Пользователи сами дарят свои деньги мошенникам.
Полагаю, что со мной согласятся многие: онлайн-банкинг — отличная приманка для мошенников, а потому требует защиты. Банки предлагают клиентам продвинутые инструменты защиты счетов, в том числе двухфакторную аутентификацию с одноразовыми паролями, ЭЦП, смарт-карты и прочее. Но когда пользователь полностью полагается лишь на банк, а не на защиту своего домашнего компьютера, то даже такие серьезные оборонительные мероприятия не помогут оставить счет в целости и сохранности.
Я покажу мошенническую цепочку от лица грабителя, что, надеюсь, поможет вам защититься от онлайн-атаки. Перед нехорошими людьми стоит задача: с помощью передовых информационных технологий получить деньги жертвы, доверяющей этим же информационным технологиям. Другими словами, мы посмотрим, что можно сделать нехорошего с пользователем услуг интернет-банкинга.
Для совершения мошенничества нам вовсе не требуется ничего похищать. Все логины и пароли мы оставим у их законного обладателя. Да и карточка с кодами подтверждения трансакций может спокойно остаться у владельца счета, хотя банковская система и получит код. Мы просто позволим жертве ввести данные доступа и код подтверждения самостоятельно — пусть почувствует себя важной персоной. Наша задача — незаметно перевести его деньги на счет, о котором он не имеет ни малейшего представления.
Нам потребуется только один или два файла: троянские программы, которые будут доставлены на компьютер жертвы любым стандартным способом. Как правило, используется электронная почта, переносной носитель или инфицированный сайт. Если атака целевая, то файл можно «положить» на компьютер жертвы вручную. Теперь остается только ждать, когда обладатель банковского счета воспользуется системой интернет-банк.
Троянская программа, находящаяся в боевой готовности, активируется в момент открытия сайта банка. Клиент заполняет платежное поручение, жмет кнопку «ОK», «Применить» или
О произошедшей атаке клиент узнает только после того, как выяснится, что услуга им не оплачена, хотя он уверен в обратном. Кстати, в журнале клиент-банка могут быть указаны реальные (мошеннические) реквизиты, но многие ли из нас проверяют дополнительно, куда они только что перевели деньги? Банк при осуществлении операции не имеет оснований подозревать, что платеж является нежелательным: данные доступа и подпись клиента, а также коды подтверждения в полном порядке.
Приведена примерная схема, но она дает представление о процессе. При этом вся проблема не стоила бы и выеденного яйца, если бы пользователь озаботился установкой антивирусной программы. Еще надежнее — антивирус с банковским модулем. Идеальным же решением является, разумеется, синхронная защита банковских систем и систем, используемых клиентами.
Разумеется, в процессе описанной выше атаки, используются «родные» интерфейсы интернет-банка, чтобы у пользователя не возникло ощущения подмены. Злоумышленники работают с кодами, которые пересылаются из браузера, установленного на домашнем компьютере жертвы, в банк. Фактически атака нацелена не на пользователя конкретного банка, а на всех пользователей банков, которые используют в своих системах дистанционного обслуживания определенные протоколы и регламенты. Проблема в том, что эти протоколы и регламенты часто жестко стандартизированы.
Надо понимать, что в вопросах защиты информации любая стандартизация — это всегда удар по безопасности, так как преступник знаком со всеми ограничениями, наложенными на жертву рамками закона или ведомственных требований. Все, что используется стандартно и по умолчанию, взламывается или обходится в первую очередь.
Российские банки вынуждены использовать определенные технологии, а когда
Кстати, именно российские пользователи здесь защищены меньше других в мире. Такие специфические требования по использованию ПО невозможно себе представить, например, в Евросоюзе. На мой взгляд, банк несет риски, а значит, только он может определять, какие средства он будет использовать, чтобы эти риски минимизировать.
Начать дискуссию