора; в 20% случаев системы ДБО содержали обе вышеупомянутые уязвимости идентификации.

58% рассмотренных систем имели недостатки реализации механизма аутентификации — слабую парольную политику, недостаточную защиту от подбора учетных данных, возможность обхода механизма CAPTCHA или отсутствие обязательной двухфакторной аутентификации при входе в личный кабинет.

79% систем содержали различные недостатки авторизации и защиты транзакций. При этом в 42% случаев злоумышленник мог получить несанкционированный доступ к данным пользователей (персональным данным, информации о счетах, платежах и т. п.), а в 13% систем нарушитель мог напрямую осуществлять банковские операции от лица других пользователей.

Image:уязвимости онлайн-банков 2014 04.png

Уязвимости мобильных клиентов=

Клиентское ПО для ОС Android более уязвимо по сравнению с приложениями для iOS. В частности, критически опасные уязвимости содержатся в 70% приложений для Android и в 50% приложений для iOS. В среднем каждое приложение на базе Android содержит 3,7 уязвимостей, в то время как для iOS-приложения данный показатель равен 2,3.

Наиболее часто в мобильных системах ДБО встречались уязвимости, связанные с небезопасной передачей данных (73%), далее идут недостаточная защита сессий (55%) и небезопасное хранение данных в мобильном приложении (41%).

Image:уязвимости онлайн-банков 2014 05.png

Хотя наиболее распространенные уязвимости мобильных систем ДБО имеют среднюю или низкую степень риска, в ряде случаев совокупность выявленных недостатков позволяла реализовать серьезные угрозы безопасности. Например, одно из исследованных приложений отправляло широковещательное сообщение, содержащее полученное от банка SMS-сообщение (с одноразовым паролем для проведения транзакции), которое могло быть перехвачено сторонним приложением. Кроме того, данное мобильное приложение осуществляло журналирование важных данных, таких как учетная запись пользователя, вследствие чего при успешном заражении устройства пользователя вредоносным кодом атакующий мог получить полный доступ к аутентификационным данным и проводить транзакции от лица пользователя мобильного приложения.

91% атак с использованием мобильных банковских троянцев нацелены на Россию

Согласно результатам исследования мобильных угроз, проведенного «Лабораторией Касперского» совместно с Интерполом, за период с августа 2013 года по июль 2014 года 60% атак, предотвращенных защитными продуктами компании на Android-устройствах, были нацелены на кражу денег пользователей. Мошенников в большинстве случаев интересовали финансы россиян, однако атакам также были подвержены пользователи на Украине, в Испании, Великобритании, Вьетнаме, Малайзии, Германии, Индии и Франции.

По всему миру за исследуемый период более чем 588 тысяч пользователей Android столкнулись с банковскими и SMS-троянцами. Это в 6 раз превышает показатель за предыдущий аналогичный период.

В целом 57% всех зарегистрированных инцидентов были связаны с семейством SMS-троянцев, которые отправляют короткие платные сообщения на премиум-номера без ведома владельца. Большинство подобных случаев (64,4%) затронули российских пользователей. Также подобные атаки были отмечены в Казахстане (5,7%), на Украине (3,3%), в Испании (3,2%), Великобритании (2,4%), Малайзии (2,3%), Германии (2%), Индии (1,6%) и Франции (1,3%).

При этом в 2% случаев SMS-троянцы действовали в паре с банковскими зловредами — такой подход позволяет украсть данные банковских карт, а также реквизиты доступа к системам онлайн-банкинга. Рейтинг по числу инцидентов с мобильными банковскими троянцами также возглавляет Россия — на ее долю пришлось 91% атак. При этом за 12 месяцев число подобных зловредов выросло в 14 раз. Новые версии были получены с помощью незначительных изменений в оригинальном коде, которые могут помешать обнаружению вредоносной программы защитным средством.

ДБО наиболее уязвимы для Cross Site Scripting

Компания Positive Technologies (Позитив Текнолоджиз) представила летом 2014 года результаты анализа защищенности сайтов и рейтинг наиболее распространенных уязвимостей сайтов. Согласно исследованию, в последнее время заметно возросло количество сайтов с уязвимостями высокой степени риска. 62% сайтов в 2013 году содержали уязвимости высокой степени риска. Данный показатель на 45% выше прошлогоднего. Значительная часть исследованных порталов принадлежала банкам — из-за участившихся атак в этой сфере.

Всего в ходе тестов по анализу защищенности, проводившихся компанией в 2013 году, было изучено около 500 веб-сайтов, для 61 из них проводился более углубленный анализ. Большая часть из рассмотренных сайтов принадлежат российским компаниям, но в исследование также вошли и некоторые зарубежные системы.

Исследование основывалось на фактических результатах работ по анализу защищенности, который проводился экспертами с использованием инструментальных и ручных методов по заказу владельцев соответствующих систем. Таким образом, для каждой рассмотренной системы вошла информация об уязвимостях, которые там заведомо присутствуют (каждая уязвимость проходила ручную верификацию).

В большинстве случаев анализ проводился методами черного или серого ящика (то есть исследователи находились в тех же условиях, что потенциальный атакующий), а для 13% систем помимо этого для анализа были предоставлены исходные коды приложений. Среди рассматриваемых приложений были сайты, находящиеся в промышленной эксплуатации, и тестовые системы на стадии приемки в эксплуатацию.

