журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ИТОГИ И ТЕНДЕНЦИИ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

БАНКОВСКИЙ МАРКЕТИНГ

Банковская деятельность

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

БАНКОВСКИЙ СЕРВИС

ПЛАТЕЖНЫЕ КАРТОЧКИ

Новые рыночные страны

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №8, 2006

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Сто новых способов ограбить банковских клиентов

В западном финансовом секторе продолжается
упорное противостояние между банками и ИТ-компаниями,
с одной стороны, и онлайновыми мошенниками – с другой

Хищение персональных данных банковских клиентов и последующая кража денег с их счетов приобретают все больший размах. По данным американской компании Javelin Strategy & Research, за последние два года число таких правонарушений увеличилось на 22%, причем, в 2005 году их жертвами стали 9 млн. американцев. В результате убытки финансовых институтов и розничных магазинов США составили около $60 млрд. К тому же, злоумышленники подходят к делу творчески, непрерывно разрабатывая новые схемы мошенничества, против которых бессильны системы защиты даже самых крупных банков. Поэтому регулятивные органы США обязали банки до конца текущего года задействовать многофакторные системы идентификации клиентов для обеспечения надежной защиты от злоумышленников. Правда, не ясно, насколько надежной она реально окажется.

Как украсть миллион

Способы хищения личных данных обретают все новые и новые формы. Аферисты успешно совершенствуют их по мере внедрения более прогрессивных систем защиты. Как пример таких незаконных операций наиболее широко известен «фишинг»: мошенничество через Интернет, в процессе которого у пользователя под тем или иным предлогом выманивают конфиденциальную информацию. При использовании этой схемы правонарушители рассылают миллионы писем, якобы, от имени известных банков и компаний, с просьбой перейти на банковский сайт по приведенной гиперссылке и ввести свои персональные данные. В качестве обоснования этой просьбы указываются разнообразные причины, например, необходимость обновления учетной записи. В частности, при атаке на ЗАО «Ситибанк» (российский филиал Citigroup), в письме содержались сообщение о переводе $2 тыс. на личный счет клиента и просьба зайти в систему Citibank Online и подтвердить перевод (будто, если подтверждения не воспоследует, сумма будет возвращена отправителю). Однако по указанной в письме гиперссылке наивные пользователи заходили на подставные веб-сайты, по дизайну очень похожие на настоящие. При этом, жертва обмана «добровольно», например, сообщала преступникам номера кредитных карт и банковских счетов, логины, пароли и PIN-коды.

Позже на смену фишингу пришел фарминг (pharming) – более сложная в техническом отношении мошенническая схема, где тоже используются всевозможные методы, но чаще всего хакеры применяют «троянские» программы и вирусы-черви, внедряемые в компьютер жертвы. В случае фарминга для фальсификации адреса используют уязвимости в DNS-серверах, а ссылки на фальшивые сайты прячут внутрь кода письма, показывая пользователю ссылку в виде настоящего адреса. Злоумышленник рассылает по электронной почте вирус, например, Banker Trojan, который переписывает на компьютере пользователя файл hosts, в котором хранятся записи, сопоставляющие символьные имена типа URL с IP-адресами. В соответствии с замыслом хакера Banker Trojan изменяет такую связку для банковского сайта, так что пользователь, набирая адрес банка, будет переадресован на другой сайт, внешне идентичный настоящему. Например, датская консалтинговая фирма Secunia зарегистрировала атаку, в ходе которой злоумышленники модифицировали файлы операционной системы Windows таким образом, что, когда жертва сговора набирала адрес веб-сайта, ее браузер перенаправлялся на подставной сервер. В принципе же подобные программы могут выполнять разные задачи по выбору хакера.

Более сложные атаки нацелены на получение контроля над серверами доменных имен (DNS) – виртуальными адресными книгами, сопоставляющими имена сайтов с IP-адресом, имеющимся у каждого подключенного к Интернету устройства. При контроле над таким сервером можно перенаправлять пользователей, запрашивающих, например, www.bankofamerica.com, на подставной сайт с идентичным дизайном. Разумеется, взломать сервер доменных имен намного сложнее, чем компьютер обычного пользователя, но шанс всегда есть, а в случае успеха аферисты получают в свое распоряжение очень действенный инструмент. При атаке на сервер доменных имен обманутых пользователей накапливается гораздо больше, тем более что в фарминге срабатывает и фактор памяти: пока картинка на мониторе выглядит привычно, пользователь не будет обеспокоен.

