Полiт.ua Государственная сеть Государственные люди Войти
9 декабря 2016, пятница, 20:28
Facebook Twitter LiveJournal VK.com RSS

НОВОСТИ

СТАТЬИ

АВТОРЫ

ЛЕКЦИИ

PRO SCIENCE

ТЕАТР

РЕГИОНЫ

Когда мужик перекрестится

Деньги ваши?
Деньги ваши?
Фото: newsemoney.com

11–16 февраля 2013 года под Магнитогорском на озере Банном прошел, казалось бы, рядовой форум с негромким названием: V Юбилейный Уральский форум «Информационная безопасность банков». Но вот состав участников форума был далеко не рядовым. Начальников такого уровня обычно ожидаешь встретить скорее где-то в Давосе. А тут — тихое, удаленное от центров цивилизации место, никакого пиара по телевидению, скромное название — а предмет обсуждения напрямую касается всех жителей страны.

Все события пересказывать смысла нет. Многие выступления и обсуждения были посвящены изменениям в законодательстве, защите внутренних систем банков и тому подобному. Но подавляющая часть докладов касалась систем дистанционного банковского обслуживания (ДБО). И эта тема заняла едва ли не большую часть обсуждений в прениях.

Дисклеймер. Все цифры, приведенные в данной статье, взяты из официально опубликованных докладов V Уральского форума. Часть материала заимствована из презентаций предыдущего, четвертого форума. Несмотря на то, что наиболее интересные цифры были представлены банкирами, во избежание ложных ассоциаций названия банков упоминать не будем. То, что какой-либо банк озвучил информацию о количестве инцидентов безопасности, совершенно не означает, что в этом банке все плохо.

Для начала определение. Дистанционное банковское обслуживание — предоставление платежных и информационных услуг удаленным клиентам кредитной организации посредством телекоммуникационных средств и сетей передачи данных. Немного заумно, однако система знакома многим: большинство читающих эти строки так или иначе с ДБО работает.

Дистанционное банковское обслуживание реализуется по-разному. Как правило, через системы:

· банк-клиент (с использованием специально разработанного ПО, работающего на стороне клиента);

· мобильный клиент с работой через специальное ПО, плагин к браузеру или СМС;

· обслуживание через банкомат или терминал (АТМ-клиент).

При этом доступ возможен откуда угодно — и с рабочего места, и с мобильного устройства, и из дома. Банк априори не знает, откуда должно прийти указание на перевод средств.

Под определение ДБО попадают:

· рублевые и валютные переводы по счету/карточке;

· платежи через Интернет (оплата услуг ЖКУ, телефона, услуг интернет-провайдеров…);

· создание шаблонов и расписаний платежей и переводов;

· просмотр информации о начислении по жилищно- коммунальным услугам, выставленным ГУ ИС;

· просмотр информации и получение выписки по всем открытым в банке счетам/вкладам/картам, выставленным счетам и т. д.

И это далеко не все. Мы все больше и больше привыкаем к удобствам, которые сегодня предоставляет Интернет. Но осознаем ли мы проблемы, связанные с этими удобствами?

Ежедневно в России фиксируется 15–20 попыток хищения денежных средств из систем дистанционного банковского обслуживания. В среднем за один раз хакеры пытаются похитить около 400 тысяч рублей.

По статистике 2011 года 9 из 23 попыток хищения были успешными — почти половина!

При этом за 2012 год средняя сумма хищения у физических лиц составляет примерно 450 тысяч рублей, у компаний — чуть менее полутора миллионов. Максимальная сумма, которую попытались увести, и сведения о которой стали общеизвестными, составила в 2012 году 400 миллионов рублей. И надо четко понимать, что это не единственный пример попытки хищения очень крупной суммы – далеко не все пострадавшие хотят публично признать факт хищения.

Что служит причиной широкого распространения криминального бизнеса по хищениям из ДБО?

Основное — беспечность и самоуверенность потенциальных жертв. Несоблюдение основных правил работы в сети Интернет — среды изначально небезопасной, но по многим причинам используемой для работы с критично важной информацией.

