- •Мошенничество в банковской сфере с применением высоких технологий
- •2012 – Год таргетированных атак 26
- •Обозначения и сокращения
- •Введение
- •Отраслевые стандарты
- •Стандарт Банка России сто бр иббс-1.0-2008
- •Кодекс корпоративного поведения фсфр
- •Кодексу корпоративного поведения фсфр соответствуют лицензии выданные оао ,,Россельхозбанк” Федеральной службой по финансовым рынкам:
- •Россельхозбанк подтвердил соответствие своего процессинга требованиям стандарта pci dss
- •1.2 Программно-аппаратного обеспечения и его соответствиеотраслевым стандартам
- •Гостр мэк61508-3-2007. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью.
- •1.3Виды угроз для банков
- •Инсайдеры
- •Дистанционноебанковскоеобслуживание
- •Банковские трояны
- •Кардинг, скимминг
- •2Угрозы информационной безопасности для банков
- •Причины актуальности угрозы
- •Цель проникновения
- •Методы перехвата информации
- •Методы маскировки от средств контроля и наблюдения
- •Атака на сотовые телефоны и смартфоны
- •Дистанционное банковское обслуживание: проблемы функционирования в российской банковской практике
- •Банковские трояны: продолжение следует
- •Android: любимая игрушка хакеров
- •JuniperResearch: мобильный банкинг набирает обороты
- •2012 – Год таргетированных атак
- •Руководство по защите от внутренних угроз информационной безопасности
- •Суть проблемы
- •Классификация инсайдеров
- •Подрабатывающие и внедренные инсайдеры
- •Скрытое оружие социальной инженерии
- •Атака администратора системы
- •Уход от ответственности
- •Кардинг
- •Фишинг, трэшинг, скимминг и другие виды кардерства
- •Трэшинг
- •Скимминг
- •Объединенные кардеры
- •3 Современные средства защиты в области защиты информации в банковской сфере Обязательные средства защиты
- •Надежный банкинг с помощью антилоггера
- •Дистанционное Банковское Обслуживание
- •Интернет-банкинг: признаки защищенности:
- •Бдительность – первое правило
- •Учет и анализ существующих рисковв дбо
- •Мероприятия, позволяющие влиять на уровень существующих рисков
- •Организационные мероприятия
- •Технические мероприятия
- •Краткие выводы
- •Инсайдеры Как бороться с инсайдерами
- •Фишинг Борьба с фишингом и фармингом
- •Кардинг
- •Заключение
- •Список использованных источников
Краткие выводы
Своевременный учёт и анализ реально существующих факторов риска позволяет разработать, а затем реализовать комплекс организационных и технических мероприятий, значительно снижающих вероятность реализации угроз информационной безопасности. Недооценка важности тех- или орг- составляющих (равно, как и «перекос» в сторону одной из них) одинаково негативно отражается на безопасности систем ДБО.
Затраты на развитие и модернизацию технологий защиты систем ДБО, оправдывают себя, поскольку с одной стороны позволяют избежать значительных финансовых потерь, а с другой способствуют улучшению условий работы клиента. Кроме того, если смотреть на вопрос с позиции экономики: эти затраты, по сути, являются инвестициями в развитие конкурентных преимуществ банковских технологий [11].
Инсайдеры Как бороться с инсайдерами
Для эффективной защиты от инсайдеров в первую очередь необходимо обеспечить контроль над всеми коммуникационными каналами – от обычного офисного принтера до обычной флэшки и фотокамеры мобильника. Работодатели все чаще контролируют электронную переписку сотрудников, дабы пресечь разглашение важных данных.
Методы защиты от инсайдеров:• аппаратная аутентификация сотрудников (например, с помощью USB-ключа или смарт-карты);
• аудит всех действий всех пользователей (включая администраторов) в сети;
• использование мощных программно-аппаратных средств защиты конфиденциальной информации от инсайдеров;
• обучение сотрудников, отвечающих за информационную безопасность;
• повышение личной ответственности сотрудников;
• постоянная работа с персоналом, имеющим доступ к конфиденциальной информации (инструктаж, обучение, проверка знаний правил и обязанностей по соблюдению информационной безопасности и т.д.);
• соответствие уровня зарплаты уровню конфиденциальности информации (в разумных пределах);
• шифрование конфиденциальных данных [24].