Еще более серьезную опасность представляет весьма коварная схема «Man in the Middle» (MitM – «посредник»), с помощью которой была, кстати, совершена недавняя атака на Citigroup. В частности, она прошла именно по схеме MitM. Схема «посредник» дает возможность перехватывать информацию, курсирующую между двумя компьютерами, и использовать ее для дальнейшего изучения, уничтожения или модификации. При этом, стороны, обменивающиеся информацией, не замечают «посредника» и не знают, что связь между ними утратила конфиденциальность. Для осуществления такой атаки хакеру нужно попасть в сеть, притворившись физическим устройством, или выполнить так называемый ARP-спуфинг (подмену МАС-адреса). Протокол ARP используется компьютерами для обращения друг к другу в пределах одной сети (преобразует IP-адрес в MAC-адрес нужного компьютера, после чего связь идет по протоколу Ethernet), а спуфинг ARP дает возможность одному компьютеру выдавать себя за другого. В сети хакер находит два объекта атаки, обычно это ПК пользователей. В Интернете есть бесплатные программы (их можно свободно скачать), которые при помощи ARP-спуфинга перехватывают и пропускают через компьютер использующего их хакера весь трафик между этими машинами, а пользователь не может ничего заметить.

Существует и масса других возможностей обмана, причем, чем прочнее становится защита, тем к более сложным схемам прибегает противник, активно совершенствуя способы обведения вокруг пальца и повышая уровень подготовки атак, число которых непрерывно растет. Парис Трудо, старший менеджер фирмы SurfControl, специализирующейся на интернет-безопасности, привел образное сравнение: «Если раньше фишеры были чем-то вроде уличной шпаны в Сети, то теперь они действуют как организованные преступные группировки».

Преступный прогресс

Разумеется, банки стремятся обезопасить своих клиентов и внедряют эффективные защитные системы. Для индивидуальных пользователей наиболее серьезную угрозу представляет, все же, не вирусная атака, а обычный фишинг с его традиционной рассылкой электронных писем, весьма похожих на послания известных компаний типа PayPal или Citibank, содержащих гиперссылку на поддельный сайт.

Однако проблему фишинга удалось решить практически полностью в результате внедрения так называемой «двухфакторной идентификации». В этой системе, помимо пароля, который определяется в сфере безопасности как «нечто, что вы знаете», используется и иной фактор – «нечто, что вы имеете», например, отпечаток пальца, дебетовая карточка или электронный ключ. Для внедрения такой системы некоторые финансовые институты, по прошлогодней рекомендации Federal Financial Institutions Examination Council (FFIEC), начали выпускать токены – электронные устройства, способные генерировать случайные числа синхронно с банковским сервером. При использовании этого устройства клиент должен, помимо имени пользователя и пароля, ввести в компьютер числа, которые в данный момент высвечиваются на токене. Таким образом, двухфакторная идентификация обеспечивает клиента вторым способом подтверждения своей личности, что усиливает безопасность финансовых операций.

Возможность вторичной идентификации обрела особое значение именно после появления клавиатурных шпионов (кейлоггеров – программ, записывающих нажатые пользователем клавиши с целью хищения паролей и прочих конфиденциальных данных) и фишинговых атак, в результате которых пароль и почерк клиента теперь могут быть известны постороннему лицу. При расчете в кассе магазина или при проведении операции с банкоматом человек предъявляет дебетовую карточку («нечто, что вы имеете») и вводит PIN-код («нечто, что вы знаете»); такая система в реальном мире обеспечивает практически полную безопасность.

Иное дело – в виртуальном пространстве. Казалось бы, такая защита информации должна быть абсолютно надежной. Однако в апреле прошлого года экспертам Антифишинговой коалиции была продемонстрирована двухфакторная атака с «посредником», так что стало понятно, что теоретически и такая оборона уязвима. Правда, в то время никто не подозревал, что фишеры способны на практике реализовать эту теоретическую возможность. Тем не менее, недавно было обнаружено, что двухфакторная идентификация и в самом деле безопасна только до тех пор, пока кто-то не внедрил «посредника» во взаимосвязь «клиент-банк».

