Насколько безопасны электронные переводы, использование систем «клиент-банк», оплата по карте и через сайт? Как злоумышленники могут похитить ваши денежные средства через системы дистанционного банковского обслуживания? И могут ли сами банки защитить себя от кибератак? Эти вопросы «КС» обсудил вместе с участниками банковского сектора и экспертами в области обеспечения информационной безопасности.
Актуальность вопросов безопасности
По мере распространения и упрощения различных форм электронных платежей для физических и юридических лиц все большую актуальность набирает вопрос безопасности участников электронных транзакций.
Этому способствуют три основных фактора. Во-первых, действия участников операции электронного платежа (отправитель, получатель, платежная система и т. д.) не согласованы. Поэтому и ответственность за обеспечение безопасности платежа размыта между всеми участниками операции.
Во-вторых, существует прибыльный теневой бизнес, построенный на реализации целенаправленных атак на физических лиц, юридических лиц и платежные системы, с целью хищения денежных средств. Это подтверждается массовыми случаями взлома различных участников электронных переводов.
В-третьих, речь идет о недостаточном уровне осведомленности о методах обеспечения защиты участников электронных платежей и способах осуществления мошенничеств с электронными платежами.
Участники банковского сектора подтверждают, что безопасность платежей всегда была актуальной для клиентов. «Для защиты платежных систем мы используем 3-D Secure, то есть подтверждение оплаты одноразовым паролем, который клиент запрашивает у своего банка при проведении оплаты, — поясняет руководитель регионального развития электронной коммерции Блока «Электронный бизнес» филиала «Новосибирский» Альфа-Банка Станислав Петров. — Не меньшую роль здесь играет круглосуточный фрод-мониторинг, который отслеживает все операции и в случае обнаружения «нездоровой» активности в ручном режиме направляет информацию об этом в компанию (нехарактерность держателя карты для страны банка-эмитента, большое количество отказов на одну и ту же сумму по одной карте и т. п.). Если говорить о привязке своей карты в мобильном приложении, например, такси, то это также безопасно, поскольку связка хранится на стороне банка-эквайера (банка, принимающего карты)».
Несомненно, используемые системы защиты в большинстве случаев снижают вероятность совершения кражи денежных средств, и 3-D Secure является одной из основных технологий обеспечения защиты плательщика. Технологии 3-D Secure и фрод-мониторинг не являются панацеей, но, выбирая платежную систему для совершения электронных платежей, несомненно, надо иметь в виду наличие у платежной системы такой технологии защиты. Протокол 3-D Secure позволяет запрашивать подтверждение оплаты или перевода посредством отправки sms-сообщения с одноразовым паролем. Но и здесь есть пути обхода: сайты, не поддерживающие технологию 3-D Secure, кража мобильного номера, заражение вирусом смартфона, на который приходят sms, или социальная инженерия.
Систему же фрод-мониторинга можно обмануть, маскируя незаконные переводы под типовые операции, совершаемые держателем счета или карты.
Всегда велик и риск потери денежных средств за счет человеческого фактора при использовании злоумышленникам социальной инженерии. «На стороне клиента человеческий фактор можно оценить в 90%, так как мошенники значительно чаще используют именно его для получения доступа к счетам компаний. На стороне банка все зависит от принципов построения системы защиты. Если сотрудники банка могут иметь доступ к паролям, могут помочь обойти контроль, и сам контроль осуществляется ими, это могут быть те же 90%. Но, к примеру, у нас этот процент сведен практически к нулю, потому что основные процедуры контроля автоматизированы, а о любом вмешательстве в алгоритм их работы станет известно незамедлительно», — рассказывает управляющий Новосибирским офисом банка «Авангард» Александра Сак.
