журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ФИНАНСОВЫЙ КРИЗИС

Новые рыночные страны

ИТОГИ И ТЕНДЕНЦИИ

БАНКОВСКИЙ СЕРВИС

ФИНАНСОВЫЕ ПРОДУКТЫ

Банковские отделения

БАНКОВСКИЙ МАРКЕТИНГ

Банковская деятельность

БАНКОВСКИЙ МЕНЕДЖМЕНТ

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №12, 2008

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Атака на банки

Проблема обеспечения безопасности финансовой информации становится все более актуальной

Если в прошлом веке основной угрозой для банков были различные гангстеры и налетчики с револьверами и хитрыми уловками, то XXI век привнес некоторые изменения. Сегодняшние воры все так же пользуются хитростью, но револьверы уступили место вредоносным программам. Какими они бывают? Как банку защититься от них?

Основные тенденции

В 2007 году разработчики антивирусов столкнулись с резким увеличением числа вредоносных программ, нацеленных на банки, расположенные в разных странах. И Украина здесь не исключение.

Несмотря на увеличение количества атак процент обнаруживаемого за месяц вредоносного финансового ПО падает (см. рис.).

Этому может способствовать, например, то, что авторы постоянно модифицируют свои программы, чтобы сделать их «невидимками» для антивирусов; однако, если изменения незначительные, антивирус может обнаружить новую вредоносную программу, используя сигнатуры предыдущих модификаций (на приведенном графике отражена ситуация только с вредоносным финансовым ПО).

Однако атаки на банки – это многоступенчатый процесс: социальная инженерия, фишинг, использование троянских программ-загрузчиков и т.д. Увеличение числа атак связано с ростом количества модификаций троянцев-загрузчиков. Злоумышленникам проще модифицировать троянца, чем сами вредоносные финансовые программы.

Хотя некоторое количество вредоносных программ по-прежнему доставляется на компьютер жертвы по каналу электронной почты, у злоумышленников, атакующих финансовые организации, есть веские причины предпочесть Интернет.

Прежде всего, у вредоносных программ, доставляемых по почте, больше шансов привлечь к себе внимание антивирусных компаний и финансовых организаций, не говоря уже о СМИ и конечных пользователях. Однако залог успеха атак на финансовые организации заключается в способности вредоносных программ к скрытым действиям. При заражении через Интернет быстрому обнаружению антивирусами вредоносных программ препятствует то, что они размещаются на веб-сервере. Следовательно, киберпреступники могут легко модифицировать вредоносные файлы с помощью автоматических инструментов. Этот метод известен как «серверный полиморфизм». В отличие от обычного полиморфизма, где алгоритм, используемый для модификации кода, содержится в теле самой вредоносной программы, «серверный полиморфизм» не позволяет создателям антивирусов проанализировать алгоритм, изменяющий вредоносный код, поскольку он расположен на удаленном сервере.

Кроме того, «продвинутые» трояны часто самоуничтожаются после удачно или неудачно выполненной загрузки вредоносной финансовой программы. Это серьезно осложняет проведение исследований.

«Денежные мулы»

Увеличение потока вредоносного финансового ПО – результат стремления использовать такие программы для получения денег. Кража данных (номеров кредитных карт, кодов доступа к банковским счетам) – лишь часть дела. Затем злоумышленникам нужно найти способ вывести деньги из платежной системы. Очевидно, что они не могут перевести украденные суммы на собственные счета, поскольку это существенно увеличивает риск быть обнаруженными.

Для того чтобы успешно вывести деньги за пределы банка, злоумышленники прибегают к услугам «денежных мулов» (money mules). Их находят, размещая объявления о возможной работе, при этом, на первый взгляд, предлагаемая работа выглядит вполне легальной. Если соискатель принимает предложение, он получает документы, которые выглядят вполне официально. Их потенциальный «денежный мул» должен подписать для придания законности сделке. После этого на его банковский счет начинают поступать деньги, из которых 85-90% «мул» переводит далее через системы электронных платежей MoneyGram или E-Gold. Этот метод гарантирует преступникам анонимность, что снижает вероятность быть пойманными. Деньги, оставшиеся на счету «денежного мула», остаются в виде его «комиссии», но, по сути, они заработаны незаконным путем с использованием фишинга или вредоносного финансового ПО.

Привлекать «денежных мулов» выгодно: если и они, и сами злоумышленники действуют в одной стране, то шансы того, что автоматизированные банковские системы сочтут трансакции подозрительными, весьма незначительные. К тому же, преступники могут пользоваться услугами сразу нескольких «мулов» и переводить, например, $50 тыс. не одной суммой, а разбить ее на десять переводов по $5 тыс. Это снижает вероятность возможного подозрения и уменьшает потери в случае, если одна или две трансакции, все же, будут заблокированы.