· Использование пиратских версий программного обеспечения, содержащих незакрытые уязвимости, — ведь обновления для таких программ не работают. А также еще и содержащих вредоносные программы — «подарок» от хакеров, взламывавших это ПО. Бесплатный сыр, что вы хотите…

· Отсутствие на рабочих местах и мобильных устройствах доверенной среды, делающей возможной безопасную работу, — наличие прямого доступа к любым сайтам сети Интернет, установленные посторонние приложения, не нужные для работы (любое ПО — это уязвимости), открытая возможность для удаленного доступа, слабые пароли, небезопасные настройки…

· Отсутствие средств защиты. По статистике на 60% компьютеров отсутствует адекватный антивирус.

На это накладываются ошибки в программных средствах для работы с банком.

· В 99% компонентов ActiveX различных систем ДБО выявлены критичные уязвимости.

· Уязвимости, связанные с SSL (самоподписанные сертификаты, некорректная проверка имён хостов и т. д.), — примерно в 10–15% приложений.

· В 95% систем ДБО были выявлены уязвимости, позволяющие злоумышленнику внедрять свой код JavaScript (XSS). XSS позволяет полностью контролировать то, что отображается у пользователя, и то, что отправляется на сервер.

Не слишком ли много?

Если обратиться к истории, то все началось примерно в 2008–2010 годах с краж ключей электронной цифровой подписи (ЭЦП) и паролей к ним. В ответ на это в период 2009–2010 годов в были внедрены средства неотчуждаемого хранения ключей. В конце 2010 года появились первые атаки, обходящие внедренное средство защиты. Платежи проводились злоумышленниками непосредственно с ПК клиента с помощью удаленного управления. Также в 2011 году появились сообщения о возможности атаки с помощью подмены платежного поручения — реквизиты и суммы платежей, которые вы вводили, не совпадали с теми, которые уходили в банк. Ответом на эту атаку стали внешние устройства защиты. Но их драйверы все равно оставались на компьютере — и были доступны хакерам.

Ну и, наконец, на ваши деньги обратили внимание вирусописатели.

Как хакеры попадают на ваш компьютер? Наиболее часто — через вполне легальные сайты, которые вы посещаете постоянно: новостные, бухгалтерские, тематические…. Достаточно взломать один часто посещаемый сайт — и все его посетители получают свеженаписанный вирус Но есть и масса других способов — фишинг, чужие флешки, прямой взлом и удаленное управление тоже не сдают своих позиций.

Проникшие на ваш компьютер троянцы не только нагло воруют вашу собственность — они собирают вашу переписку (способы шантажа с помощью собранной таким образом информации уже известны), контакты, пароли, ключи, перехватывают нажатия клавиш на клавиатуре, делают снимки экрана…

Для защиты своих денег мы чаще всего используем следующие средства.

· Логин — как правило, легко запоминаемый и еще проще взламываемый.

· Долговременный пароль — также простой для запоминания и не изменяющийся годами.

· Виртуальную клавиатуру — пароли с которой банковские троянцы могут снять скриншотами.

· Технологию «каптча», одноразовые пароли (OTP-token, скретч-карты и т. д.) и защищенные каналы — игнорируемые вредоносными программами, уже удобно устроившимися в системе ДБО.

· СМС-информирование. Но СМС не имеют свойства гарантированной доставки, легко перехватываются и модифицируются — вредоносные программы с успехом все это проделывают.

· Антивирусные средства — но антивирусы могут перехватить нечто, пытающееся залезть к вам, только в том случае, если метод проникновения известен или аналогичен ранее использованному. Также слабо эффективны USB-ключи и хранилища ключевой информации, работающие на стороне клиента ДБО, — в силу возможности их компрометации.

Это, конечно, далеко не все средства защиты, но это то, что доступно физическим пользователям.

