Противостоять растущему валу хакерских атак на системы банк-клиент можно только при помощи объединенной системы контроля и анализа транзакций. Об этом 29 марта в ходе V форума "ИТ-безопасность для финансового сектора" сообщил директор по развитию бизнеса RSA в России и СНГ Александр Вологдин. С места события передает корреспондент Клерк.Ру Сергей Васильев.
"Существуют два вида атак на системы дистанционного банковского обслуживания (ДБО), которым невозможно противостоять с помощью привычных средств защиты: сертификатов, подписей, двухфакторной проверки, - отметил Вологдин. - Это так называемая атака "Человек посередине" (Man in the middle, MITM) и ее частный случай Man in the browser (MITB - ситуация, когда вместо сайта банка пользователь перенаправляется на его фальшивую страницу-дублер).
Как правило, пользователю банк-клиента выдается ключик, перед началом сессии он вводит логин и пароль. Но посередине "живет" проксирующий сервер, о котором человек не подозревает. В итоге вместо одной транзакции оформляются две или три. Банки в качестве дополнительного доказательства "аутентичности" пользователя используют СМС-подтверждения, но и там есть пути обхода: заражению трояном может быть подвержен и смартфон".
Защититься от подобной активности в одиночку очень сложно. На помощь может прийти многоуровневая самообучающаяся система контроля, которая распознает подозрительные действия и сообщает о них своим клиентам. К примеру, решение RSA состоит из трех компонентов.
Первый - мониторинг случаев мошенничества. "Интернациональным мошенникам все равно, - заявил Вологдин, - они могут атаковать индийский банк, а через несколько минут попробовать сделать это с американским. Система позволяет обмениваться данными о таких попытках, поэтому через несколько минут все ее клиенты узнают о деталях атаки".
Второй - опознавание пользователя. "Ключ можно украсть, пароль можно подсмотреть, сессию можно перехватить, - пояснил эксперт. - В общем, у злоумышленника есть тысяча способов заменить пользователя трояном или собой. Система смотрит на то, как ведет себя пользователь в системе на протяжении определенного времени. Строит модель его поведения. Профиль пользователя включает в себя множество параметров, от IP до отпечатков пальцев. Одна из маленьких тонкостей - разрешение экрана при сессии, если компьютер заражен трояном, будет другим. И если действия пользователя стали резко отклоняться от обычного поведения, система выдает тревожный сигнал". Пример: пользователь заходил в банк-клиент два раза в месяц. И вдруг он проявил активность в час ночи. Логин и пароль совпадают. Оказалось, что бухгалтерский компьютер был заражен трояном. Он попал туда через "письмо счастья" в социальной сети. Троян знал про один из самых распространенных банк-клиентов практически все. А ошибка была в том, что бухгалтер один-единственный раз ушел и оставил в компьютере флешку с сертификатом.
Третий компонент контроля - система мониторинга транзакций. "Если система видит, что пользователь никогда раньше не выполнял транзакции такого типа (например, никогда не переводил 100 млн. рублей в это время дня на какой-то непонятный счет), она сообщает о высоком риске и старается транзакцию придержать. Более того, можно даже на время "прикрыть" сомнительный IP".
Начать дискуссию