Самая распространенная уязвимость 2013 года — межсайтовое выполнение сценариев (Cross Site Scripting) — встречается на 78% исследованных сайтов. Данный недостаток позволяет атакующему влиять на содержимое веб-страницы, отображаемой в браузере пользователя, в том числе с целью распространения вредоносного кода или получения учетных данных жертвы. Например, в случае уязвимой системы интернет-банкинга злоумышленник может сформировать ссылку, относящуюся к реальному сайту банка, при переходе по которой пользователь увидит фальшивую форму авторизации. Введенные пользователем данные будут направлены на сервер злоумышленника.

На втором месте по популярности (69%) — недостаточная защита от подбора идентификаторов или паролей пользователей (Brute Force), например, вследствие отсутствия или некорректной реализации механизма CAPTCHA.

В топ-10 рейтинга также вошли две уязвимости высокой степени риска — «Внедрение операторов SQL» (43%) и «Внедрение внешних сущностей XML» (20%).

Самыми небезопасными оказались сайты, написанные на языке PHP: 76% из них содержат критические уязвимости. Менее уязвимы веб-ресурсы на Java (70%) и ASP.NET (55%). Опасная уязвимость «Внедрение операторов SQL» встречается на 62% сайтов, написанных на PHP, для других языков данный показатель значительно ниже.

В банковской сфере большая часть мошенничества в России связана с фальшивыми картами (в основном результат скимминга). Ущерб от онлайн-мошенничества, которое напрямую не на 100%, но связано с недостатками систем ДБО, составило 1,6 млрд руб.

Согласно исследованию, ни одна из исследованных систем ДБО не соответствовала полностью требованиями стандарта безопасности PCI DSS. Для систем ДБО наиболее актуальной стала уязвимость среднего уровня риска «Межсайтовое выполнение сценариев», которая встречается в 75% систем ДБО и может привести к атакам на пользователей через фишинг и распространение вредоносного кода. Что касается уязвимостей высокой степени риска, которые позволяют атаковать серверные компоненты, то наиболее распространенные уязвимости, встречающиеся в половине рассмотренных систем ДБО, могут привести к отказу в обслуживании и к чтению файлов на сервере. Однако в текущем исследовании оценивался лишь общий уровень риска уязвимостей в соответствии с методикой CVSS (Common Vulnerability ScoringSystem), тогда как для систем ДБО решающее значение имеют недостатки логики работы системы и возможность превратить обнаруженные недостатки в вывод денег. И, как показывает прошлогоднее исследование Positive Technologies, зачастую именно комбинация уязвимостей среднего уровня риска может привести к краже денег у клиента.

Также увеличился спрос на анализ безопасности сайтов СМИ, что связано с громкими случаями их взломов и распространения дезинформации. Кроме того, исследовались сайты государственных учреждений, промышленных предприятий и телекоммуникационных компаний.

2013: Во что нам обходится интернет-банкинг

За первые три квартала 2013 года по данным Symantec число финансовых троянов возросло в три раза, и на сегодняшний день они являются одним из самых распространенных типов угроз. Для того чтобы лучше понять масштабы и механизмы работы финансовых троянов, эксперты Symantec проанализировали более 1000 конфигурационных файлов восьми троянских программ, направленных против банковских систем.

В 2007 г. появился продвинутый финансовый троян под названием Zbot (Zeus). Он был создан Российским вирусописателем под ником Slavik/Monstr и продавался на черном рынке за тысячи долларов. Два года спустя у этого трояна появился конкурент под названием Spyeye, автором которого был некий Gribodemon. Цена нового продукта была более доступной и составляла $700. Подпольный рынок финансовых троянов процветал.

С тех пор рынок претерпел значительные изменения: в 2011 г. исходный код Zeus был украден и выложен в открытый доступ, что привело к резкому обвалу его цены. С этого момента начало появляться множество версий Zeus, включая доработанные Ice IX и Citadel, которые стали бороться за рынок. Банды киберпреступников также создали альтернативные варианты Zeus, предназначенные для частного использования, как, например, знаменитый Gameover, который появился в июле 2011 г. Через месяц после публикации исходного кода Zeus некто Xylibox путем взлома получил доступ к исходному коду Spyeye, что привело к аналогичному обвалу цены. На данный момент какая-либо информация о дальнейшей разработке двух этих троянов их создателями отсутствует. Многие нынешние финансовые трояны позаимствовали приемы и архитектуру Spyeye и Zeus.

К маю 2003 г. существовало около 20 различных банковских троянов. И по мере того как финансовые учреждения укрепляли защиту и системы выявления мошенничеств, злоумышленники приспосабливались. С тех пор появилось множество банковских троянов. К сожалению, внедрение новых, надежных технологий защиты происходит довольно медленно, и злоумышленники успешно пользуются уязвимостями нынешних, пока еще несовершенных, механизмов. За последние несколько лет трояны стали значительно более изощренными, и именно финансовые трояны на сегодняшний день являются одним из самых распространенных типов угроз.

За первые девять месяцев 2013 г. число случаев заражения финансовых учреждений увеличилось на 337%. Это почти полмиллиона заражений в месяц. Для того чтобы лучше понять масштабы и механизмы работы финансовых троянов, эксперты Symantec проанализировали более 1000 конфигурационных файлов восьми троянских программ, направленных против банковских систем. В этих файлах хранится информация об атакуемых URL-адресах, а также о стратегии атаки. Стратегии варьируются от простого перенаправления пользователей до сложных веб-инжектов (Web-injects), способных автоматически осуществлять транзакции в фоновом режиме.