Потенциальными жертвами фишинга через двухфакторную идентификацию стали, в частности, клиенты Citigroup. Специалисты Netcraft объяснили, что аппаратура передавала настоящий пароль, выданный аппаратным токеном, на конкретный сайт Citigroup, но между пользователем и банком находился фишинговый сайт, что давало возможность жуликам взаимодействовать с банком от имени жертвы, после того как пользователь заканчивал связь. Серьезная трудность для хакеров заключалась в том, что атаковать необходимо было в реальном времени, а не, скажем, через несколько дней, но фишеры в данном случае использовали способ повышенной сложности. Как и в случае традиционного фишинга, они разослали клиентам Citigroup электронные письма от имени этого банка, предлагая по гиперссылке перейти на фальшивый сайт, принадлежащий, якобы, Citigroup. Для атаки им пришлось создать около 35 веб-сайтов, которые управлялись из России. Поскольку клиенты этого банка имеют аппаратные токены, им предлагалось, как и для связи с «законным» сайтом, ввести свой пароль и аутентификатор, высвеченный токеном в данный момент. Вся информация поступала на фальшивый сайт, который и завершал начатую клиентом операцию по установлению связи с Citigroup. В результате проходимцы получали возможность совмещать передачу прямых и обратных пакетов в законном сетевом соединении, а после выхода из режима работы легитимного пользователя (но не иначе!) хакеры могли оставаться на связи с банком и проводить свои операции со счетом «попавшегося» клиента.

Как ни странно, но нет свидетельств, что хакерам удалось добиться успеха в чем-либо, кроме самого факта взлома системы двухфакторной идентификации. Нападение случайно обнаружили специалисты Secure Science Corp., к тому же, это было совершено настолько быстро, что никто из клиентов Citigroup не пострадал. В ином случае последствия могли быть весьма плачевными. Большинство поддельных сайтов удалось ликвидировать (правда, эксперты полагают, что, возможно, некоторые продолжают функционировать и до сих пор). По мнению Джона Госселса, президента SystemExperts, таран по схеме «Man in the Middle» представляет серьезную угрозу, поскольку так «подрывается основа теории безопасности сайта: оказывается, что на аутентификаторы уже не следует полагаться».

Самая сильная защита

Активность хакеров способствует быстрому развитию рынка технологий информационной безопасности, поэтому в настоящее время известно множество защитных систем. Например, для обеспечения безопасности рядовых пользователей разработаны системы защиты от фишинга, основанные на использовании антивирусных программ и межсетевых экранов, а для компаний, взаимодействующих с клиентами через Интернет, придуманы аппаратные ключи с идентификационными данными. Кроме того, интенсивно продвигаются работы по созданию системы аутентификации интернет-адресов, способной проверять соответствие введенного пользователем адреса «правильному» серверу. При этом, компании, конкурирующие на технологическом рынке, считают проблему защиты от фишинга настолько острой, что начали объединять усилия для решения первоочередных задач.

Например, сейчас широкий спектр услуг предлагает американцам объединение Anti-Fraud Alliance (AFA). Эта организация было создано в конце 2004 года пятью ведущими технологическими компаниями – Symantec, Corillian Corp (защита банковских услуг), NameProtect (защита доменных имен и мониторинг сети), PassMark Security (двусторонняя идентификация) и Internet Identity (защита от фишинга и услуги по безопасности). Позднее к нему присоединились и другие специализированные фирмы, в том числе McAfee, Trend Micro, Panda Software, Aladdin и корпорация Microsoft, тоже активизирующая деятельность в сфере защиты пользователей. В настоящее время AFA предлагает потребителям различные решения проблемы безопасности, включая проактивную защиту от мошенничества и «фишинга», инспектирование сайтов и доменов, многофакторную идентификацию, защиту десктопов и услуги по деактивации сайтов. И, хотя говорить о победе над интернет-преступностью было бы несерьезно, AFA и другие компании разработали ряд аппаратных и программных средств, использование которых может значительно снизить риски, сопряженные с онлайновыми операциями.

По мнению ряда экспертов, эффективно бороться с атаками типа MitM можно только с помощью криптографии. В принципе, ее использование исключает возможность прочтения перехваченного сообщения, ибо вместо текста на экране у хакера появится бессмысленный набор символов. Например, многие специалисты считают, что обеспечить надежную защиту можно при помощи протокола безопасных соединений (Secure Sockets Layer – SSL), который был разработан для шифрования данных, передаваемых между двумя точками сети. Правда, и этот метод не гарантирует полной безопасности, ведь одна из этих точек может оказаться компьютером, контролируемым «третьим лицом». Возможна также хакерская вылазка с целью захвата рабочего стола компьютера пользователя. В этом случае шпионские или троянские программы могут перехватить данные еще до этапа шифрования, тогда протокол SSL окажется бесполезным, поскольку он работает между браузером пользователя и сайтом в Интернете. Наконец, «захватчик» может раздобыть информацию о криптографической сессии (например, ключ сессии) путем банальной кражи токена, и тогда атака с «посредником» станет возможной даже в зашифрованной среде.