Фишинг Борьба с фишингом и фармингом
Прежде всего важно понимать, что банки, системы денежных расчетов, почтовые и прочие сервисы и организации никогда не просят коды и пароли, которые они выдали клиентам. Банковские системы и технологии надежны, в них используется система резервирования важной информации, поэтому клиенты не должны верить утверждениям вроде «что-то пропало» или «необходимо что-то проверить». Любая информация о том, что у банка что-то случилось, может повредить его репутации, поэтому банк скроет проблему, а не будет рассказывать о ней. Проблема будет решаться тихо по мере обращения в службу поддержки. Кроме того, администратор любого сервиса имеет неограниченные права, поэтому, даже если система не показывает ваш пароль, в критической ситуации он сможет применить его без вашей помощи, а на ваш контактный адрес придет письмо с объяснением ситуации, хотя такой случай будет из ряда вон выходящим.
Фишинг появился потому, что получение данных от клиента – более простой вариант, чем взлом защищенных банковских систем, поэтому не стоит попадаться на уловки мошенников. Прислушайтесь к следующим советам.
• Получив письмо от банка, подумайте, действительно ли он может быть отправителем.
• Никогда не отвечайте и игнорируйте сообщения по электронной почте или ICQ, запрашивающие личные данные и финансовую информацию, даже если они получены из, казалось бы, надежных источников.
• При получении подозрительного сообщения электронной почты не открывайте вложения. Свяжитесь напрямую с человеком или организацией, указанными в поле От, или службой поддержки сервиса.
• Никогда не открывайте ссылки, которые даются в сообщениях электронной почты, запрашивающих личные данные и финансовую информацию. Вводите в веб-браузере имя или адрес нужного веб-узла вручную.
• Проверяйте URL любого сайта, который запрашивает идентификационную информацию. Убедитесь в том, что сеанс начался с правильного адреса веб-сайта, и к нему не добавлены лишние символы.
• Используйте антивирус, брандмауэр, системы контроля целостности данных и другие системы защиты, о которых говорилось в предыдущих главах данной книги. Вовремя обновляйте программное обеспечение, установленное на компьютере.
• Избегайте работы с интернет-банками на компьютерах, не находящихся под вашим контролем. Особенно небезопасны общественные интернет-кафе, не рекомендуется также пользоваться компьютерами друзей и знакомых.
Всегда выходите из сервисов, использующих веб-интерфейс, с помощью предусмотренных средств. Как правило, для этого существует специальная кнопка, размещенная в правом верхнем углу страницы (Logout, Signout или Выход). Так вы не позволите любому человеку, севшему за компьютер после вас, воспользоваться кэшем браузера для восстановления сеанса.
Некоторые сайты имеют подписанные сертификаты, и достаточно нескольких секунд, чтобы определить, можно ли доверять открытому веб-сайту. Например, в InternetExplorer для просмотра такого сертификата в меню Файл нужно выбрать пункт Свойства. В окне свойств следует нажать кнопку Сертификаты и проверить, есть ли у веб-сайта действующий сертификат, выданный официальной организацией. В Firefox для этого следует выполнить команду Tools → PageInfo(Инструменты → Информация о странице) и в появившемся окне перейти на вкладку Security(Безопасность). К сожалению, большинство российских ресурсов не используют такой сертификат.
Если вы подозреваете, что сообщили пароль в ответ на фишинг-сообщение или ввели его на мошенническом веб-узле, как можно скорее смените его. Регулярно проверяйте банковские отчеты и отчеты по кредитным картам: часто мошенники не берут крупную сумму сразу, а вымогают деньги постепенно, рассчитывая на «долгое сотрудничество».
В настоящее время не существует готового решения, позволяющего распознать фарминг и фишинг с помощью одной программы. Для защиты от фишинга разработчики наиболее распространенных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам.
Новые версии некоторых веб-браузеров обладают такой возможностью. Например, фишинг-фильтр корпорации Microsoftдоступен в обозревателе InternetExplorer 7, предназначенном для системы Windows XP c установленным ServicePack 2 и для WindowsVista. Он сканирует и выявляет подозрительные веб-узлы, а также предоставляет своевременные обновления и отчеты о найденныхфишинг-узлах. Если вы не включили функцию антифишинга во время установки InternetExplorer 7, это можно сделать в любой момент, для чего нужно выполнить команду Сервис → Антифишинг. Функция антифишинга распознает два типа веб-узлов:
• веб-узлы, подозреваемые в фишинг-атаках: при переходе на такой узел функция антифишинга выдает предупреждение желтого цвета;
• веб-узлы, на которых предпринимались фишинг-атаки: при попытке посетить такой узел функция антифишинга препятствует этому и выдает предупреждение красного цвета, после чего на данном веб-узле нельзя ввести никакие данные[25].