Проанализированные конфигурационные файлы содержали более 2000 адресов, принадлежащих 1486 организациям-жертвам, из которых почти 95% – финансовые учреждения. Оставшиеся 5%– это компании, предлагающие онлайн-услуги, например СМИ, сайты поиска работы, аукционы и сервисы электронной почты. Это указывает на широкий охват таких троянов: злоумышленники атакуют любые цели, способные принести прибыль. Объектами атак являются финансовые учреждения практически всех типов – от коммерческих банков до кредитных кооперативов.

Основной целью злоумышленников являются сайты классических банков, однако, помимо этого, в качестве потенциальных объектов атак рассматриваются и учреждения нового типа. В попытках максимизировать прибыль злоумышленники начинают атаковать популярные и, соответственно, прибыльные сети финансовых транзакций, такие как американская Automated Clearing House, а также европейская Single Euro Payments Area (SEPA), подвергшаяся атаке совсем недавно.

Ключевые пункты исследования:

  • Объектами атак с использованием финансовых троянов являются более 1400 финансовых учреждений;
  • Более 50% троянов атаковали топ-15 финансовых учреждений мира;
  • Самый «популярный» банк расположен в США, и он был атакован 71,5% из всех проанализированных троянов;
  • Распознаны две основные стратегии атаки: «сфокусированная атака» и «крупные мазки»;
  • Объектами атак стали учреждения в 88 странах;
  • Продолжается расширение зоны действий мошенников за счет регионов Ближнего востока, Африки и Азии;
  • Теперь объектами атак становятся не только электронные банковские системы, но и компании, занимающиеся иными видами деятельности;
  • Существующие приемы совершенствуются: обеспечивается автоматизация и повышается точность;
  • За первые три квартала 2013 г. число финансовых троянов возросло в три раза.

2011-2012 годы

За 2011 г. хакеры похитили около 2,3 млрд долл. США из систем дистанционного банковского обслуживания (ДБО). Генеральный директор компании Group-IB Илья Сачков заявил, что злоумышленники ежедневно осуществляют около 50 ограблений систем ДБО разных банков в Москве.

В основном мошенники нацеливаются на малые и средние компании, которые в результате атак объявляют о банкротстве. За одно из 50 ограблений злоумышленники получают около 2 млн руб. число преступлений в области ДБО за 2012 год увеличилось на 200%.

В 2011 г., как говорят аналитики, самым популярным способом незаконного вывода денег с банковских счетов было использование троянских программ. Эта тенденция сохранится, так как количество пользователей онлайн-банкинга и в России, и во всем мире постоянно увеличивается. Нынешний 2012 г. ознаменовался ростом узконаправленных атак. Реквизиты кредитных карт и банковских счетов с большим отрывом лидируют в списке информации, предлагаемой к продаже на черных виртуальных рынках.

2012

Клиенты ДБО в России потеряли $446 млн за год (-9%)

В 2012 г. в системах дистанционного банковского обслуживания в России было украдено примерно на 9% меньше денежных средств, чем годом ранее. Об этом в сентябре 2013 г. в своем отчете о состоянии киберпреступности в стране сообщила компания Group-IB, специализирующаяся на расследовании компьютерных преступлений.

По данным компании, в частности, в 2012 г. российские клиенты банков через системы ДБО потеряли порядка $446 млн, в то время как в 2011 г. аналогичная сумма составляла $490 млн. Средняя сумма хищений у банковских клиентов, совершаемых киберпреступниками, составляла порядка 75 тыс. руб. для физических лиц и порядка 1,6 млн руб. для юридических лиц, подсчитали в Group-IB.

Для оценки объемов мошенничества в системах интернет-банкинга специалисты компании использовали формулу, учитывающую количество действовавших преступных групп, осуществляющих подобную деятельность, среднее количество успешных хищений в день, среднюю сумму хищений и количество рабочих дней в году, поскольку хищения совершаются исключительно в рабочие дни. Для оценки объемов мошенничества компания использовала данные, полученные из собственной практики, от Центробанка и других финансовых организаций.

Снижение объемов украденных через системы ДБО средств в 2012 г. в Group-IB связывают с несколькими факторами. Одним из них в компании называют ликвидацию ряда крупных преступных групп. Пришедшие же им на смену новые группы не смогли добиться аналогичного успеха, поясняет основатель и руководитель Group-IB Илья Сачков.

Среди других факторов он отмечает внедрение антифрод-решений крупнейшими банками в России и организацию межбанковского списка дропов – обмена сведениями о лицах и организациях, причастных к обналичиванию похищенных денег, что позволяет вовремя пресекать мошеннические операции.

Среди основных тенденций 2012 г. в части краж денежных средств через системы ДБО в Group-IB отмечают использование POS-терминалов, применяемых для расчетов по банковским картам в торговых точках и пунктах общепита в Москве и других крупных российских городах. По словам специалистов компании, ПО, необходимое для краж данных банковских карт, в данном случае зачастую помогает установить кто-то из сотрудников самой торговой точки. Также существуют предложения по продаже модифицированных POS-терминалов, готовых к использованию с преступными целями.

Конкретные названия торговых точек в Москве, где в 2012 г. имели место подобные инциденты, Илья Сачков предпочел не озвучивать, отметив лишь, что чем популярней точка и чем больше транзакций по банковским картам в ней производится, тем больше вероятность нарваться в ней на зараженный POS-терминал.