Фишинг

Фишинг – это электронные письма, присланные, якобы, от имени какой-либо организации и составленные с использованием методов социальной инженерии, с тем чтобы получатель раскрыл свои конфиденциальные данные.

Нескончаемый поток фишинговых писем и наборов утилит для проведения фишинг-атак убедительно демонстрирует, что фишинг по-прежнему очень эффективен как способ мошенничества. Причин тому несколько: попытки «просветить» пользователей не дают результата, кроме того, киберпреступники постоянно придумывают все более изощренные схемы социальной инженерии, чтобы обмануть пользователя, достаточно сведущего в вопросах безопасности.

Вторая причина эффективности фишинга заключается в том, что система защиты большинства финансовых учреждений может быть легко взломана с помощью самой простой фишинг-атаки: во многих организациях для получения доступа в систему интернет-банкинга используются самые обычные статические логины и пароли. Все, что требуется от киберпреступников, – получить эти имена и пароли. Еще одним минусом использования статического имени пользователя и пароля может стать то, что их можно сохранять в памяти компьютера, а это означает, что злоумышленнику нет необходимости обрабатывать данные в режиме реального времени.

Банки, которые более ответственно относятся к своим системам защиты, используют, как минимум, один динамический пароль, действительный только для одной сессии. Такая аутентификация может применяться как при входе в систему, так и при подтверждении трансакции, а лучше – в обоих случаях.

Автоматизированные

атаки

Создаваемое вредоносное финансовое ПО бывает самым разнообразным. Обычно оно специально приспосабливается для атаки на конкретную организацию. Как правило, «перехитрить» систему защиты авторы вредоносных программ могут, применив один из двух методов: либо сделать снимок экрана, когда пользователь заходит на конкретный сайт, либо получить информацию, перехватив отправленную на сайт форму, заполненную пользователем. В обоих случаях похищенные данные позднее обрабатываются.

Использование кодов авторизации для подтверждения трансакции усложнило доступ к счетам. Финансовая организация может выдать держателю счета список кодов на физическом носителе или переслать в виде SMS-сообщения. В обоих случаях у киберпреступников не будет к нему доступа. Чаще всего вредоносное ПО перехватывает вводимую пользователем информацию одним из описанных способов. Некоторые системы не ограничивают срок действия кодов авторизации трансакции, так что следующим вводимым кодом оказывается идущий далее в списке. Если следующий по списку код не попадает на сайт финансовой организации, злоумышленники могут либо воспользоваться им немедленно, либо сохранить его и использовать со временем. Однако украденные коды менее «долговечны», чем статические имя пользователя и пароль, потому что, если у пользователя постоянно будут возникать проблемы во время банковской онлайн-сессии, то он, скорее всего, позвонит в банк и попросит о помощи.

Если коды авторизации отправляются держателю счета в виде SMS-сообщений, то для каждой отдельной трансакции будет предоставляться свой код. С этого момента киберпреступники начинают обрабатывать информацию в режиме реального времени, применяя атаку MitM.

Атака Man-in-the-Middle

В отличие от прочих способов обхода системы безопасности банка атака Man-in-the-Middle (MitM) позволяет киберпреступникам не только поразить больше банков, но и гарантированно получить большую прибыль, поскольку информация обрабатывается в реальном времени. При атаке MitM используется вредоносный сервер, перехватывающий весь трафик между клиентом и финансовой организацией. Пользователь не замечает ничего подозрительного, поэтому, когда его просят разрешить трансакцию, он на самом деле дает «добро» на действие киберпреступникам. Вредоносное ПО, применяющее атаку MitM, обычно либо скрывает уведомления браузера о фальшивом сертификате безопасности веб-сайта, либо показывает фальшивое уведомление. Однако иногда все бывает по-иному. Например, пользователь заходит на сайт банка, вредоносная программа получает контроль над трафиком и перенаправляет его на MitM-сервер; вредоносная программа лишь «обновляет» банковскую страницу, создавая у пользователя впечатление, что он по-прежнему находится на сайте банка.

Во многих сложных финансовых вредоносных программах, предназначенных для проведения атак MitM, используются также HTML-инъекции, например, троянская программа Trojan-Spy.Win32.Sinowal, принадлежащая семейству вредоносных программ, способных атаковать более 750 банков, часто показывает всплывающие окна, куда пользователь должен ввести данные.