В последнее время много пишут о перспективности биометрических систем, однако, несмотря на быстрое развитие эта технология пока уступает электронным решениям не только по стоимости, но и по надежности. В этом отношении большое значение имеет разработка способов защиты самых разных биометрических систем от муляжей биометрических идентификаторов. Эта проблема стала одной из самых сложных, в первую очередь, для технологии распознавания отпечатков пальцев. Дело в том, что отпечатки пальцев относительно легко получить по сравнению, например, с радужной оболочкой глаза или 3D-формой руки, поэтому и изготовление муляжа отпечатка пальца тоже представляет собой более простую задачу.

Обобщенно все методы можно разделить на две группы: технические способы защиты (реализованы на уровне либо программного обеспечения, работающего с изображением, либо считывающего устройства) и организационные (их цель – организация процессов аутентификации таким образом, чтобы затруднить или исключить возможность использования подделки).

К числу первых относится, например, защита на уровне считывающего устройства, когда в самом сканере реализован алгоритм получения изображения, обеспечивающий получение отпечатка пальца только с живого субъекта, а не со слепка (в частности, так работают оптоволоконные сканеры). Кроме того, в этой группе защитных средств считается перспективной защита по дополнительной характеристике, т.е. получение с помощью сканирующего устройства некоторой дополнительной характеристики, по которой можно принять решение, не является ли предоставленный идентификатор муляжом. Например, с помощью ультразвуковых сканеров можно получать информацию о наличии пульсации в пальце, в некоторых оптических сканерах с высоким разрешением можно определить наличие на изображении частиц пота и т.д. Наконец, в этой группе методов применяется способ защиты по предыдущим данным. Дело в том, что при изготовлении муляжа часто используют отпечаток последнего прикасавшегося к сканеру пальца, который остается на поверхности устройства. Однако очевидно, что невозможно дважды приложить палец к сканеру абсолютно одинаковым образом. Поэтому имеет смысл сохранять в памяти нескольких последних изображений со сканера, с которыми сравнивается любое новое, тогда при любом «повторении» следует принимать решение о факте использования муляжа.

К организационным методам относится, в частности, усложнение процесса идентификации. В рамках этого метода на каждого пользователя в системе регистрируется несколько пальцев (в идеале – обеих рук), а впоследствии при идентификации у него запрашиваются для проверки несколько пальцев в произвольной последовательности. Это основательно затрудняет вход в систему по «искусственной руке». Другой вариант – многофакторная биометрия, когда для идентификации параллельно используется несколько биометрических технологий: отпечаток пальца, форма лица, сетчатка глаза и т.п. Однако самой перспективной считается многофакторная идентификация с использованием совокупности разных технологий – биометрии и смарт-карт или аппаратных токенов. В настоящее время все эксперты склоняются к тому, что многофакторная идентификация представляет единственный надежный метод защиты, поскольку только с ее использованием можно однозначно идентифицировать человека, находящегося на другом конце электронной операции. Правда, остается не выясненным, как эта технология может обеспечить защиту от «посредника», внедренного вследствие захвата рабочего стола компьютера пользователя…

Еще одно

абсолютное оружие

Решение проблемы безопасности взаимодействия «клиент-банк» усложняется еще и тем, что у финансовых институтов на данный момент недостаточно стимулов для активной борьбы с хакерскими происками. С одной стороны, все их риски застрахованы, а потенциальные угрозы охватывают столь большое число субъектов, что полностью обезопаситься просто невозможно, с другой же, большинство банковских клиентов не воспринимают саму проблему всерьез, пока атака не коснется лично их, оттого и не стремятся изучать способы защиты, хотя именно путь активного обучения пользователей мог бы обеспечить реальный успех. Фактически в настоящее время стоимость рекламы, выбора и внедрения решения по защите намного превышает величину проблемы.