Еще одним ключевым трендом в Group-IB называют атаки через банковские мобильные приложения. Так, в 2012 г. поддельные приложения, позволявшие получать данные банковских карт клиентов «Сбербанка» и «Альфа-Банка» для смартфонов на базе ОС Android, были обнаружены и изъяты из онлайн-магазина Google Play.

По итогам 2013 г. вряд ли стоит ожидать снижения объемов краж через системы ДБО, заявил Илья Сачков TAdviser.

Сбербанк пресек хищения средств через каналы ДБО на сумму 1,2 млрд руб.

За 9 месяцев 2012 г. Сбербанк пресек более 5 тыс. попыток хищения средств физических лиц на сумму более 500 млн руб., а также свыше 400 попыток хищения средств юридических лиц на сумму более 770 млн руб. через каналы ДБО. Тем самым Сбербанк предотвратил хищения на сумму более 1,2 млрд руб. В результате успешного взаимодействия Сбербанка с правоохранительными органами разоблачены и задержаны целый ряд организованных преступных групп, осуществлявших хищения у клиентов системы «Сбербанк ОнЛ@йн» и «Клиент-Сбербанк».

Каналами ДБО Сбербанка пользуется около 8 млн физических лиц и более 700 тыс. юридических лиц.

«Объединение усилий службы безопасности Сбербанка, подразделений МВД, ФСБ и коммерческой специализированной организации по расследованию компьютерных преступлений «Группа Информационной Безопасности» позволило изобличить и пресечь деятельность наиболее опасных и активных преступных групп, участники которых осуществляли свою деятельность из различных городов России и из-за рубежа», – отметил заместитель председателя правления Сбербанка России Станислав Кузнецов.

Департамент безопасности Сбербанка отмечает существенный рост случаев установки скиммингового оборудования в 2012 г.: 1115 случаев за 3 квартала 2012 г. по сравнению с 496 за 2011г. В настоящее время в Сбербанке используется более 73 тыс. устройств самообслуживания, находится в обращении более 85 млн банковских карт.

Эффективность взаимодействия с правоохранительными органами в области противодействия скиммерским группам, занимающимся установкой оборудования, предназначенного для сбора данных магнитной полосы карты и ПИН-кода, повышается. В 2012 г. задержаны члены семи преступных групп, осуществлявших установку скиммингового оборудования на территории Москвы и Московской области, в Иркутске, Барнауле, Казани и Ярославле. На основании собранных доказательств были осуждены к различным срокам лишения свободы 7 человек, причем впервые 2 преступника были осуждены по ст. 272 УК России – неправомерный доступ к компьютерной информации.

Positive Technologies: две трети систем ДБО можно взломать

Компания Positive Technologies (Позитив Текнолоджиз) представила осенью 2013 года результаты аналитического исследования уязвимостей систем ДБО за 2011 и 2012 годы. Работы проводились в рамках оказания услуг по анализу защищенности ряду крупнейших российских банков. Более 70% всех протестированных решений относятся к системам ДБО, обслуживающим физические лица.

Как следует из отчета, злоумышленник может получить доступ к ключевым компонентам (ОС или СУБД сервера) каждой третьей системы ДБО. В ряде случаев возможен захват полного контроля над системой, что позволяет проводить в ней любые денежные операции, осуществлять атаки на смежные комплексы во внутренней сети банка (АБС) или вызвать отказ в обслуживании. 37% систем ДБО позволяют получить доступ к личным кабинетам отдельных клиентов и выполнять несанкционированные операции с их счетами.

Уязвимости высокой степени риска были выявлены в каждой второй системе ДБО. Но даже отсутствие критических недостатков безопасности вовсе не означает, что финансовые средства банка и его клиентов надежно защищены. Для несанкционированного проведения транзакций на уровне пользователя системы ДБО нарушителю достаточно использовать несколько отдельных уязвимостей средней степени риска (а такие недостатки защиты были обнаружены во всех рассмотренных системах).

Общая проблема рассмотренных в отчете систем ДБО заключается в непроработанном механизме аутентификации, в том числе в слабой парольной политике и недостаточной защите от подбора учетных данных (Brute Force). Подобным уязвимостям оказались подвержены 82% систем. Каждая из более чем 60% исследованных систем ДБО содержала как минимум один из недостатков механизма идентификации пользователей — предсказуемый формат идентификаторов или раскрытие информации о существующих в системе идентификаторах. Кроме того, более 80% систем содержали различные недоработки в исполнении механизма авторизации, причем в трех системах двухфакторная авторизация при проведении транзакции отсутствовала вовсе. По отдельности указанные недостатки, как правило, не несут серьезных рисков для системы, но их сочетание может быть использовано злоумышленником для получения доступа в личные кабинеты пользователей путем подбора идентификаторов, паролей и для последующего проведения транзакций.

Оценивая уязвимости систем ДБО различных производителей, эксперты Positive Technologies обнаружили, что наибольшее число критических ошибок содержится в продуктах известных вендоров. Системы, поставляемые профессиональными разработчиками, в среднем содержат почти в 4 раза больше уязвимостей на уровне кода приложения, чем продукты собственной разработки. Более того, критические уязвимости такого рода были обнаружены лишь в системах от вендоров. Сложная архитектура, кроссплатформенность и большое количество функций подобных систем не всегда позволяют вендору обеспечить должный уровень защищенности.