По мнению большинства опрошенных «КС» экспертов, в дополнение к техническим решениям, которые предоставляет ваш банк, необходимо соблюдать и организационные меры безопасности. Во-первых, обеспечить защиту ПК или мобильного устройства, с которого проходят платежи, — установить антивирусное решение, использовать данные устройства с максимальной аккуратностью (посещать только доверенные интернет-ресурсы, не открывать письма не являющиеся доверенными, не использовать сторонние USB-носители и т. д.). Во-вторых, перепроверять звонки и письма, приходящие от платежной системы, — действительно ли их отправили из банка или это мошенники. В-третьих, по возможности хранить на счете, используемом для электронных платежей, небольшой остаток или использовать для переводов виртуальную карту. В-четвертых, ознакомиться с инструкциями по обеспечению безопасности электронных платежей от платежной системы, которую вы используете, и помнить, что несоблюдение этих требований снимает всю ответственность за незаконное списание средств с платежной системы.
Некоторые участники банковского рынка делают дополнительный упор на организационно-технических мерах противодействия мошенничеством. Как отметил директор департамента информационной безопасности Росбанка Михаил Иванов, пути минимизации финансовых последствий от реализации мошеннических схем — это прежде всего повсеместная реализация принципа «Знай своего клиента» и последовательное информирование клиентов о рисках, связанных с особенностями использования банковских карт. По его словам, в решении проблемы могут также помочь технические средства, например, управление онлайн-лимитами и статусом карты с мобильного телефона. «Предоставив клиентам возможность перевода средств между счетами онлайн и привлекательные условия хранения денег на сберегательных счетах, банк может стимулировать их, оставляя на счете карты только объем средств, необходимый для совершения текущих расходов, что приведет к снижению рисков и, соответственно, возможных негативных последствий», — отметил Михаил Иванов.
Анализируя мнения приведенных выше экспертов, можно сделать вывод: одним из самых слабых звеньев цепочки с точки зрения информационной безопасности является отправитель электронного платежа, в особенности если он является физическим лицом. Подтверждает это мнение и руководитель службы информационной безопасности Банка «Левобережный» Сергей Федотов. По его словам, после того как практически все российские банки внедрили системы фрод-мониторинга, мошенникам стало значительно труднее воровать деньги с систем интернет-банк для юридических лиц. Поэтому произошло смещение угроз безопасности в сторону интернет-банка для физических лиц, в частности, мобильного банка. «По данным экспертов Skycure, каждое четвертое мобильное устройство в мире заражено вирусами, которые используются мошенниками, в том числе и для того, чтобы совершать несанкционированные платежи в мобильном банке», — привел данные Сергей Федотов.
Но и для юридических лиц проблема стоит довольно остро. Занимаясь расследованием компьютерных преступлений и тестами на проникновение, автор этих строк не раз наблюдал следующую картину — при реализации проектов на автоматизированных местах с установленными системами дистанционного банковского обслуживания у заказчиков обнаруживали давно размещенные вирусные программы, дающие возможность отслеживать движение денежных средств. Такие закладки с большой долей вероятности могут осуществляться для мониторинга состояния счетов и группового вывода денежных средств в оптимальный период времени для злоумышленников. Конечно, и реальных случаев вывода денежных средств у юридических лиц тоже хватает. «Примерно с 2010 года все массовые вирусы содержат алгоритмы поиска следов основных русских систем интернет-банкинга. Украденные учетные данные, если они достались западным злоумышленникам, просто перепродаются русским «коллегам» по цеху. Некоторые клиенты считают, что не нужно предпринимать никаких дополнительных действий по защите, кроме как не записывать пароль на бумажке. Банально пользователи не ставят даже антивирус, и при этом человек с этого же компьютера или телефона пользуется Интернетом, — поясняет администратор информационной безопасности «Банк Акцепт» Сергей Гук. — По возможности я бы рекомендовал организациям выделить для проведения платежей отдельный компьютер, дополнительно защитить его и не использовать его в повседневной работе в Интернете, а также следить за тем, кто именно знает реквизиты вашего доступа к системе. Бывали случаи, когда собственные сотрудники предприятия пытались совершить незаконные транзакции, стараясь переложить всю ответственность на вирусы».
Механизмы работы зловредов
О том, каким образом действуют вирусы на системы дистанционного банковского обслуживания, «КС» рассказал руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников. «Основная задача этой программы — похитить денежные средства напрямую либо же собрать всю необходимую информацию для кражи. Попав на устройство пользователя, банковский троянец закрепляется в системе, а затем приступает к выполнению поставленной задачи», — поясняет собеседник «КС».