Распространенный способ использования HTML-инъекций – размещение на интернет-странице банка дополнительной формы, при заполнении которой требуется ввести дополнительную информацию – имя пользователя и пароль, необходимые для совершения трансакции. Таким образом, сервер, проводящий атаку MitM, может автоматически завершить трансакцию даже в тех случаях, когда используется двухфакторная аутентификация.

И, хотя нельзя утверждать, что успешное завершение атаки Man-in-the-Middle невозможно без использования этого метода, он легче других поддается автоматизации. Однако некоторые атаки MitM применяют иную тактику. Они или добавляют еще одну трансакцию, или модифицируют уже подтвержденную клиентом трансакцию, разумеется, не уведомляя об этом жертву.

Обычно атаки Man-in-the-Middle проходят успешно, но с точки зрения киберпреступников, все же, здесь есть определенные недостатки. MitM-атаки существенно замедляют работу браузера, что может вызвать подозрения у пользователя. Кроме того, банки пересматривают подход к системам защиты и пытаются эвристически выявлять незаконные трансакции. Например, если клиент входит в систему с определенного IP-адреса 99 раз, а в сотый делает это с IP-адреса, зарегистрированного в другой стране, система подаст сигнал о возможной угрозе безопасности.

Следующее поколение

В отличие от атаки MitM атака Man-in-the-Endpoint не использует дополнительный сервер для перехватывания трафика между клиентом и сервером, все изменения происходят в локальной системе.

У такого подхода есть несколько важных преимуществ. Во-первых, соединение с компьютерной системой финансовой организации устанавливается напрямую, тогда незаконная трансакция не привлечет к себе внимания тем, что пользователь вошел в систему с неизвестного IP-адреса. Во-вторых, атака Man-in-the-Endpoint более эффективна в борьбе со сложными системами защиты, чем атака MitM.

Однако создание атаки Man-in-the-Endpoint требует от создателя вредоносных программ времени и усилий. Один из сценариев атаки – заражение системы троянской программой, предназначенной для перехвата всего трафика HTTPS и отправки его «вирусописателям», которым анализ перехваченного трафика позволяет получить представление об особенностях работы сайта и создать еще одну троянскую программу, предназначенную специально для атаки на этот сайт.

Киберпреступники обычно используют Man-in-the-Endpoint для атаки на банки с двухфакторной системой аутентификации. Метод, описанный выше, также избавляет от необходимости привлекать инсайдеров, т.е. работников финансовой организации, способных предоставить преступнику достоверные имена пользователей и пароли для входа на ее сайт.

Троянские программы, пригодные для атаки, часто имеют возможность получать информацию с сервера управления, где преступники хранят данные о номерах счетов и количестве денег, которые следует перевести. В результате каждый зараженный компьютер в динамическом режиме получает сведения, на основании которых он переводит средства соответствующим «денежным мулам».

Перенаправление

трафика

Еще один метод в арсенале киберпреступников – перенаправление трафика. Например, можно модифицировать файл hosts (системный файл Windows), для того чтобы обойти запросы к DNS-серверу (Domain Name Server), преобразующему в IP-адреса доменные имена, например www.kaspersky.com. Имена доменов нужны исключительно для удобства пользователей; компьютерам для соединения с узлом важен IP-адрес. Если файл hosts модифицировать так, чтобы он перенаправлял запросы с определенным доменным именем на IP-адрес фальшивого сайта, компьютер соединится с ним.

Еще один тип атак, связанных с перенаправлением трафика, – изменение настроек DNS-сервера, когда параметры меняются таким образом, чтобы компьютер использовал иной, вредоносный DNS-сервер. Большинство людей, подключающихся к Интернету с домашнего компьютера, отправляют запросы на DNS-сервер своего интернет-провайдера. Поэтому подавляющее большинство таких атак ориентировано на рабочие станции. Однако, если для получения доступа в Интернет используется маршрутизатор, то по умолчанию DNS-запросы он выполняет, передавая результаты на рабочие станции.

Учитывая повышенный интерес к плохой защищенности маршрутизаторов, следует ожидать, что атаки на них станут более распространенными. Для изменения ключевых настроек модификации отдельных установок – таких как установки используемых DNS-серверов – могут быть применены атаки XSS (Сross Site Sсriрting). Для их проведения нужно, чтобы пользователь посетил определенный сайт в Интернете.

Перенаправлять трафик можно и установкой на компьютере-жертве троянской программы, отслеживающей посещение интернет-сайтов. Как только пользователь соединяется с сайтом банка или другой финансовой организацией, троянец перенаправляет трафик на фальшивый сайт. Это можно сделать с сайта, использующего протокол HTTPS, на сайт HTTP (потенциально небезопасный). Тогда троянец, как правило, может блокировать любое предупреждающее сообщение, посылаемое браузером.