Защищенность веб-приложений систем ДБО

Исследовательский центр Digital Security (Диджитал Секьюрити) Research Group (DSecRG) представил в 2011 году результаты ежегодного исследования безопасности отечественных систем ДБО. В этом году в рамках исследования внимание было уделено не только безопасности кода плагинов браузера, но и архитектуре систем ДБО, веб-интерфейсам и прикладному ПО, а также процессам распространения исправлений разработчиками банкам. В целом, как показали результаты исследования, уровень защищенности веб-приложений систем ДБО по-прежнему остается крайне низким — за два года ситуация мало изменилась, говорится в сообщении компании Digital Security.

В 100% исследуемых систем были выявлены ошибки класса XSS (межсайтовый скриптинг). Данный тип уязвимости является вторым по популярности в списке уязвимостей OWASP Top 10. Чтобы показать, что в контексте работы системы ДБО данный тип ошибок является действительно опасным, был разработан способ использования данной уязвимости для обмана пользователя и установки ЭЦП на поддельное платежное поручение даже в случае использования защиты в виде смарт-карты или токенов. При этом такая атака возможна без заражения рабочей станции клиента банка, подчеркнули в Digital Security.

Как было установлено исследователями, большинство ПО банков работает с токенами, используя веб-технологии, что также дает злоумышленнику рычаги давления. Например, злоумышленник может скрытно перебирать PIN-код от токена с любого сайта или даже незаметно устанавливать ЭЦП. Кроме того, были обнаружены ошибки архитектуры, которые позволяют обходить проверку ЭЦП при приеме платежного поручения, например, в случае воздействия уязвимости типа SQL-инъекции. Так, злоумышленник может изменить статус платежного поручения с помощью SQL-инъекции без установки ЭЦП, после чего такая платежка попадет в АБС, где уже нет такого понятия, как ЭЦП, и поэтому будет исполнена (если другие параметры платежного поручения не вызовут подозрения у операциониста банка), пояснили в Digital Security. Кроме большого количества ошибок в веб-приложениях, по-прежнему также актуальны проблемы с плагинами ActiveX на клиентах.

Результаты данного исследования были представлены на международной конференции ZeroNights 2011 в ноябре в Санкт-Петербурге. В ходе конференции Zero Nights были продемонстрированы эксплойты и 0-day уязвимости в пользовательских плагинах систем ДБО. По словам специалистов Digital Security, такие уязвимости опасны тем, что позволяют реализовывать целевые атаки на пользователей системы, компрометируя их рабочие станции.

«Несмотря на то что мы пытались обратить внимание на проблемы систем ДБО ещё два года назад — заметного улучшения качества кода не произошло, — прокомментировал результаты исследования Алексей Синцов, руководитель департамента аудита ИБ Digital Security. — Так, например, год назад в продукте была найдена одна уязвимость, о чем было сообщено разработчику. Разработчик выпустил обновление, но остальной код не стал проверять на наличие аналогичных проблем. Логично, что через год похожая проблема была найдена опять, в другом участке кода той же программы. Кроме того, практически во всех приложениях — как веб, так и ActiveX — не применяются известные и популярные защитные механизмы. И за два года ситуация не поменялась. Например, мы не встречали систем ДБО, которые использовали бы флаги для защиты cookie и, тем более, защиту от атак класса clickjacking».

По словам Алексея Синцова, исследование также показало, что существуют большие проблемы с распространением исправлений уже давно найденных уязвимостей. «Так, например, до сих пор мы видим применяемые многими решения с устаревшей клиентской частью ActiveX с уязвимостями, о которых было сообщено разработчику более года назад. Более того, такая же ситуация и с веб-уязвимостями (в серверной части), когда после выявления уязвимостей разработчик выпускает обновления и устанавливает их в рамках одного конкретного внедрения ДБО. При этом спустя полтора года мы видим другое внедрение этого же разработчика с аналогичными уязвимостями за счет использования общего ядра системы. То есть сегодня на практике мы видим то, что большинство разработчиков систем ДБО банально скрывают проблемы ИБ в своих продуктах от банков и даже не пытаются задумываться об их безопасности».

Российские системы дистанционного банковского обслуживания (ДБО) находятся под прицелом международной хакерской группы, ворующей миллионы долларов в неделю. Рост числа вторжений в банковские учётные системы составляет более 200%.

2011: Атаки трояна Carberp

Основная статья: Carberp (троян)

Предпосылки и тенденции развития мошенничества в ДБО России

Банки предлагают электронные платежи, мобильные платежи, и становятся поставщиками инфраструктуры. Традиционные банки имеют инфраструктуру, банковские лицензии, подключение к платежным системам и финансовым рынкам. Они расширяют рамки платежей и предлагают своим клиентам персональное финансовое управление портфелем активов и разнообразные финансовые продукты. Что означает безопасности платежей в такой экосистеме? Платежи между компаниями регулируются соглашениями между предприятиями (B2B). Индивидуальные платежи инициируются электронным платежным документом, содержащим указания клиента банку перевести определенную сумму денег со счета клиента в этом банке в соответствии с определенными инструкциями по оплате (B2C)

Людей, использующих банки для хранения денег, становится всё больше в нашей стране, и регионы всё активнее присоединяются к тенденции хранить финансы в финансовых учреждениях. Как следствие, возрастает количество людей, пользующихся услугами этих учреждений в полном объёме. Среди пользователей ДБО уже встречаются не только специалисты, способные защитить себя в информационной сфере, но и обычные люди, уделяющие недостаточно внимания компьютерной безопасности. Количество пользователей банковских услуг уже достигло уровня, серьезно интересующего злоумышленников, и рост популярности ДБО не замедляется - за счёт регионального развития[4].

