- •Мошенничество в банковской сфере с применением высоких технологий
- •2012 – Год таргетированных атак 26
- •Обозначения и сокращения
- •Введение
- •Отраслевые стандарты
- •Стандарт Банка России сто бр иббс-1.0-2008
- •Кодекс корпоративного поведения фсфр
- •Кодексу корпоративного поведения фсфр соответствуют лицензии выданные оао ,,Россельхозбанк” Федеральной службой по финансовым рынкам:
- •Россельхозбанк подтвердил соответствие своего процессинга требованиям стандарта pci dss
- •1.2 Программно-аппаратного обеспечения и его соответствиеотраслевым стандартам
- •Гостр мэк61508-3-2007. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью.
- •1.3Виды угроз для банков
- •Инсайдеры
- •Дистанционноебанковскоеобслуживание
- •Банковские трояны
- •Кардинг, скимминг
- •2Угрозы информационной безопасности для банков
- •Причины актуальности угрозы
- •Цель проникновения
- •Методы перехвата информации
- •Методы маскировки от средств контроля и наблюдения
- •Атака на сотовые телефоны и смартфоны
- •Дистанционное банковское обслуживание: проблемы функционирования в российской банковской практике
- •Банковские трояны: продолжение следует
- •Android: любимая игрушка хакеров
- •JuniperResearch: мобильный банкинг набирает обороты
- •2012 – Год таргетированных атак
- •Руководство по защите от внутренних угроз информационной безопасности
- •Суть проблемы
- •Классификация инсайдеров
- •Подрабатывающие и внедренные инсайдеры
- •Скрытое оружие социальной инженерии
- •Атака администратора системы
- •Уход от ответственности
- •Кардинг
- •Фишинг, трэшинг, скимминг и другие виды кардерства
- •Трэшинг
- •Скимминг
- •Объединенные кардеры
- •3 Современные средства защиты в области защиты информации в банковской сфере Обязательные средства защиты
- •Надежный банкинг с помощью антилоггера
- •Дистанционное Банковское Обслуживание
- •Интернет-банкинг: признаки защищенности:
- •Бдительность – первое правило
- •Учет и анализ существующих рисковв дбо
- •Мероприятия, позволяющие влиять на уровень существующих рисков
- •Организационные мероприятия
- •Технические мероприятия
- •Краткие выводы
- •Инсайдеры Как бороться с инсайдерами
- •Фишинг Борьба с фишингом и фармингом
- •Кардинг
- •Заключение
- •Список использованных источников
Инсайдеры
Инсайдер - Сотрудник организации является одним из основных источников компьютерных преступлений. Инсайдерам нет нужды заниматься компьютерными вторжениями, так как их знание атакуемой системы часто позволяет иметь неограниченный доступ для нанесения ущерба или похищения данных системы. Инсайдерская угроза включает также сторонних производителей и служащих, которые случайно вносят злонамеренное ПО в систему.[9]
фишинг
Фишинг (phishing) — мошенники от имени банка связываются с
клиентом по электронной почте и просят его подтвердить некоторые конфиденциальные данные своей карты. Также широко распространен телефонный фишинг, когда держатель «пластика» получает телефонный звонок либо с информацией о том, что по его карте произведен платеж на некую сумму, либо с просьбой погасить просроченную задолженность по кредиту. При этом, как правило, информирование происходит в автоматическом режиме («электронный голос»),а название банка, из которого пришел звонок, не уточняется. Для получения дополнительной информации рекомендуется следовать указаниям системы. Владелец карты соединяется с оператором и узнает, что является клиентом или заемщиком банка, с которым на самом деле никаких отношений не поддерживает, но оператор любезно предлагает свою «помощь» в прояснении ситуации, для чего просит сообщить конфиденциальные данные имеющейся у владельца карты для поиска в «межбанковской системе».[14]
Дистанционноебанковскоеобслуживание
Одним из направлений, способствующих предоставлению клиентам максимального удобства в их работе, является дистанционное банковское обслуживание (ДБО), осуществляемое через сеть Интернет. Возможность полного управления своим личным счётом при условии простоты выполнения операций, комфорта и мобильности всегда привлекало, и будет привлекать клиентов.
Угрозы, возникающие при эксплуатации систем ДБО и потенциальные нарушители
Итак, основными направлениями распределения рисков в области безопасности для систем ДБО являются:
- вопросы организации эксплуатации систем ДБО;
- клиенты, обслуживаемые через Интернет;
- каналы связи используемые для транзакций;
- глобальная сеть Интернет. [11]
Банковские трояны
К категории банковских троянов относятся вредоносные программы, предназначенные для похищения конфиденциальной информации и обеспечения несанкционированного доступа к системам дистанционного банковского обслуживания (ДБО). Многие банковские трояны сочетают в себе функции бэкдора и шпионских программ. [12]
Кардинг, скимминг
Мошенничество с платежными картами, кардинг (отангл.carding)— вид мошенничества, при котором производится операция с использованиемплатежной картыили ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт, как правило, берут со взломанных серверовинтернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (либо непосредственно, либо через программы удаленного доступа, «трояны», «боты» с функцией форм граббера). Кроме того, наиболее распространённым методом похищения номеров платежных карт на сегодня является фишинг (англ.phishing, искаженное «fishing»— «рыбалка»)— создание мошенниками сайта, который будет пользоваться доверием у пользователя, например— сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитовплатежных карт.[13]
Скимминг (skimming) — незаметное для держателя реальной картыкопирование данных с магнитной полосы с помощью специальных устройств недобросовестными сотрудниками торговых предприятий. После эти данные копируютсяна другую карту, изготовленную мошенниками, или на заготовку карты [14].