- •Мошенничество в банковской сфере с применением высоких технологий
- •2012 – Год таргетированных атак 26
- •Обозначения и сокращения
- •Введение
- •Отраслевые стандарты
- •Стандарт Банка России сто бр иббс-1.0-2008
- •Кодекс корпоративного поведения фсфр
- •Кодексу корпоративного поведения фсфр соответствуют лицензии выданные оао ,,Россельхозбанк” Федеральной службой по финансовым рынкам:
- •Россельхозбанк подтвердил соответствие своего процессинга требованиям стандарта pci dss
- •1.2 Программно-аппаратного обеспечения и его соответствиеотраслевым стандартам
- •Гостр мэк61508-3-2007. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью.
- •1.3Виды угроз для банков
- •Инсайдеры
- •Дистанционноебанковскоеобслуживание
- •Банковские трояны
- •Кардинг, скимминг
- •2Угрозы информационной безопасности для банков
- •Причины актуальности угрозы
- •Цель проникновения
- •Методы перехвата информации
- •Методы маскировки от средств контроля и наблюдения
- •Атака на сотовые телефоны и смартфоны
- •Дистанционное банковское обслуживание: проблемы функционирования в российской банковской практике
- •Банковские трояны: продолжение следует
- •Android: любимая игрушка хакеров
- •JuniperResearch: мобильный банкинг набирает обороты
- •2012 – Год таргетированных атак
- •Руководство по защите от внутренних угроз информационной безопасности
- •Суть проблемы
- •Классификация инсайдеров
- •Подрабатывающие и внедренные инсайдеры
- •Скрытое оружие социальной инженерии
- •Атака администратора системы
- •Уход от ответственности
- •Кардинг
- •Фишинг, трэшинг, скимминг и другие виды кардерства
- •Трэшинг
- •Скимминг
- •Объединенные кардеры
- •3 Современные средства защиты в области защиты информации в банковской сфере Обязательные средства защиты
- •Надежный банкинг с помощью антилоггера
- •Дистанционное Банковское Обслуживание
- •Интернет-банкинг: признаки защищенности:
- •Бдительность – первое правило
- •Учет и анализ существующих рисковв дбо
- •Мероприятия, позволяющие влиять на уровень существующих рисков
- •Организационные мероприятия
- •Технические мероприятия
- •Краткие выводы
- •Инсайдеры Как бороться с инсайдерами
- •Фишинг Борьба с фишингом и фармингом
- •Кардинг
- •Заключение
- •Список использованных источников
Методы перехвата информации
Веб-инжекты. Встраивание трояном в отображаемую в браузере веб-страницу постороннего содержимого, в частности полей форм.
Похищение файлов cookies.
Установка в инфицированную систему поддельных цифровых сертификатов.
Запись нажатий пользователем клавиш.
Перехват и анализ сетевого трафика.
Создание и передача злоумышленникам снимков экрана.
Перехват и передача злоумышленникам изображения с подключенной к компьютеру веб-камеры.
Перехват и передача злоумышленникам аудиопотока с подключенного к ПК микрофона.
Перехват сохраненных в системе паролей.
Встраивание в процессы программ системы "Банк-Клиент" (Trojan.Carberp).
Методы маскировки от средств контроля и наблюдения
Отслеживание запущенных в инфицируемой системе приложений-отладчиков, средств виртуализации, брандмауэров и антивирусных программ.
Попытка завершения процессов антивирусных программ и брандмауэров.
Противодействие попыткам запуска процессов антивирусных программ в инфицированной системе.
Блокировка доступа пользователей к веб-сайтам компаний-производителей антивирусного ПО и сайтам, распространяющим обновления систем безопасности.
Шифрование вирусными упаковщиками. [15]
Атака на сотовые телефоны и смартфоны
Денежные учреждения все сильнее привязывают свои услуги к мобильным телефонам. Пользователю больше не нужна бумага — сразу при переводе он получает одноразовый пароль по SMS на заранее указанное устройство. Банки называют такие номера транзакций mTAN или smsTAN. Эта система достаточно надежна, поскольку, чтобы получить данный номер, мошенникам помимо компьютера необходимо осуществлять еще и манипуляции с сотовым телефоном. Однако разработчики ZeuS настроились и на этот защитный механизм и создали версию трояна для системы Symbian. Вредоносное ПО вставляет на банковскую страницу дополнительное поле для ввода телефонного номера. Жертва вводит его, получает SMS со ссылкой на загрузку, через которую троян попадает на телефон и собирает одноразовые пароли. Поэтому ни в коем случае не устанавливайте утилиты для банкинга через ссылки в SMS.[16]
Дистанционное банковское обслуживание: проблемы функционирования в российской банковской практике
Развитые сервисы дистанционного банковского обслуживания (ДБО) стали неотъемлемым критерием для клиента при выборе банка, а их внедрение – серьёзным инструментом увеличения клиентской базы. И сегодня практически любой банк предоставляет своим клиентам – юридическим и физическим лицам – ряд сервисов по дистанционному управлению счетами. В условиях наращивания функциональности таких систем наблюдается активности преступных групп, целью которых является хищение денежных средств клиентов через дистанционные каналы обслуживания, в первую очередь через Интернет-банк.
В 2011 году эксперты, занимающиеся исследованиями в области информационной безопасности, отметили ажиотаж вредоносного программного обеспечения, увеличение троянских программ и таргетированных атак. Прогнозы на 2012 год различных компаний, специализирующихся на информационной безопасности малоутешительны – скорость разработки программ, нацеленных на извлечение персональной информации, растет, и онлайн-банкинг (интернет-банкинг) по-прежнему остается хорошей приманкой для злоумышленников. Причиной этому служит постоянное увеличение количества пользователей онлайн-банкинга как во всем мире, так и в России. По различным оценкам, потери от онлайн-преступлений в нашей стране составляют порядка 500 мл. в год, а расследование таких инцидентов, как правило, заканчивается констатацией факта – «хищение средств неустановленными лицами».