Первая предпосылка – количественный рост пользователей услуг

Количество платных услуг, предоставляемых банками при помощи ДБО, от оплаты мобильного телефона до оплаты кредитов и штрафов, постоянно растёт. Таким образом, всё увеличивающееся количество пользователей накладывается на всё более активное использование этими пользователями услуг банков.

Вторая предпосылка – расширение качества и количества предоставляемых услуг

Кроме того, пользователи активно используют мобильные устройства для совершения банковских операций. Тот факт, что любой человек с любого гаджета может работать с банковскими счетами, имеет для индустрии как положительные, так и отрицательные стороны. С одной стороны, это позволяет банкам минимизировать затраты на офисы, снижая расходы на обслуживание пользователей. С другой – если до сих пор банки считали себя достаточно защищёнными структурами, ведь основная часть операций велась в локальных сетях банка, не выходя за пределы организации или локальных офисов, то сейчас взаимодействие с банком происходит в интернете, и если серверная часть по-прежнему защищена хорошо, то клиентская часть практически не защищена.

Третья предпосылка – использование мобильных платформ при всем их разнообразии для работы с ДБО

Существующие решения способны защитить персональный компьютер или ноутбук, но при этом они потребляют слишком много ресурсов, чтобы оставаться эффективными на гаджетах с их ограниченными по сравнению с полноценными компьютерами параметрами. Возникает необходимость в новом подходе к защите, который заключался бы не в постоянном мониторинге новых угроз и защите именно от них, а в проактивной защите самой инфраструктуры устройств, работающих с банками. Такой подход, помимо оптимального потребления ресурсов и отсутствия необходимости в регулярных обновлениях, имеет дополнительный плюс – обеспечение целостности системы защищает не только от эпидемиологических угроз, но и от «таргетированных» атак и угроз нулевого дня, не обнаруживаемых антивирусами на момент появления.

Четвертая предпосылка – недостаточная на сегодняшний день защита всего спектра устройств и платформ

С свете грядущей ответственности банков перед клиентами их забота о безопасности клиента выходит на новый виток развития. Значит ли это, что новые технологии проактивной защиты в ближайшее время будут внедряться в связанные с ДБО системы, ведь иначе банки будут нести всё возрастающие убытки?

Варианты защиты

Обратившись к статистике можно заметить, что 70% атак на клиентскую часть ДБО происходит при хранении ключей на незащищенных носителях. Большое число банков переходит на технологии двухфакторной аутентификации с хранением ключевой информации в неизвлекаемом виде на eToken или в смарт-карте. Если учесть, что они могут объединять в себе и банковскую карту, и карту доступа к другим сервисам, например, к порталу госуслуг и прочему, то такое решение становится конкурентным преимуществом для тех, кто вовремя среагировал. Если банку не безразличны репутационные и финансовые риски, возникающие при внедрении технологий ДБО, он должен предлагать клиенту современные средства безопасности.

Image:USB-ключи и смарт-карты eToken ГОСТ.jpg

К тому же, законодатели подталкивают банкиров к более ответственному обращению со средствами клиентов. Для примера: закон №161-ФЗ устанавливает, что "…оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа…". Как при разборе такой ситуации обойтись без строгой аутентификации, представить сложно. При этом один из главных моментов для банков состоит в том, что средства аутентификации и защиты данных обязательно должны быть сертифицированы. Это дает гарантию надежности внедряемого решения и обеспечивает соответствие требованиям российского законодательства в области использования средств криптографической защиты информации.

Однако наличие одних лишь средств двухфакторной аутентификации на данный момент уже не гарантирует защиту от потерь. Крайне желательно дополнить аутентификацию по токену или смарт-карте еще одним фактором. Некоторые банки уже предлагают клиентам варианты с дополнительным введением одноразовых паролей. Эта система может быть реализована по-разному, в виде OTP-токенов или приложений, функционирующих на мобильном телефоне, с использованием SMS-канала, специальных SIM-карт или защищенных SD-карт, установленных в мобильное устройство. Хорошим вариантом дополнительного фактора аутентификации является биометрия. Она может использоваться как средство доступа к токену, если считыватель смарт-карты оснащен еще и биометрическим датчиком. Применение биометрии делает перехват пароля к USB-ключу гораздо более проблематичным.

Традиционно основная проблема дистанционного банковского обслуживания состоит в обеспечении доверенности среды исполнения банковских приложений. В программном обеспечении практически всех разработчиков имеется достаточно большое количество уязвимостей, и системы ДБО здесь совсем не исключение.

В условиях постоянно развивающихся средств нападения защита должна отвечать адекватно. На рынке уже появились средства, предоставляющие доверенную среду для проведения операций электронной подписи. Среди них - компьютеры, в которых средства доверенной загрузки реализованы в BIOS (например, фирмы Kraftway). Это позволяет исключить воздействие вирусов, загружаемых до запуска системы, и вирусов, модифицирующих сам BIOS (реализованных в виде гипервизора в BIOS - такой вирус невозможно обнаружить средствами, запускаемыми после него).

Появились на рынке и считыватели смарт-карт с визуализацией значимых полей подписываемого документа. Платежный документ после формирования передается по USB в считыватель и на его экран выводятся значимые поля документа. Наложение подписи инициируется нажатием кнопки на устройстве и происходит в его изолированной среде, а уже подписанный документ передается обратно в компьютер. Таким образом, исключается возможность атак с подменой документа и с захватом управления компьютером.

