- •Мошенничество в банковской сфере с применением высоких технологий
- •2012 – Год таргетированных атак 26
- •Обозначения и сокращения
- •Введение
- •Отраслевые стандарты
- •Стандарт Банка России сто бр иббс-1.0-2008
- •Кодекс корпоративного поведения фсфр
- •Кодексу корпоративного поведения фсфр соответствуют лицензии выданные оао ,,Россельхозбанк” Федеральной службой по финансовым рынкам:
- •Россельхозбанк подтвердил соответствие своего процессинга требованиям стандарта pci dss
- •1.2 Программно-аппаратного обеспечения и его соответствиеотраслевым стандартам
- •Гостр мэк61508-3-2007. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью.
- •1.3Виды угроз для банков
- •Инсайдеры
- •Дистанционноебанковскоеобслуживание
- •Банковские трояны
- •Кардинг, скимминг
- •2Угрозы информационной безопасности для банков
- •Причины актуальности угрозы
- •Цель проникновения
- •Методы перехвата информации
- •Методы маскировки от средств контроля и наблюдения
- •Атака на сотовые телефоны и смартфоны
- •Дистанционное банковское обслуживание: проблемы функционирования в российской банковской практике
- •Банковские трояны: продолжение следует
- •Android: любимая игрушка хакеров
- •JuniperResearch: мобильный банкинг набирает обороты
- •2012 – Год таргетированных атак
- •Руководство по защите от внутренних угроз информационной безопасности
- •Суть проблемы
- •Классификация инсайдеров
- •Подрабатывающие и внедренные инсайдеры
- •Скрытое оружие социальной инженерии
- •Атака администратора системы
- •Уход от ответственности
- •Кардинг
- •Фишинг, трэшинг, скимминг и другие виды кардерства
- •Трэшинг
- •Скимминг
- •Объединенные кардеры
- •3 Современные средства защиты в области защиты информации в банковской сфере Обязательные средства защиты
- •Надежный банкинг с помощью антилоггера
- •Дистанционное Банковское Обслуживание
- •Интернет-банкинг: признаки защищенности:
- •Бдительность – первое правило
- •Учет и анализ существующих рисковв дбо
- •Мероприятия, позволяющие влиять на уровень существующих рисков
- •Организационные мероприятия
- •Технические мероприятия
- •Краткие выводы
- •Инсайдеры Как бороться с инсайдерами
- •Фишинг Борьба с фишингом и фармингом
- •Кардинг
- •Заключение
- •Список использованных источников
Бдительность – первое правило
Однако никакие технические средства безопасности не спасут клиента от злоумышленников, если он сам не будет соблюдать правила безопасности. "Безопасность исходит в первую очередь от пользователя. Киберпреступлений множество, но если клиент понимает, что не нужно открывать сомнительные письма, а в интернете лучше не ходить по незнакомым страницам, куда то и дело пытаются заманить яркими баннерами – он может спать спокойно, ему ничто не угрожает. Во многих случаях достаточно быть бдительным и внимательным пользователем компьютера, тогда у преступника не будет шансов". Выманивание паролей различными способами непосредственно у пользователей, как с использованием технических ловушек, так и при личном контакте, по-прежнему остается наиболее серьезной проблемой безопасности интернет-банкинга.
Способов выманивания существует множество, они применимы по всей цепи доступа пользователя к банку. Злоумышленник может так или иначе выдавать себя за сотрудника банка или даже за автоматический запрос, требующий подтверждения пароля. Активно используются фишинговые сайты – созданные хакерами подделки под настоящие сайты, где невнимательные пользователи могут ввести пароль и таким образом "подарить" его злоумышленникам. Распространены мошеннические sms и даже звонки с уточнением личной информации от лица банка. Защита от такого вида мошенничества только одна – бдительность. При получении подобных писем или звонков нужно обратиться в колл-центр банка и убедиться в достоверности информации сообщений.
