11–16 февраля 2013 года под Магнитогорском на озере Банном прошел, казалось бы, рядовой форум с негромким названием: V Юбилейный Уральский форум «Информационная безопасность банков». Но вот состав участников форума был далеко не рядовым. Начальников такого уровня обычно ожидаешь встретить скорее где-то в Давосе. А тут — тихое, удаленное от центров цивилизации место, никакого пиара по телевидению, скромное название — а предмет обсуждения напрямую касается всех жителей страны.
Все события пересказывать смысла нет. Многие выступления и обсуждения были посвящены изменениям в законодательстве, защите внутренних систем банков и тому подобному. Но подавляющая часть докладов касалась систем дистанционного банковского обслуживания (ДБО). И эта тема заняла едва ли не большую часть обсуждений в прениях.
Дисклеймер. Все цифры, приведенные в данной статье, взяты из официально опубликованных докладов V Уральского форума. Часть материала заимствована из презентаций предыдущего, четвертого форума. Несмотря на то, что наиболее интересные цифры были представлены банкирами, во избежание ложных ассоциаций названия банков упоминать не будем. То, что какой-либо банк озвучил информацию о количестве инцидентов безопасности, совершенно не означает, что в этом банке все плохо.
Для начала определение. Дистанционное банковское обслуживание — предоставление платежных и информационных услуг удаленным клиентам кредитной организации посредством телекоммуникационных средств и сетей передачи данных. Немного заумно, однако система знакома многим: большинство читающих эти строки так или иначе с ДБО работает.
Дистанционное банковское обслуживание реализуется по-разному. Как правило, через системы:
· банк-клиент (с использованием специально разработанного ПО, работающего на стороне клиента);
· мобильный клиент с работой через специальное ПО, плагин к браузеру или СМС;
· обслуживание через банкомат или терминал (АТМ-клиент).
При этом доступ возможен откуда угодно — и с рабочего места, и с мобильного устройства, и из дома. Банк априори не знает, откуда должно прийти указание на перевод средств.
Под определение ДБО попадают:
· рублевые и валютные переводы по счету/карточке;
· платежи через Интернет (оплата услуг ЖКУ, телефона, услуг интернет-провайдеров…);
· создание шаблонов и расписаний платежей и переводов;
· просмотр информации о начислении по жилищно- коммунальным услугам, выставленным ГУ ИС;
· просмотр информации и получение выписки по всем открытым в банке счетам/вкладам/картам, выставленным счетам и т. д.
И это далеко не все. Мы все больше и больше привыкаем к удобствам, которые сегодня предоставляет Интернет. Но осознаем ли мы проблемы, связанные с этими удобствами?
Ежедневно в России фиксируется 15–20 попыток хищения денежных средств из систем дистанционного банковского обслуживания. В среднем за один раз хакеры пытаются похитить около 400 тысяч рублей.
По статистике 2011 года 9 из 23 попыток хищения были успешными — почти половина!
При этом за 2012 год средняя сумма хищения у физических лиц составляет примерно 450 тысяч рублей, у компаний — чуть менее полутора миллионов. Максимальная сумма, которую попытались увести, и сведения о которой стали общеизвестными, составила в 2012 году 400 миллионов рублей. И надо четко понимать, что это не единственный пример попытки хищения очень крупной суммы – далеко не все пострадавшие хотят публично признать факт хищения.
Что служит причиной широкого распространения криминального бизнеса по хищениям из ДБО?
Основное — беспечность и самоуверенность потенциальных жертв. Несоблюдение основных правил работы в сети Интернет — среды изначально небезопасной, но по многим причинам используемой для работы с критично важной информацией.
· Использование пиратских версий программного обеспечения, содержащих незакрытые уязвимости, — ведь обновления для таких программ не работают. А также еще и содержащих вредоносные программы — «подарок» от хакеров, взламывавших это ПО. Бесплатный сыр, что вы хотите…
· Отсутствие на рабочих местах и мобильных устройствах доверенной среды, делающей возможной безопасную работу, — наличие прямого доступа к любым сайтам сети Интернет, установленные посторонние приложения, не нужные для работы (любое ПО — это уязвимости), открытая возможность для удаленного доступа, слабые пароли, небезопасные настройки…
· Отсутствие средств защиты. По статистике на 60% компьютеров отсутствует адекватный антивирус.
На это накладываются ошибки в программных средствах для работы с банком.
· В 99% компонентов ActiveX различных систем ДБО выявлены критичные уязвимости.