Серьезное влияние на безопасность ДБО оказывает уровень квалификации персонала, его достаточность и мотивация, а также бюджет информационной безопасности. Недостаточная квалификация и мотивация ведут к таким, казалось бы, уже давно надоевшим, но все еще актуальным проблемам, как установленный пароль по умолчанию на сетевом оборудовании, единый пароль на разных ресурсах, удаленный доступ в обход общих правил и политик. Поголовная виртуализация и стремление "в облака" также не уменьшают количество проблем. Ограниченность бюджета небольших организаций и физических лиц, дефицит специалистов часто ведут к затягиванию процесса внедрения полного комплекса необходимых технологий и замедлению реакции на возникающие новые угрозы. Выручить может только тщательная и всесторонняя оценка рисков и хорошо продуманная система управления ими.

Мобильный банкинг

В настоящий момент количество пользователей ДБО растет за счет увеличения числа людей, использующих онлайн-банкинг через мобильные телефоны.

Аналитическая компания Juniper Research подсчитала, что в 2011 г. число пользователей мобильных банковских операций в мире достигло 300 млн. Наблюдая за развитием мирового рынка электронной коммерции, эксперты прогнозируют заметный подъем аудитории последователей мобильного банкинга – до 530 млн человек к 2013 г. Аналитики уверены, что популярность мобильного банкинга будет расти, несмотря на экономические проблемы в мире и угрозу усугубления глобальной рецессии. Более того, решения мобильного банкинга дадут банкам возможность повысить операционную эффективность и с наименьшими затратами удержать и привлечь потребителя.

В последнее время эксперты все чаще говорят о перспективности такого решения, как SIM-карта с ЭЦП "на борту". Основная область ее применения – использование мобильного телефона для совершения (подтверждения) операций, требующих исполнения строгих процедур проверки подлинности данных и субъектов информационного взаимодействия, что актуально и для ДБО. Создание такого устройства требует усилий, однако на сегодня оно представляется наилучшим решением против нарастающего вала мошенничеств и может послужить серьезному прорыву к созданию надежных сервисов безопасности.

Человеческий фактор на стороне мошенничества

С учетом вступления в силу положений закона №161-ФЗ "О национальной платежной системе", с начала 2013 г. банки обязаны возмещать ущерб от мошеннических операций для клиентов – физических лиц. Другими словами, мошенники будут красть средства не у клиентов банка, а у него самого. Поэтому банки теперь как никогда озабочены усилением мер безопасности.

Борьбу с мошенничеством в сфере ДБО можно условно разделить на 2 направления: повышение защиты на стороне клиента или усиление мер безопасности на стороне банка. К сожалению, основной проблемой внедрения систем защиты на стороне клиента является человеческий фактор. Какие бы средства защиты банк ни предлагал клиенту, всегда найдется способ обойти их. Человека можно легко обмануть, используя методы социальной инженерии или подделывая текст на экране, он может потерять бдительность, что-нибудь забыть, отвлечься, ошибиться – полностью исключить эти факторы нельзя. Однако теперь у граждан есть повод стать внимательнее. Согласно вышеупомянутому закону, банк не будет возмещать клиенту ущерб от мошеннических операций, если докажет, что человек нарушил порядок использования электронного средства платежа.

Высокотехнологичные методы борьбы

На стороне банка для предотвращения мошенничества используются интеллектуальные антифрод-системы, которые осуществляют многокритериальный анализ каждого платежного поручения, поступившего на исполнение в банк. Многолетний опыт борьбы с мошенническими платежами в системах ДБО демонстрирует, что данное средство защиты является эффективным. Однако антифрод-система должна непрерывно совершенствоваться с учетом эволюционного развития кибермошенников.

К примеру, даже самый интеллектуальный антивирус не может обнаружить последние модификации вируса, если на него не были своевременно поставлены свежие базы описаний вирусов. В антифрод-системе все аналогично – обычная установка и однократная настройка системы не уберегут банки от мошеннических действий. Если система не совершенствуется, через некоторое время ее эффективность снижается до нуля. Ключевым моментом при эксплуатации такого решения является наличие у ее разработчика сервиса, который дорабатывает антифрод-систему с учетом текущей ситуации по мошенничеству.

Подход, при котором банк самостоятельно разрабатывает антифрод-систему, в корне неправильный – этим должны централизованно заниматься соответствующие эксперты. Создание собственного решения аналогично по эффективности разработке собственной антивирусной системы силами банка. Ни один банк не столкнется со всеми вирусами, поэтому не будет знать тонкости всех способов совершения мошенничества.

Мошенничество в ДБО: эволюция глазами экспертов

Первые массовые случаи кражи средств через системы ДБО в РФ были зафиксированы в 2006–2007 гг. Жертвами мошенников в то время были клиенты – физические лица. Выбор был не случаен – заботясь об удобстве работы клиентов, для подтверждения платежа в большинстве случаев банки требовали от клиентов ввода обычного "секретного" пароля. Скретч-карты, ключи ЭЦП, и тем более отправка одноразовых паролей на мобильный телефон широкого распространения не имели – поддержка таких средств защиты была реализована в ДБО ограниченного числа банков.

Уровень защиты, который обеспечивал обычный пароль, не выдерживал никакой критики. Даже школьник мог установить и настроить кейлоггер (мошенническое ПО, идентифицирующее набор символов с клавиатуры), чтобы узнать "секретный" пароль потенциальной жертвы.