Одной из причин, по которым происходят мошенничества через системы ДБО, специалисты по информационной безопасности компании «Алладин Р.Д.» выделяют проблемы в обеспечении доверенности среды исполнения банковских приложений. При этом собственно банки, имея необходимые средства и специалистов, оказываются достаточно защищенными, тогда как на стороне клиента очень часто возникают трудности.
Очевидно, что зачастую клиенты банка используют один компьютер для повседневной деятельности и для осуществления банковских операций через Интернет-банкинг, а также для доступа к различным ресурсам сети Интернет. Таким образом, создается высокий риск заражения компьютера вредоносными программами, осуществляющими атаку систем ДБО. Но даже зная это, клиенты пренебрегают защитой своего компьютера и либо совсем не используют антивирусные программы, либо устанавливают такое программное обеспечение от сомнительных производителей, бесплатные варианты с низкой функциональностью.
Также «тонким» местом любой системы ДБО является аутентификация: клиент должен быть уверен, что он работает в данный момент с банком, а банк, соответственно, должен быть уверен, что к нему обратился клиент. Простые средства аутентификации типа «логин-пароль» на данный момент уже не актуальны, так как успешная атака таких вариантов защиты осуществляется мошенниками очень легко и потеря средств практически гарантирована. Минимум, который банк должен предложить клиенту для использования систем ДБО, – двухфакторная аутентификация. Средством осуществления двухфакторной аутентификации может использоваться USB-токены (или смарт-карты), в которых хранение ключей и сертификатов, необходимых к доступу к системе Интернет-банка, реализовано на аппаратном уровне в неизвлекаемом виде. Однако уже весной 2010 года мошенниками в ответ на переход банков к использованию смарт-карт и USB-токенов внедрили вредоносные программы и, пользуясь тем, что некоторые клиенты оставляли свои USB-токены с секретными ключами электронной подписи, постоянно подключенными к компьютеру, создавали и подписывали ложные платежные поручения, дистанционно управляя компьютером клиента. Именно поэтому желательно иметь не просто двухфакторную, а многофакторную аутентификацию. На сегодняшний день некоторые банки предлагают клиентам варианты с дополнительным введением одноразовых паролей. Этот способ защиты реализуется с помощью ОТР-токенов( устройств для генерации одноразовых паролей) и с использованием SMS-канала.
Также масштабной проблемой последнего времени для банков являются DDoS-атаки мошенников. DoS-атака (атака типа «отказ в обслуживании», от англ. DenialofService) — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Отказ системы может быть шагом к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. DistributedDenialofService, распределённая атака типа «отказ в обслуживании»).
Сегодня типичная цель DDoS-атаки – скрыть попытку хищения средств с использованием ДБО. В результате атаки банковский сервер становится недоступен, что делает невозможным своевременное выявление клиентом факта хищения. По статистике Главного управления безопасности и защиты информации ЦБ РФ, только за первые пять месяцев 2011 года было зарегистрировано 35 таких инцидентов. Эти цифры, по мнению экспертов, отражают только часть случаев атак, о многих инцидентах банки не информируют Центробанк, реальное же количество DDoS-атак на порядок больше и несмотря на отсутствие централизованной статистики случаев мошенничества в ДБО по всем российским банкам, аналитики информационной безопасности с уверенностью утверждают, что масштабы угрозы хищений постоянно растут. Согласно статистике, находящейся в распоряжении компании «БИФИТ», в 2011 году потери клиентов банков от хищений по сравнению с 2010 годом выросли в 3 раза.
За счет увеличения числа людей, использующих онлайн-банкинг через мобильные телефоны, смартфоны, планшеты и IPad растет риск мошенничества на базе Android – лидирующей операционной системы на рынке мобильных устройств, так как новые вредоносные программы пишутся злоумышленниками в основном под Android. 2011 год – рекордный с точки зрения активности вредоносных программ не только в целом, но и на мобильных устройствах.
По данным отчета компании McAfee (Отчет McAfee об угрозах за III квартал 2011г.), одной из самых популярных форм мошенничества за отчетный период стали так называемые «троянские кони» для рассылки SMS-сообщений, занимающихся сбором персональной информации. Еще одним способом кражи информации пользователя стало использование вредоносного программного обеспечения, которое записывает телефонные разговоры и пересылает их злоумышленникам. Примерами таких программ являются Android/Nicki-Spy.A и Android/GoldenEagle.A. В 2012 аналитики прогнозируют ещё большее распространение вредоносного программного обеспечения для Android и мобильных вирусов. Незащищенные «рабочие» смартфоны и прочие мобильные устройства представителей компаний являются особенно привлекательными для мошенников, так как их оснащенность настолько велика, что они могут получить не только корпоративную информацию о функционировании конкретной компании, но и доступ в корпоративную сеть, если, к примеру, смартфон работника подключен к офисному Wi-Fi.
Кроме этого одним из приемов мошенников также являются таргетированные или фишинговые атаки клиентов банка. Фишинг — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям, а также другой информации клиентов банка. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков, сервисов. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить доступ к банковским счетам.
Для реализации защиты от финансового мошенничества в сфере использования систем ДБО требуются высокий уровень инвестиций и продуманный подход к информационной безопасности со стороны банков. Иначе трудно ожидать стабильного дохода от приобретающей массовый характер услуги – интернет-банкинга из-за репутационных и прямых финансовых потерь банка, колоссальных убытков клиентов и снижения доверия к самой системе ДБО [17].