Все совсем плохо? Нет. Не совсем. Будет еще хуже. Федеральный закон за номером 161 «О национальной платежной системе» одним из своих положений установил обязанность банков возмещать клиентам потери по утечкам. Мера страшно популистская. Поглядев на суммы краж, каждый поймет, что возмещать такие деньги банки просто не смогут. Но закон есть закон — и для того, чтобы выполнить его, продвигается идея страхования вкладов. И весьма вероятно, что всех нас застрахуют, не спрашивая нашего согласия (соответствующие страховые продукты уже разработаны) — и мы будем, по сути, платить налог, который в старой доброй Англии назывался Данегельд, или просто откупная от разбойников.

Что можно посоветовать для противодействия взломам при работе с ДБО? Хороший антивирус. Постоянные обновления всего и вся. Работа только с ограниченными правами. Исключение возможности установки любых программ (в том числе и без вашего ведома). Никаких лишних приложений. Отключение всех ненужных функций — в том числе возможности удаленного управления вашим устройством. Желательно пользоваться устройством, единственной функцией которого является работа с ДБО.

Забавно, но данная статья задумывалась задолго до форума. И название статьи было придумано сразу — уж больно оно хорошо описывало текущее отношение людей к своей безопасности. И надо же так случиться, что именно в период проведения форума гром грянул — над Челябинском взорвался метеорит! Вот теперь я сижу и думаю, перекрестится ли тот мифический мужик? Потому что тот, у кого в кошельке гром не грянул, – до сих пор не крестится.

Обсудите в соцсетях

Система Orphus
Подпишитесь
чтобы вовремя узнавать о новых спектаклях и других мероприятиях ProScience театра!
3D Apple Facebook Google GPS IBM iPhone PRO SCIENCE видео ProScience Театр Wi-Fi альтернативная энергетика «Ангара» античность археология архитектура астероиды астрофизика Байконур бактерии библиотека онлайн библиотеки биология биомедицина биомеханика бионика биоразнообразие биотехнологии блогосфера бозон Хиггса визуальная антропология вирусы Вольное историческое общество Вселенная вулканология Выбор редакции гаджеты генетика география геология глобальное потепление грибы грипп демография дети динозавры ДНК Древний Египет естественные и точные науки животные жизнь вне Земли Западная Африка защита диссертаций землетрясение зоопарк Иерусалим изобретения иммунология инновации интернет инфекции информационные технологии искусственный интеллект ислам историческая политика история история искусства история России история цивилизаций История человека. История институтов исчезающие языки карикатура католицизм квантовая физика квантовые технологии КГИ киты климатология комета кометы компаративистика компьютерная безопасность компьютерные технологии коронавирус космос криминалистика культура культурная антропология лазер Латинская Америка лженаука лингвистика Луна мамонты Марс математика материаловедение МГУ медицина междисциплинарные исследования местное самоуправление метеориты микробиология Минобрнауки мифология млекопитающие мобильные приложения мозг Монголия музеи НАСА насекомые неандертальцы нейробиология неолит Нобелевская премия НПО им.Лавочкина обезьяны обучение общество О.Г.И. открытия палеолит палеонтология память педагогика планетология погода подготовка космонавтов популяризация науки право преподавание истории происхождение человека Протон-М психология психофизиология птицы ракета растения РБК РВК регионоведение религиоведение рептилии РКК «Энергия» робототехника Роскосмос Роспатент русский язык рыбы Сингапур смертность Солнце сон социология спутники старообрядцы стартапы статистика технологии тигры торнадо транспорт ураган урбанистика фармакология Фестиваль публичных лекций физика физиология физическая антропология фольклор химия христианство Центр им.Хруничева школа эволюция эволюция человека экология эпидемии этнические конфликты этология ядерная физика язык

Редакция

Электронная почта: politru.edit1@gmail.com
Адрес: 129343, Москва, проезд Серебрякова, д.2, корп.1, 9 этаж.
Телефоны: +7 495 980 1893, +7 495 980 1894.
Стоимость услуг Полит.ру
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003г. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2014.