Следует отметить, что использование небезопасных средств подтверждения платежа компенсировалось ограниченным функционалом системы ДБО. В большинстве случаев клиенту предоставлялась возможность посмотреть остаток на своих счетах, оплатить коммунальные услуги или пополнить счет мобильного телефона.

Последний функционал (оплата услуг сотовых операторов) и использовался злоумышленниками для кражи средств со счета клиента: изначально они направлялись на счет мобильного телефона (SIM-карта которого, как правило, покупалась в подземном переходе), затем средства выводились на другие счета через специализированные шлюзы. После кражи SIM-карта выбрасывалась, и найти злоумышленников было почти невозможно.

Небольшая сумма платежа, которую могли украсть злоумышленники у одного клиента, была связана с лимитами на сумму платежа, которые устанавливали сотовый оператор и банк.

Отличительной особенностью мошеннических платежей того времени было то, что злоумышленники всячески перестраховывались, и поэтому работали в системе ДБО через анонимные proxy-серверы, находящиеся в других странах. Такой поход являлся своеобразным организационным барьером, затрудняющим работу правоохранительных органов для проведения оперативно-розыскных мероприятий и поиска злоумышленника.

Однако эта особенность позволяла антифрод-системам просто и эффективно обнаруживать факт работы злоумышленника, а соответственно, предотвращать хищения средств.

Развитие мошенничества: воровство у юрлиц

Ограниченность функционала ДБО физических лиц не позволяла злоумышленникам воспользоваться всеми преимуществами дистанционного обслуживания, а именно, осуществлять платежи на большие суммы непосредственно на банковские карты. Поэтому, функционал специализированного программного обеспечения, с помощью которых похищались данные для аутентификации в ДБО, расширился новой возможностью – помимо логина и пароля, злоумышленники могли копировать файлы, содержащие ключи ЭЦП.

Как следствие этого, на рубеже 2007–2008 гг. начался взрывной рост мошенничества в ДБО юридических лиц.

Первые случаи хищения средств со счетов юридических лиц мало чем отличались от кражи в ДБО физических лиц – мошеннический платеж пополнял средства на мобильном телефоне, либо счета виртуальных кошельков электронных платежных систем (в основном "Яндекс.Деньги" и WebMoney). Первоначальные суммы, которые злоумышленники похищали со счетов юридических лиц, были незначительно больше аналогичных мошеннических платежей со счетов физических лиц.

В большинстве случаев злоумышленники, как и раньше, совершали мошеннический платеж с одного и того же компьютера, продолжая подключаться к ДБО через IP-адреса других стран, используя анонимные proxy-серверы.

Такие мошеннические платежи эффективно обнаруживались антифрод-системами: как правило, юридические лица редко осуществляют платеж в пользу электронных платежных систем либо пополняют счет на мобильном телефоне.

Кроме того, зафиксировав всплеск мошеннических платежей, большинство платежных систем, позволявших пополнить виртуальные кошельки банковским переводом, выставили собственные лимиты. Например, система "Яндекс.Деньги" в настоящий момент позволяет пополнять электронный кошелек платежным поручением на сумму не более 15 тыс. руб., что делает ее неудобной для вывода средств.

Автоматизация криминала

Прогресс развития вредоносного программного обеспечения, используемого злоумышленниками, предоставил возможность автоматизированной кражи секретной информации клиента, требуемой для входа и создания платежа в системе ДБО (т.е. логин, пароль, секретный ключ клиента, а также IP-адрес сервера ДБО, с которым работает клиент).

Вся собранная информация автоматически консолидировалась на центральном сервере, и злоумышленникам достаточно было последовательно заходить под собранными учетными записями клиентов и красть с их счетов средства.

Характерно, что такая автоматизация привела к некоторому "разделению труда": стали формироваться группы, специализирующиеся на получении данных для совершения преступления, и группы, специализирующиеся непосредственно на краже средств со счета клиента (используя данные, купленные на "черном рынке" у первой группы).

Одной из особенностей этого периода было то, что, несмотря на общий "почерк" мошеннических платежей у разных клиентов, в подавляющем числе случаев это была работа с разных "чистых" компьютеров. Можно предположить, что злоумышленники работали с виртуальных машин, каждый раз восстанавливая операционную систему из "чистого" образа (так, например, работает опция "Revert to snapshot when power off" в свойствах виртуальной машины VMWare). Скорее всего, это было сделано не с целью уничтожить какие-либо доказательства противоправной деятельности, а несовместимостью различных версий надстроек для браузеров, которые должны быть установлены для работы в системе ДБО.

Новый функционал вредоносного программного обеспечения позволил не только копировать содержимое секретных ключей, но и информацию о расположении соответствующих файлов на диске. Если ранее злоумышленнику приходилось сохранять файлы с ключами во временную папку на диске и перенастраивать клиентскую часть ДБО на новое местоположение файлов (что было одним из эффективных "сигнализаторов" для антифрод-системы о подозрительных действиях клиента), то теперь эти файлы стали автоматически помещаться в то же самое место на диске, которое использовалось на компьютере клиента. Даже если клиент хранил ключевые файлы на дискете (в операционной системе этот диск был виден как B:), то на компьютере злоумышленника эмулировался диск B:, на котором создавались аналогичные директории, и интерфейс ДБО не замечал подмены компьютера клиента.

Смотрите также

Примечания