Осложняет ситуацию многофункциональность современных смартфонов и других мобильных устройств. Довольно часто злоумышленники используют мошеннические схемы, направленные на компрометацию мобильных устройств. Именно поэтому банки уделяют большое внимание безопасности мобильных приложений и постоянно совершенствуют механизмы защиты.
Со своей стороны начальник Сибирского главного управления Центрального банка Российской Федерации Ильшат Янгиров подтверждает, что финансовая сфера сегодня во многом зависит от IT-технологий: «Дистанционные каналы банковского обслуживания активно развиваются, участники финансового рынка все более заинтересованы в разработке новых систем. Главными требованиями клиентов становятся простота, скорость, удобство. Доступность мобильных устройств содействует широкому распространению дистанционных каналов банковского обслуживания и специального программного обеспечения. Но это же приводит к росту количества попыток несанкционированного вмешательства. Объектами мошенничества могут быть как граждане, так и автоматизированные системы банков. По этой причине важно обеспечить постоянную защиту уязвимостей информационных систем всех участников финансового рынка».
Защищены ли банки?
С мошенническими действиями в сфере платежных переводов, направленными на увод денег у клиентов платежных систем, мы более или менее разобрались, но насколько защищены сами банки? Могут ли злоумышленники, не размениваясь на мелкую рыбешку, красть деньги напрямую из банка? К сожалению, да, причем в случае взлома автоматизированной банковской системы остановить нелегитимные платежи от банков будет намного сложнее, никакая система фрод-мониторинга не выловит их в огромном потоке разномастных платежей.
Сейчас банкам приходится адаптироваться под быстро изменяющиеся условия с постоянно нарастающей угрозой, исходящей от криминальных кибергруппировок. Одними из основных методов кражи денежных средств у банков является взлом банкоматов (из Интернета, из АБС и с физическим подключением), получение удаленного управления над АРМ КБР и взлом системы ДБО. К сожалению, зачастую основной проблемой остается принцип откладывания момента модернизации системы защиты до осуществления реального взлома банка с последующей кражей денежных средств. Сергей Федотов уверен: мошенники продолжат атаки на системы «интернет-банк», а основными направлениями их атак станут мобильный интернет-банкинг и платежная инфраструктура банков РФ. Банкам придется объединить усилия по противодействию этим атакам, и, скорее всего, будет создан единый центр обмена информацией по мошенничествам на базе ЦБ РФ, считает эксперт.
Резюмируя проблемы информационной безопасности, можно констатировать: методы взлома и методы защиты электронных платежей находятся в динамично развивающемся состоянии и в ближайшее время могут преподнести не один сюрприз. Сейчас теневой бизнес, связанный с кражей электронных средств, только начинает расти, и пока банки, платежные системы, держатели карт, регуляторы в данной области и другие участники процесса электронных переводов не выработают согласованные правила безопасности, эта тенденция будет только усиливаться. В качестве несогласованности действий можно привести простой пример. Одна из наиболее частых атак на физических и юридических лиц — схема, при которой злоумышленник, получив доступ к рабочему месту, с которого осуществляется платеж (или взломав его), крадет номер телефона, который закреплен за картой или счетом, получает одноразовый пароль по sms и снимает денежные средства. Почему такая атака проходит? Ответ прост: из-за отсутствия согласованности действий. Согласовав действия участников платежа на законодательном уровне, можно с легкостью остановить несанкционированный платеж. Для этого необходимо, чтобы банк предоставлял операторам сотовой связи номера, к которым привязаны счета, а законодательство РФ обязало оператора уведомлять банк о перевыпуске SIM-карты с этим номером.
Процесс обеспечения безопасности электронных платежей сейчас находится в процессе становления, поэтому можно посоветовать быть максимально бдительным и со всей серьезностью и осторожностью относиться к процессу электронных переводов. И помнить, что в век информационных технологий пластиковая карта, логин/пароль от интернет-банка — это ваш кошелек с деньгами, поэтому обращаться с ними нужно так же бережно.