Однако обеспокоенные размахом хакерских нападений регулятивные органы занялись созданием необходимых стимулов для финансовых институтов. В октябре 2005 года Федеральный совет по надзору за финансовыми учреждениями (Federal Financial Institutions Examination Council – US FFIEC) приказал американским банкам повысить уровень безопасности своих онлайновых операций и установил срок исполнения – до 1 января 2007 года. Параллельно FFIEC издал руководство «2 Factor Authentication» («Двухфакторная аутентификация») по соблюдению необходимого минимума защиты от фишинга и иных видов афер, связанных с кражей персональных данных. Тем не менее, банкиры утверждают, что на сей раз перед ними поставлена практически не решаемая задача: во-первых, ни одна из систем не гарантирует полной безопасности, во-вторых же, в данной директиве нет указаний относительно того, какая именно из представленных на технологическом рынке программ считается соответствующей требованиям. Поэтому возникли серьезные сомнения в том, что хотя бы один из финансовых институтов сумеет выполнить инструкцию в установленный срок.

В постановлении FFIEC, в частности, указано, что предусмотрены серьезные наказания для институтов, которые не сумеют обеспечить клиентов «средствами аутентификации своих веб-сайтов». Однако аппаратные токены не пригодны для того, чтобы с их помощью клиент мог идентифицировать сайт своего банка. Они разработаны для осуществления идентификации клиента банком. Именно из-за того, что менеджеры Citigroup выбрали эту технологию защиты, их корпоративные клиенты подверглись серьезному риску в ходе последней хакерской атаки. Поэтому, хотя данная широкомасштабная операция и провалилась, сам факт того, что была сделана сама попытка «почистить банковские счета», вынуждает финансовые институты внимательнее относиться к указаниям регулятивных органов в части усиления безопасности. Похоже, будет опровергнуто общепринятое мнение, будто аппаратные токены представляют собой жизнеспособный подход к решению проблемы идентификации, по крайней мере, – в случае розничных онлайновых клиентов. Однако отказ от токенов образует вакуум в сфере идентификации, поскольку в настоящее время существует слишком уж мало альтернативных технологических решений. При этом, отношение к подходам типа «общий секрет» становится все более скептичным, поскольку поставщики аппаратных токенов быстро утрачивают свои доли рынка. С другой стороны, подходы, основанные на программных решениях проблемы, не соответствуют принятым в отрасли критериям и нормам, введенным регулятивными органами.

Тем не менее, похоже, что, по крайней мере, одно программное решение, способное составить альтернативу аппаратным токенам, все-таки уже на вооружении есть: это уникальный «виртуальный токен» PhishCops, выпущенный корпорацией Sestus Data Corporation. При его использовании не возникает проблем, характерных для аппаратного токена, кроме того, он не уязвим в отношении «рандеву с посредником». По мере снижения популярности аппаратных токенов и прочих подходов к идентификации интерес к PhishCops быстро разгорается. Компания выпустила на рынок это технологическое решение в марте текущего года, а к настоящему моменту получила запросы от более 530 финансовых институтов о дополнительной информации по PhishCops и о способах его внедрения. Более того, правительство США пришло к выводу, что PhishCops – это прорыв в технологиях многофакторной идентификации, и в 2005 году этот «виртуальный токен» вышел в полуфинал конкурса Homeland Security Award. Со своей стороны, журнал InfoWorld Magazine присудил компании собственную высшую награду – «The InfoWorld 100 Award».

В общем, PhishCops способствует идентификации веб-сайта и многофакторной идентификации на основе использования утвержденных правительством устойчивых математических алгоритмов, которые были разработаны Национальным институтом стандартов и технологий (NIST) и Лабораторией информационных технологий (ITL) при Министерстве торговли США. Специалисты компании утверждают, что в работе PhishCops не отмечено ни единого сбоя.

Этот успех связан с математическим подходом к идентификации. На сайте компании указано: «Математика надежна и непротиворечива, поэтому ее использование в идентификации приводит к ошеломляющим результатам, которые нельзя фальсифицировать. Два плюс два всегда будет равно четырем, как бы ни старались лжемастера превратить их сумму в пять». В сравнительном обзоре поставщиков защитных средств PhishCops был поставлен на первое место, поскольку отличается самой низкой стоимостью, самым коротким сроком внедрения и минимумом требований к поддержке.

И все же что-то подсказывает, что и этот триумф защитников информационной безопасности будет недолгим…

Галина Резник,
по материалам U.S. Banker, Bank Technology News,
Bank Systems
& Technology, SecurityFocus, Security Vision, docs.netive.ru, newsleno.com, antiphishing.org, antimalware.ru, cyberdefend.narod.ru, aladdin.ru

 
© агенство "Стандарт"