· Уязвимости, связанные с SSL (самоподписанные сертификаты, некорректная проверка имён хостов и т. д.), — примерно в 10–15% приложений.
· В 95% систем ДБО были выявлены уязвимости, позволяющие злоумышленнику внедрять свой код JavaScript (XSS). XSS позволяет полностью контролировать то, что отображается у пользователя, и то, что отправляется на сервер.
Не слишком ли много?
Если обратиться к истории, то все началось примерно в 2008–2010 годах с краж ключей электронной цифровой подписи (ЭЦП) и паролей к ним. В ответ на это в период 2009–2010 годов в были внедрены средства неотчуждаемого хранения ключей. В конце 2010 года появились первые атаки, обходящие внедренное средство защиты. Платежи проводились злоумышленниками непосредственно с ПК клиента с помощью удаленного управления. Также в 2011 году появились сообщения о возможности атаки с помощью подмены платежного поручения — реквизиты и суммы платежей, которые вы вводили, не совпадали с теми, которые уходили в банк. Ответом на эту атаку стали внешние устройства защиты. Но их драйверы все равно оставались на компьютере — и были доступны хакерам.
Ну и, наконец, на ваши деньги обратили внимание вирусописатели.
Как хакеры попадают на ваш компьютер? Наиболее часто — через вполне легальные сайты, которые вы посещаете постоянно: новостные, бухгалтерские, тематические…. Достаточно взломать один часто посещаемый сайт — и все его посетители получают свеженаписанный вирус Но есть и масса других способов — фишинг, чужие флешки, прямой взлом и удаленное управление тоже не сдают своих позиций.
Проникшие на ваш компьютер троянцы не только нагло воруют вашу собственность — они собирают вашу переписку (способы шантажа с помощью собранной таким образом информации уже известны), контакты, пароли, ключи, перехватывают нажатия клавиш на клавиатуре, делают снимки экрана…
Для защиты своих денег мы чаще всего используем следующие средства.
· Логин — как правило, легко запоминаемый и еще проще взламываемый.
· Долговременный пароль — также простой для запоминания и не изменяющийся годами.
· Виртуальную клавиатуру — пароли с которой банковские троянцы могут снять скриншотами.
· Технологию «каптча», одноразовые пароли (OTP-token, скретч-карты и т. д.) и защищенные каналы — игнорируемые вредоносными программами, уже удобно устроившимися в системе ДБО.
· СМС-информирование. Но СМС не имеют свойства гарантированной доставки, легко перехватываются и модифицируются — вредоносные программы с успехом все это проделывают.
· Антивирусные средства — но антивирусы могут перехватить нечто, пытающееся залезть к вам, только в том случае, если метод проникновения известен или аналогичен ранее использованному. Также слабо эффективны USB-ключи и хранилища ключевой информации, работающие на стороне клиента ДБО, — в силу возможности их компрометации.
Это, конечно, далеко не все средства защиты, но это то, что доступно физическим пользователям.
Все совсем плохо? Нет. Не совсем. Будет еще хуже. Федеральный закон за номером 161 «О национальной платежной системе» одним из своих положений установил обязанность банков возмещать клиентам потери по утечкам. Мера страшно популистская. Поглядев на суммы краж, каждый поймет, что возмещать такие деньги банки просто не смогут. Но закон есть закон — и для того, чтобы выполнить его, продвигается идея страхования вкладов. И весьма вероятно, что всех нас застрахуют, не спрашивая нашего согласия (соответствующие страховые продукты уже разработаны) — и мы будем, по сути, платить налог, который в старой доброй Англии назывался Данегельд, или просто откупная от разбойников.
Что можно посоветовать для противодействия взломам при работе с ДБО? Хороший антивирус. Постоянные обновления всего и вся. Работа только с ограниченными правами. Исключение возможности установки любых программ (в том числе и без вашего ведома). Никаких лишних приложений. Отключение всех ненужных функций — в том числе возможности удаленного управления вашим устройством. Желательно пользоваться устройством, единственной функцией которого является работа с ДБО.
Забавно, но данная статья задумывалась задолго до форума. И название статьи было придумано сразу — уж больно оно хорошо описывало текущее отношение людей к своей безопасности. И надо же так случиться, что именно в период проведения форума гром грянул — над Челябинском взорвался метеорит! Вот теперь я сижу и думаю, перекрестится ли тот мифический мужик? Потому что тот, у кого в кошельке гром не грянул, – до сих пор не крестится.