В целом пользователю интернет-банка стоит следовать простому набору правил, чтобы чувствовать себя в безопасности: нужно установить антивирус, держать пароль и логин в строжайшем секрете, проверять реквизиты и сумму платежей, не доверять звонкам из банка и sms сомнительного содержания, не посещать неизвестные сайты и не переходить по сомнительным ссылкам.
Война за безопасность пользователя – это прежде всего информационная война. Большинство интернет-банков обладает достойными мерами безопасности, но все они могут не сработать, если пользователю не объяснят, как с ними обращаться и каких опасностей он должен избегать. Для пользователя же выбор сводится к тому, насколько комфортно ему пользоваться банком. Существуют строгие и весьма труднопреодолимые меры безопасности, например такие, как электронная подпись и специальные "токены" (флешки или пейджеры) для одноразовых паролей. Однако банк, применяющий такие меры, будет далеко не так удобен и оперативен. В большинстве случаев оптимальный вариант лежит где-то посередине: средства безопасности должны быть максимально надежными, но при этом не ограничивать удобство использования самого банка [24].
Учет и анализ существующих рисковв дбо
Для того, чтобы противостоять нарушителям, кредитные организации должны вести адекватный учет и анализ существующих факторов риска и своевременно принимать меры по их снижению. В противном случае неизбежны негативные последствия, как для кредитных организаций, так и для их клиентов.
Основными областями концентрации рисков, на которые кредитным организациям следует обращать внимание, являются следующие:
-Нормативно распорядительная документация (договоры, регламенты, инструкции по использованию технологий ДБО и др.).
-Концентрация рисков в данной зоне связана с тем, что при внедрении и эксплуатации систем ДБО нормативно распорядительная документация должна обеспечить взаимодействие достаточно большого числа разносторонних сотрудников и внешних клиентов. Учитывая различные области производственной деятельности вовлечённых в процесс специалистов, вполне вероятно наличие нестыковок и недостаточная проработанность некоторых вопросов.
-Отсутствие в кредитных организациях чёткой регламентации процессов связанных с эксплуатацией систем ДБО, а также механизмов мониторинга адекватности действующей нормативной документации приводят к расширению состава негативных факторов, которые могут сказаться как на интересах клиентов, так и на финансовом состоянии организации.Доступ пользователей к информационным ресурсам через не доверенную среду сети Интернет.
Концентрация рисков в данной зоне связана, прежде всего, с ошибками или злоупотреблениями по предоставлению прав доступа и управлению идентификационными данными (паролями, криптоключами) клиентов. Кроме того существенное влияние оказывают уязвимости программных, аппаратных средств и существующих технологий, а также рост попыток получения неправомерного доступа к информации, циркулирующей в системах ДБО.
-Использование устаревших технологий создаёт дополнительные риски, вероятность реализации которых с течением времени увеличивается.
Эти риски характерны как для клиентской части, так и для той части системы, ответственность за которую несёт кредитная организация.
Основными направлениями в клиентской части системы, на которые следует обращать пристальное внимание являются:
- недостаточная проработанность документов регламентирующих права и обязанности клиентов при получении услуг;
- недостатки в обеспечении информационной безопасности;
- недостатки, присущие конкретной банковской технологии ДБО;
- недостатки и уязвимости присущие операционным системам и другим прикладным программам, эксплуатируемым клиентами;
- последствия, обусловленные ошибочными действиями персонала кредитной организации или безграмотностью клиентов.
Для кредитной организации направления, нуждающиеся в тщательной проработке, следующие:
- недостаточная проработанность документов, призванных осуществить адаптацию довольно большого количества внутренних процессов и процедур к новым условиям деятельности;
- недостатки в вопросах технического обеспечения информационной безопасности системы ДБО;
- недостаточный анализ при внедрении новой банковской технологии, ориентированной на ДБО через Интернет, анализ тех "неприятностей" (организационных, юридических), которые клиент может доставить кредитной организации;
- значительная зависимость кредитной организации от других вовлеченных в процесс сторон (провайдеров, поставщиков программно-аппаратных средств и др.).