ПРЯМАЯ РЕЧЬ
Ильшат Янгиров, начальник Сибирского главного управления Центрального банка Российской Федерации:
— Банк России постоянно следит за выполнением субъектами национальной платежной системы требований по защите информации при осуществлении переводов. Федеральный закон от 27.06.2011 №1 61-ФЗ «О национальной платежной системе» позволяет нам контролировать, как кредитные организации обеспечивают защиту информации в платежной среде. Не стоит забывать и об инициативах 2015 года, которые в этом году уже работают в полной мере. С 1 июля прошлого года банки обязаны выпускать банковские карты с чипом. Эта контрмера практически решила вопрос копирования мошенниками магнитной полосы банковских карт. Кроме этого, Банк России в прошлом году создал Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере — FinCERT. Ранее банки решали вопросы безопасности самостоятельно, теперь есть возможность реагировать совместно и заранее. Центр изучает данные о хакерских атаках для того, чтобы участники расчетов могли максимально оперативно реагировать на новые угрозы, обмениваться сведениями. Постоянным направлением нашей работы остается также повышение финансовой грамотности населения.
Александра Сак, управляющий Новосибирским филиалом Банка «Авангард»:
— Проблема безопасности проведения платежей в системах интернет-банк, включая мобильный банк, исключительно актуальна. Финансовые интернет-мошенничества — набирающая обороты тема, но если ранее мошенники «работали» над физическими лицами, а это чаще всего незначительные суммы, то с внедрением интернет-банков, и в том числе их мобильных версий, ситуация изменилась. Вся борьба еще впереди.
По сути, угроза безопасности одна — несанкционированное списание денег. Неважно, будут ли они списаны на другое юридическое лицо или на счета физических лиц. Для осуществления такой операции нужно либо вскрыть защиту и получить несанкционированный доступ к счету, либо выманить каким-либо способом у клиента его настоящие имена и пароли. Первое встречается крайне редко, второе — достаточно часто. Это бывает из-за действий персонала компаний, путем создания сайтов-двойников, за счет давно известных и ставших уже классическими действий, именуемых «фишинг» и т. п. Например, когда вам сообщают, что вход в интернет-банк заблокирован по подозрению в мошенничестве и нужно срочно подтвердить имя и пароль для разблокировки.
Все эти угрозы давно уже стали реальностью. Поэтому мы изначально создавали систему, защита в которой является главным ее достоинством и основывается на многих факторах, в том числе на одноразовых кодах, которыми нужно подтверждать все операции, несущие повышенный риск мошенничества; на системе собственной разработки — AFS, анализирующей действия пользователя на предмет их логичности и повторяемости. У одного из наших клиентов был случай, когда бухгалтер не вышел из системы в обеденный перерыв, программист-сотрудник офиса создал платежи, подписал их ранее им скопированными ЭЦП, перевел деньги на карточки внутри банка на счета соучастников и «обрушил» систему на компьютере. С тех пор мы ввели подтверждение кодами и таких внутренних переводов, а также усовершенствовали систему SMS-информирования.
Кроме того, вопросы безопасности платежей в системе интернет-банк можно практически снять за счет выбора правильной архитектуры системы защиты. Мы только продолжаем совершенствовать алгоритм запроса одноразового кода, накапливаем статистику для более точной работы системы AFS, внедрили новую карту с интегрированным в нее генератором кодов, позволяющим в течение трех лет генерить нужное количество кодов и заместить ими ЭЦП на флеш-носителе.
Сейчас многие банки внедряют мобильные приложения. Но так и не решили вопросов безопасности. В итоге у них в мобильных версиях либо документы нельзя подписывать и отправлять совсем, либо сначала документ должен быть создан и подписан в «большом» интернет-банке, а затем он может быть отправлен через мобильное приложение. Хуже, когда банки предлагают подписывать документы кодами из SMS. Думаю, что развитие пойдет по нескольким направлениям: совершенствование системы SMS-информирования; защита одноразовыми кодами, которые будут формировать различные носимые устройства; разработка систем защиты, построенных на анализе поведенческих стратегий пользователей.
WPBuild.Ru