С точки зрения киберпреступников у этого метода свои недостатки: такие троянские программы обычно представляют собой так называемые Browser Helper Objects, которые работают только в Internet Explorer. Кроме того, хотя трафик и перенаправлен, передаваемые данные нельзя обрабатывать в режиме реального времени, что дает жертве возможность связаться со своим банком и остановить трансакцию.

Решения

Потери финансовых организаций в результате деятельности киберпреступников растут во всем мире. Установка более надежных систем защиты стоит больших денег, но очевидно, что банкам придется пойти на такие затраты. Однофакторная аутентификация легко преодолевается злоумышленниками. Обнадеживает то, что многие банки, где еще не установлена двухфакторная система аутентификации, в настоящее время планируют это сделать.

Однако сегодня наметилась четкая тенденция в части того, что рост числа банков, использующих двухфакторную систему аутентификации, привел к увеличению количества вредоносного ПО, способного обойти и этот способ защиты. Это означает, что повсеместное применение двухфакторной аутентификации не даст долгосрочного эффекта, а лишь поднимет планку для авторов вредоносного финансового ПО.

Помимо этого, у двухфакторной аутентификации есть еще один серьезный недостаток: несмотря на то что сама сессия интернет-банкинга защищена, контроль над тем, что именно происходит во время сессии, отсутствует. Для усиления защиты требуются дополнительные способы контроля, такие как использование криптографического устройства аутентификации (токена) или SMS-сообщений (они уже применяются некоторыми финучреждениями). С помощью SMS-сообщений можно устанавливать ограничение на срок действия кодов авторизации, на доступные для совершения трансакции номера счетов, на максимально допустимую сумму трансакции.

Очевидно, что у последнего метода есть потенциальные недостатки, так как его широкое использование приведет к тому, что вирусописатели будут создавать вредоносные программы для устройств, принимающих SMS-сообщения. И в этом случае криптографическое устройство доступа – хорошее решение, поскольку установить на него какое-либо дополнительное программное обеспечение невозможно. В идеале такое устройство должно иметь отдельные алгоритмы для входа на сайт и для подтверждения трансакции.

В настоящее время при подтверждении трансакции от пользователей требуется криптографическая верификация. Но проблема в том, что ее коды не несут для пользователя никакой смысловой нагрузки. Поэтому для каждой трансакции нужно проводить дополнительную верификацию. Использование для этого суммы трансакции не самый безопасный способ, поскольку некоторые троянские программы уже «справляются» с этим механизмом, изменяя номер счета вместо проведения дополнительных трансакций.

Верификация, обеспечивающая должный уровень безопасности, могла бы включать в себя требование к пользователю ввести реквизиты счета, на который он хочет перевести деньги, т.е. ту информацию, которой нет у вредоносных программ и у киберпреступников. Преимущество такого сценария в том, что пользователь самостоятельно вводит номер счета. Теоретически это означает, что у него больше шансов обнаружить подложную трансакцию, чем в том случае, если бы он просто вводил данные, присланные в SMS-сообщении.

Кроме того, подобный механизм можно сделать более удобным для пользователя, предусмотрев возможность создания белого списка номеров счетов, для доступа к которым не требуется дополнительная аутентификация. Однако это потребует защиты как самого белого списка, так и процедуры доступа к нему.

Очевидно, что многое зависит от самих финансовых организаций и банков, от их желания принимать надлежащие меры защиты. Обеспечение безопасности интернет-банкинга – сравнительно новая проблема, оттого на создателей антивирусного ПО в этой связи ложится дополнительная ответственность. Способны ли решения для защиты от информационных угроз обнаруживать последние варианты современных вредоносных финансовых программ, в состоянии ли они блокировать фишинг-атаки?

И последнее, но не менее важное: любая система или процедура безопасности в конечном счете проверяется по тому, насколько эффективно работает ее самое слабое звено. В данном случае – это пользователь. Станет ли он проходить по ссылке или запускать приложение? Установлены ли в его системе все необходимые обновления? Часть финансовых организаций уже учитывают эти факторы, а некоторые (например, в Новой Зеландии) даже отказываются возмещать убытки, если в системе, подвергшейся атаке, не были установлены все необходимые обновления.

К сожалению, опыт показывает, что попытки обучения пользователей не слишком продуктивны, а меры безопасности, принимаемые организациями, часто бывают бессистемными. Следовательно, когда дело доходит до атак на банки, антивирусная индустрия вновь оказывается на передовой, защищая как пользователей, так и финансовые организации.

Роул Шоуэнберг,
ведущий антивирусный эксперт «Лаборатории Касперского»

 
© агенство "Стандарт"